区块链:保护你的无聊猿 Web3又一起钓鱼攻击事件发生_ORD

2022年6月5日，成都链安链必应-区块链安全态势感知平台舆情监测显示，BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击，黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析，结果如下。

任煜男：香港证监会将仅批准部分“高流动性”加密货币进行零售交易其目的是为保护散户投资者:1月12日消息，香港证券及期货事务监察委员会新任行政总裁梁凤仪（Julia Leung）在亚洲金融论坛上表示，6月对虚拟资产服务提供商实施新发牌规则生效后，面向散户投资者的虚拟资产交易将仅限于部分“高流动性”加密货币产品。

对此欧科云链控股(01499.HK)公司执行董事、董事局主席兼行政总裁任煜男表示：单纯禁止散户投资者参与交易可能会迫使散户转向当地司法管辖区以外不受监管的平台，使散户面临更大的风险，香港证监会将仅批准部分“高流动性”加密货币进行零售交易其目的是为保护散户投资者。如果散户参与交易效果好，香港有可能将继续逐步放低交易门槛，让更多用户参与虚拟资产交易。（南华早报）[2023/1/12 11:08:10]

#1事件相关信息

国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月，足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多，比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。

Curve治理成员提出有关是否应保护知识产权的提案:金色财经报道，Curve治理成员提交了一项提案，询问该DeFi项目是否应尝试在法庭上强制执行其知识产权。该提案提到了一个具体例子，即Saddle Finance，提案人声称该公司被指控抄袭了Curve的代码。关键问题是Curve是否可以执行其知识产权，因为该组织本身在很大程度上是去中心化的。以及Curve是否应该这样做，这对于大部分开源且不受监管的DeFi行业来说是新问题。[2021/6/17 23:42:29]

在web3世界中，网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现，通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击，让人防不胜防。

6月5日，BAYC在官方推特表示，其Discord服务器今天被短暂攻击，团队很快发现并解决了这个问题，但仍有价值约200ETH的NFT受到了影响，目前团队正在调查，并建议受影响用户发送电子邮件与官方联系。

动态 | 思科新专利将通过区块链保护5G网络安全:金色财经报道，网络技术巨头思科赢得了一项专利，该专利详细说明了如何利用区块链来保护5G电信网络中的数据。根据11月26日在美国专利商标局（USPTO）备案的文件，思科于2018年6月提交了一份有关可集成在无线网络中的区块链平台的专利申请。该区块链平台旨在管理设备(如电话或笔记本电脑)与虚拟网络之间的数据会话。换句话说，新技术可以通过区块链接口管理网络和连接设备之间的部分数据交换。[2019/11/30]

#2?本次事件攻击流程

人民视频副总经理：区块链技术对未来短视频的版权保护将起到重要作用:5月4日，2018世界新媒体大会在北京举行。会上，人民视频副总经理李欣玉表示，未来短视频盈利的最大突破口是网民付费意识和版权意识的提高，区块链技术对于版权保护将起到重要作用。[2018/5/5]

攻击者地址

0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d

第一步，攻击者将钓鱼网站链接发布到官方社群。

第二步，攻击者通过钓鱼网站获得32个NFT，其中包含2个BAYC。

区块链技术或可用来保护物联网设备的安全:搜狐专栏发文称，开发基于区块链技术的系统还不足以保护物联网设备的安全。如果设备制造商没有完全信赖并使用这种系统（有些设备接入了，但有些设备却没有）的话，网络风险将依然存在。有些公司制造的廉价设备利润可能会非常少，所以他们在没有外界帮助和支持（人力或物力资源）的情况下，不太会愿意主动开发和使用这类安全系统。因此，可能需要一系列政府法规或消费者的强力意愿才能让他们改变。不过，文章称，毫无疑问，物联网设备制造商还会加快他们的步伐，而未来互联网的安全很大程度上会取决于物联网的安全。区块链技术，可能会是一种可行性很高的解决方案。[2018/3/19]

第三步，攻击者卖出钓鱼获得的NFT，通过外部地址，将142ETH发送到Tornado.cash。

#3?资金追踪

截止发文时，攻击者地址累计转出154ETH，其中有142ETH进入了Tornado.cash。

#4?总结

近期，官方discord遭遇攻击的案例越来越多，经过成都链安安全团队分析，其原因可能有：

项目方员工遭受钓鱼攻击，导致账户被盗；

项目方下载恶意软件，导致账户被盗；

项目方未设置双因素认证且使用弱密码导致账户被盗；

项目方遭受钓鱼攻击，添加恶意书签从而绕过浏览器同源策略，导致项目方Discordtoken被盗。

防技巧

1

作为项目方，应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户；项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击，避免下载恶意软件，避免访问钓鱼网站。　

2

作为web3用户，应首先具备这样的意识：官方discord账户被盗越来越频繁，官方发布的消息也可能是钓鱼信息，官方不等于绝对安全。此外，在任何需要自己授权或交易的地方都需要谨慎，尽量从多个渠道进行信息交叉确认。　

而如今在web3持续火爆的情况下，钓鱼的方式层出不穷。用户需谨记上述防技巧，尽全力保证自己不被钓鱼。但是如果万一已经被，则可以采取下列措施尽可能补救：

-?马上进行资产隔离，尽快将剩余资产转移到安全位置，避免更大的损失；

-?主动发布声明，告知大家被盗账户的相关信息，避免危及朋友和社区；

-?尽可能保留证据，寻求项目方或机构进行后续处理；

-?可寻求专业的安全公司进行资金追踪，如成都链安。

最后，建议记录并分享被经历，与大家共勉。反钓鱼反，需要每个人都重视，也需要每个人都参与。

来源：成都链安

标签：区块链SCORCORDORD泰达币区块链交易查询SCOR币CordiumLORDZ

PEPE币热门资讯