2022年6月5日,成都链安链必应-区块链安全态势感知平台舆情监测显示,BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击,黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析,结果如下。
#1事件相关信息
国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月,足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多,比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。
金色午报 | 10月24日午间重要动态一览:7:00-12:00关键词:中央企业、摩根大通、SP500、舟山
1. 中央企业区块链合作创新平台正式成立;
2. 摩根大通:BTC作为替代货币与黄金竞争,长期而言有相当大的上涨空间;
3. 《区块链的真正商机》新书发布 火币大学校长于佳宁撰写推荐序;
4. 数据:比特币与SP500指数关联度自5月份以来首次降至0;
5. 舟山市委常委:利用区块链技术推进舟山江海联运公共信息平台与长三角港口群信息交互共享;
6. 肖飒:若《人民银行法》新法顺利通过,ICO将不仅是违法行为还构成犯罪;
7. 上海市浦东新区徐瑾伦:区块链建设是智慧城市新的技术应用;
8. 京东数科发布《京东区块链技术实践白皮书2020》;
9. BTC现报12969.43美元,当前加密货币总市值为3926亿美元。[2020/10/24]
在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击,让人防不胜防。
金色晨讯 | 5月8日隔夜重要动态一览:21:00-7:00关键词:Libra、区块链应用、USDT增发、比特币期货
1.欧洲央行:Libra对金融系统稳定性构成威胁。
2.海南完成首笔跨境金融区块链服务平台融资业务。
3.北京市发改委戴颖:2020年将完善以区块链为基础的信息共享制度。
4.人民法院报:应充分借助区块链拓展司法服务平台服务功能。
5.中国军网:区块链技术应用前景广阔。
6.CME比特币期货突破一万美元大关。
7.Tether向以太坊网络增发1.2亿枚USDT(已授权未发行)。
8.因日本收紧加密规则,BitMEX及Deribit停止为日本用户提供服务。
9.V神:以太坊可能是将全球社会凝聚在一起的粘合剂。[2020/5/8]
6月5日,BAYC在官方推特表示,其Discord服务器今天被短暂攻击,团队很快发现并解决了这个问题,但仍有价值约200ETH的NFT受到了影响,目前团队正在调查,并建议受影响用户发送电子邮件与官方联系。
金色财经行情播报丨BTC窄幅震荡 重要压力位7300USDT攻破不易:据火币行情显示,今日BTC行情窄幅震荡,最高触及7199USDT。日线图上看,局部行情进入整理阶段,且均线MA60构成威慑,重要压力位7300USDT目前攻破不易,目前环境以左侧交易思路为主。4小时图上看,震荡格局明显,但日前冲高回落构建门洞图形后,右侧通道比左侧通道位置略高,或BTC短线还有小幅拉升可能。
截至10:00,火币平台的主流币的具体表现如下:[2020/4/20]
#2?本次事件攻击流程
攻击者地址
分析 | 金色盘面:ETH短线承压 注意风控:金色盘面分析:ETH在日线发出底背离信号的同时,2小时出现顶背离现象,目前看形成顶背离的机会较大,而日线也在中轨承压,在这种周期不协调的情况下,我们建议投资者注意规避短线的调整压力,等待趋势明确后在择机进场。市场有风险,投资需谨慎。[2018/9/15]
0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d
第一步,攻击者将钓鱼网站链接发布到官方社群。
第二步,攻击者通过钓鱼网站获得32个NFT,其中包含2个BAYC。
第三步,攻击者卖出钓鱼获得的NFT,通过外部地址,将142ETH发送到Tornado.cash。
#3?资金追踪
截止发文时,攻击者地址累计转出154ETH,其中有142ETH进入了Tornado.cash。
#4?总结
近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:
项目方员工遭受钓鱼攻击,导致账户被盗;
项目方下载恶意软件,导致账户被盗;
项目方未设置双因素认证且使用弱密码导致账户被盗;
项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discordtoken被盗。
防技巧
1
作为项目方,应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。
2
作为web3用户,应首先具备这样的意识:官方discord账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。
而如今在web3持续火爆的情况下,钓鱼的方式层出不穷。用户需谨记上述防技巧,尽全力保证自己不被钓鱼。但是如果万一已经被,则可以采取下列措施尽可能补救:
-?马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;
-?主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;
-?尽可能保留证据,寻求项目方或机构进行后续处理;
-?可寻求专业的安全公司进行资金追踪,如成都链安。
最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。
来源:成都链安
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。