NFT:保護你的無聊猿 Web3又一起釣魚攻擊事件發生_SCORPFIN

2022年6月5日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，BoredApeYachtClub的Discord社群遭受黑客釣魚攻擊，黑客獲利約142ETH。成都鏈安安全團隊第一時間對事件進行了分析，結果如下。

#1事件相關信息

國內外明星如麥當娜、史蒂芬·庫里、周杰倫、林俊杰等都曾入手“無聊猿”系列NFT。今年1月，足球明星內馬爾宣布以超過100萬美元的價格購買了兩只“無聊猿”NFT。而近期關于NFT的釣魚攻擊也逐漸增多，比如在“愚人節”當天周杰倫的無聊猿就曾遭遇釣魚攻擊。

觀點：BRC20不能被稱為“協議”，因為它無法保護使用它的用戶:金色財經報道，據@AurtrianAjian在社交媒體上表示，像BRC20這樣的東西壓根不能被稱為“協議”，因為它根本無法保護使用它的用戶。但當時我沒有深入了解，我不知道它其實比我想象的還要離譜。從表面上看，BRC20定義了同質化代幣的兩種操作：“鑄造（Mint）”和“轉移（Transfer）”，在每一種操作的每一步中，都需要發起比特幣交易并在交易輸入中寫入銘文（Inscription，通過輸入的見證腳本在區塊中寫入數據）。但是，在BRC20中，這些寫入銘文的交易所形成的交易輸出幾乎沒有任何意義。這就是問題所在。[2023/8/3 16:16:59]

在web3世界中，網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現，通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊，讓人防不勝防。

Gensler：SEC正在努力保護投資者免受炒作和欺詐者的侵害:金色財經報道，Gary Gensler表示，美國證券交易委員會（SEC）正在努力保護投資者免受炒作和欺詐者的侵害。這取決于人們想投資什么。然而，法律明確規定，服務提供商必須充分披露他們的產品和服務，如果沒有適當的披露，投資者只是在追逐某些東西，這在一個充滿炒作和欺詐者的行業中變得更糟。我們必須證明的是，數字貨幣是證券，他們應該正確注冊并擁有防止欺詐、操縱交易所、經紀人等的規則手冊，我們對此非常有信心。[2023/6/7 21:20:51]

6月5日，BAYC在官方推特表示，其Discord服務器今天被短暫攻擊，團隊很快發現并解決了這個問題，但仍有價值約200ETH的NFT受到了影響，目前團隊正在調查，并建議受影響用戶發送電子郵件與官方聯系。

DeHealth與Chainlink達成合作，以保護并Token化用戶私人醫療數據信息:7月28日消息，DeHealth 宣布與 Chainlink 達成合作，以加速 DeHealth 生態系統的發展并保護用戶的私人醫療數據信息。Chainlink 將幫助 DeHealth 建立安全，可靠和可擴展的 DeHealth dApp 和分散的數據存儲且基于 EVM 的私有區塊鏈 DHLT 網絡。通過結合 Chainlink 的分散式預言機和 DHLT 網絡，為智能合約提供一致與安全的市場數據來源。（news.yahoo）[2022/7/28 2:42:54]

聲音 | 陳曉紅：既要加強智慧城市數據共享 也要運用區塊鏈保護隱私:近日在濟南舉辦的首屆新型智慧城市建設國際峰會上，對于智慧城市運營目前面臨的智慧城市涉及的大數據并不共享的問題，中國工程院院士陳曉紅對此表示，可以通過行政和技術的手段進一步加強數據的共享，同時也要注意隱私問題，對敏感數據進行脫敏，運用區塊鏈分離數據的擁有權和使用權。[2018/10/16]

#2?本次事件攻擊流程

攻擊者地址

0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d

第一步，攻擊者將釣魚網站鏈接發布到官方社群。

第二步，攻擊者通過釣魚網站獲得32個NFT，其中包含2個BAYC。

第三步，攻擊者賣出釣魚獲得的NFT，通過外部地址，將142ETH發送到Tornado.cash。

#3?資金追蹤

截止發文時，攻擊者地址累計轉出154ETH，其中有142ETH進入了Tornado.cash。

#4?總結

近期，官方discord遭遇攻擊的案例越來越多，經過成都鏈安安全團隊分析，其原因可能有：

項目方員工遭受釣魚攻擊，導致賬戶被盜；

項目方下載惡意軟件，導致賬戶被盜；

項目方未設置雙因素認證且使用弱密碼導致賬戶被盜；

項目方遭受釣魚攻擊，添加惡意書簽從而繞過瀏覽器同源策略，導致項目方Discordtoken被盜。

防騙技巧

1

作為項目方，應采用官方建議的使用雙因素認證、設置強密碼等安全操作來保護賬戶；項目方要警惕針對自己的各種傳統網絡攻擊和社會工程學攻擊，避免下載惡意軟件，避免訪問釣魚網站。　

2

作為web3用戶，應首先具備這樣的意識：官方discord賬戶被盜越來越頻繁，官方發布的消息也可能是釣魚信息，官方不等于絕對安全。此外，在任何需要自己授權或交易的地方都需要謹慎，盡量從多個渠道進行信息交叉確認。　

而如今在web3持續火爆的情況下，釣魚詐騙的方式層出不窮。用戶需謹記上述防騙技巧，盡全力保證自己不被釣魚詐騙。但是如果萬一已經被詐騙，則可以采取下列措施盡可能補救：

-?馬上進行資產隔離，盡快將剩余資產轉移到安全位置，避免更大的損失；

-?主動發布聲明，告知大家被盜賬戶的相關信息，避免危及朋友和社區；

-?盡可能保留證據，尋求項目方或機構進行后續處理；

-?可尋求專業的安全公司進行資金追蹤，如成都鏈安。

最后，建議記錄并分享被騙經歷，與大家共勉。反釣魚反詐騙，需要每個人都重視，也需要每個人都參與。

來源：成都鏈安

Tags：NFTDISCSCORCORDapenft幣的未來價值DISC價格SCORPFINCordium

火幣網下載官方app