CHA:慢雾：Discord私信钓鱼手法分析

原文来源：慢雾安全团队

机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。

机器人"(Captcha.bot)发来的链接后，是有让我进行人机验证的，但是当我验证通过后，发现它要求唤起我的小狐狸(MetaMask)钱包，唤起的钱包界面挺真实的，如下图所示，但是我看到了钱包的地址栏显示"about:blank"这引起了我的警惕，如果是插件唤起的就不会有这个"about:blank"的地址栏了。

接下来我随意输入了密码，并且通过审查元素查看，确定这个小狐狸(MetaMask)界面是由虚假网站"https://captcha.fm/"弹出的，并不是真实的钱包界面，于是我开始调试这个钱包。

慢雾：区块链因黑客攻击损失总金额已超300亿美元:金色财经报道，据慢雾统计数据显示，自2012年1月以来，区块链黑客造成的损失总金额约为30,011,604,576.24美元；黑客事件总数达到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻击中损失最大的类别，损失金额分别为10,953,323,803.39美元、3,123,297,416.28美元，2,005,030,543.30美元。另外合约漏洞、Rug Pull、闪电贷攻击是最常见的攻击方式，分别发生黑客事件137起，106起，87起。[2023/7/7 22:24:09]

在随意输入密码后，这个虚假的钱包界面进入到"SecurityCheck"界面，要求我输入助记词进行验证。注意，输入的密码和和助记词会被加密发送到恶意站点的服务端。

慢雾：利用者通过执行恶意提案控制了Tornado.Cash的治理:金色财经报道，SlowMist发布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻击，利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日，利用者发起了20提案，并在提案中说明20提案是对16提案的补充，具有相同的执行逻辑。但实际上，提案合约多了一个自毁逻辑，其创建者是通过create2创建的，具有自毁功能，所以在与提案合约自毁后，利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是，社区没有看到拟议合约中的犯规行为，许多用户投票支持该提案。

在5月18日，利用者通过创建具有多个交易的新地址，反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性，利用者在5月20日7:18（UTC）销毁了提案执行合约，并在同一地址部署了一个恶意合约，其逻辑是修改用户在治理中锁定的代币数量。

攻击者修改完提案合约后，于5月20日7:25（UTC）执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的，因此，该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后，攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽，同时利用者控制了治理。[2023/5/21 15:17:00]

通过分析域名可以发现，这恶意域名captcha.fm解析到了172.67.184.152和104.21.59.223，但是都是托管在cloudflare上，只能是反手一个举报了。

慢雾：已冻结部分BitKeep黑客转移资金:12月26日消息，慢雾安全团队在社交媒体上发文表示，正在对 BitKeep 钱包进行深入调查，并已冻结部分黑客转移资金。[2022/12/26 22:08:58]

分析恶意账号

下载保存好恶意站点的源码后，我将情报发给了项目方团队，并开始分析这次钓鱼攻击的账号。由于我刚加入家人群，就收到了下面的这个地址发来的验证消息。经过分析，这个账号是一个伪装成Captcha.bot机器人的普通账号，当我加入到官方服务器后，这个假Captcha.bot机器人立刻从官方服务器私发我假的人机验证链接，从而引导我输入钱包密码和助记词。

我在相关频道里面搜索了Captcha.bot，发现有好几个假Captcha.bot，于是将这几个账号也一并同步给了项目方团队，项目方团队很给力，也很及时地进行了处理，把这几个假Captcha.bot删除了，并一起讨论了可能的防范方式。

这次钓鱼者讲的故事是在链接中导入助记词进行身份验证，然而不是采用假小狐狸(MetaMask)的界面来用户，而是直接在页面上引导用户输入助记词了，这个钓鱼手法就没这么真。

钓鱼网站的域名和?IP是app.importvalidator.org47.250.129.219，用的是阿里云的服务，同样反手一个举报。

钓鱼防范方式

各种钓鱼手法和事件层出不穷，用户要学会自己识别各种钓鱼手法避免被，项目方也要加强对用户安全意识的教育。

用户在加入Discord后要在隐私功能中禁止服务器中的用户进行私聊。同时用户也需要提高自己的安全意识，学会识别伪装MetaMask的攻击手法，网页唤起MetaMask请求进行签名的时候要识别签名的内容，如果不能识别签名是否是恶意的就拒绝网页的请求。在参与Web3项目的时候无论何时何地都不要在网页上导入私钥/助记词。尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。

项目方团队也要时刻关注社区用户的反馈，及时在社区Discord服务器中删除恶意账户，并在用户刚加入Discord服务器时进行防钓鱼的安全教育。

Discord隐私设置和安全配置参考链接：

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

标签：CHAPTCCAPAPTCHAL价格ptcs.ioGREENCAPaptos币价最高

聚币热门资讯