ISC:保护你的无聊猿 Web3又一起钓鱼攻击事件发生

2022年6月5日，成都链安链必应-区块链安全态势感知平台舆情监测显示，BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击，黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析，结果如下。

俄罗斯执政党称加密监管将保护“数百万公民”:金色财经报道，俄罗斯执政党统一俄罗斯党表示，约有 12% 的人口使用加密货币或与之接触，它将通过即将出台的法规保护加密货币持有者。而国会议员兼加密立法监管工作组成员 Alexander Yakubovsky 补充说，加密的“合法化”可以帮助俄罗斯人与西方主导的经济制裁作斗争。这位议员补充说，财政部在乌克兰军事行动之前提交的现有法案将允许加密采矿成为一种“新型经济活动”。财政部金融政策司银行监管负责人 Osman Kabaloev 补充说，从法律上定义“加密采矿”和“加密交换”等术语将有助于实现这一目标。（cryptonews）[2022/3/5 13:38:56]

#1事件相关信息

国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月，足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多，比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。

Chainlink的总保护价值已超过750亿美元:金色财经报道，区块链预言机解决方案Chainlink的总保护价值(TVS)已超过750亿美元，去年年底仅为70亿美元。据悉，Chainlink的预言机将外部来源的数据，如天气和体育结果等提供给以太坊和Avalanche等区块链。这些数据允许DeFi应用程序在满足条件时触发其智能合约。[2021/11/5 6:32:22]

在web3世界中，网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现，通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击，让人防不胜防。

6月5日，BAYC在官方推特表示，其Discord服务器今天被短暂攻击，团队很快发现并解决了这个问题，但仍有价值约200ETH的NFT受到了影响，目前团队正在调查，并建议受影响用户发送电子邮件与官方联系。

律师：依照当下法律法规，虚拟货币应当受到法律保护:北京德恒律师事务所顾问、刑委会执委、执业律师刘扬表示，公检法机关办案人员个体对虚拟数字货币价值有了更深刻的确认。随着国家监管政策的不断出台和刑事打击力度的加大，目前不排除被过度打击的可能性。其代理的多起币圈刑事案件中，其中不乏关于ICO的、DAPP等比较新颖的案件，说明司法机关的打击力度确实在不断加强。刘扬律师认为，无论是比特币、以太坊还是其他虚拟货币，依照当下的法律法规，被认定为是一种虚拟财产，应当受到法律保护。（华夏时报）[2021/6/26 0:07:45]

#2?本次事件攻击流程

攻击者地址

0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d

第一步，攻击者将钓鱼网站链接发布到官方社群。

第二步，攻击者通过钓鱼网站获得32个NFT，其中包含2个BAYC。

全国政协委员周延礼：加快数据保护的统一立法:针对区块链在发展过程中涉及到的数据安全和隐私保护，全国政协委员、原中国保监会副主席周延礼给出了几点建议：一是加快数据保护的统一立法。目前我国还没有统一的个人信息保护的立法，对于数据的保护、规定散落在各个文件中，相关的立法还在进行中，要尽快出台才能有利于区块链技术的应用。二是推进金融科技行业组织的建设。要从本国国情出发，借鉴欧盟等一些国际经验，构建符合自身的发展数据管理制度。特别是在制度设计上，要通过法律设计来保护消费者和消费者的个人隐私。三是加强数据治理和数据监管。保险等金融机构近年来在经营活动中积累了海量的客户数据和交易数据，金融监管部门在挖掘数据的过程中，重点要加强数据治理和数据监管。四是新兴的金融科技企业应当审慎处理好数据。（中国经济导报）[2020/5/20]

动态 | Vonage子公司获得使用区块链保护语音通信的专利:据cointelegraph报道，美国云通信公司Vonage旗下云服务公司NewVoiceMedia获得了使用区块链技术保护通信和录音的专利。该专利于3月12日由美国专利商标局公布。[2019/3/14]

第三步，攻击者卖出钓鱼获得的NFT，通过外部地址，将142ETH发送到Tornado.cash。

#3?资金追踪

截止发文时，攻击者地址累计转出154ETH，其中有142ETH进入了Tornado.cash。

#4?总结

近期，官方discord遭遇攻击的案例越来越多，经过成都链安安全团队分析，其原因可能有：

项目方员工遭受钓鱼攻击，导致账户被盗；

项目方下载恶意软件，导致账户被盗；

项目方未设置双因素认证且使用弱密码导致账户被盗；

项目方遭受钓鱼攻击，添加恶意书签从而绕过浏览器同源策略，导致项目方Discordtoken被盗。

防技巧

1

作为项目方，应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户；项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击，避免下载恶意软件，避免访问钓鱼网站。　

2

作为web3用户，应首先具备这样的意识：官方discord账户被盗越来越频繁，官方发布的消息也可能是钓鱼信息，官方不等于绝对安全。此外，在任何需要自己授权或交易的地方都需要谨慎，尽量从多个渠道进行信息交叉确认。　

而如今在web3持续火爆的情况下，钓鱼的方式层出不穷。用户需谨记上述防技巧，尽全力保证自己不被钓鱼。但是如果万一已经被，则可以采取下列措施尽可能补救：

-?马上进行资产隔离，尽快将剩余资产转移到安全位置，避免更大的损失；

-?主动发布声明，告知大家被盗账户的相关信息，避免危及朋友和社区；

-?尽可能保留证据，寻求项目方或机构进行后续处理；

-?可寻求专业的安全公司进行资金追踪，如成都链安。

最后，建议记录并分享被经历，与大家共勉。反钓鱼反，需要每个人都重视，也需要每个人都参与。

来源：成都链安

标签：区块链ORDISCDISC区块链dapp开发例子JORDAN币BISCDisciplina

火币APP热门资讯