事件背景

事件背景

事件背景"5 月16 日凌晨，當我在尋找家人的時候，從項目官網的邀請鏈接加入了官方的Discord服務器。在我加入服務器後立刻就有一個"一級標題

機器人

一級標題"一級標題"釣魚手法分析"about:blank"我訪問"about:blank"機器人

(Captcha.bot)發來的鏈接後，是有讓我進行人機驗證的，但是當我驗證通過後，發現它要求喚起我的小狐狸(MetaMask)錢包，喚起的錢包界面挺真實的，如下圖所示，但是我看到了錢包的地址欄顯示"https://captcha.fm/"這引起了我的警惕（平時審計了不少插件錢包），如果是插件喚起的就不會有這個

的地址欄了。"Security Check"在隨意輸入密碼後，這個虛假的錢包界面進入到

一級標題

界面，要求我輸入助記詞進行驗證。注意，輸入的密碼和和助記詞會被加密發送到惡意站點的服務端。

分析惡意賬號

一級標題

下載保存好惡意站點的源碼後，我將情報發給了項目方團隊，並開始分析這次釣魚攻擊的賬號。由於我剛加入家人群，就收到了下面的這個地址發來的驗證消息。經過分析，這個賬號是一個偽裝成Captcha.bot 機器人的普通賬號，當我加入到官方服務器後，這個假Captcha.bot 機器人立刻從官方服務器私發我假的人機驗證鏈接（看著像是自動化識別新加入的用戶，自動構造鏈接並私發釣魚鏈接），從而引導我輸入錢包密碼和助記詞。

一級標題

事情還沒結束，第二天早上又一位慢霧的小伙伴（感謝@Victory 提供素材）加入到官方Discord 服務器中，再次收到惡意賬戶發來的私信，裡麵包含著一個釣魚鏈接，不同的是，這次的釣魚者直接偽裝成官方的賬戶發送私信。

一級標題

這次釣魚者講的故事是在鏈接中導入助記詞進行身份驗證，然而不是採用假小狐狸(MetaMask)的界面來欺騙用戶，而是直接在頁面上引導用戶輸入助記詞了，這個釣魚手法就沒這麼真（釣魚手法太粗糙）。

一級標題

一級標題釣魚防範方式

各種釣魚手法和事件層出不窮，用戶要學會自己識別各種釣魚手法避免被騙，項目方也要加強對用戶安全意識的教育。用戶

在加入Discord 後要在隱私功能中禁止服務器中的用戶進行私聊。同時用戶也需要提高自己的安全意識，學會識別偽裝MetaMask 的攻擊手法（比如查看是否有地址欄，如果是插件發起的是沒有地址欄的），網頁喚起MetaMask 請求進行簽名的時候要識別簽名的內容，如果不能識別簽名是否是惡意的就拒絕網頁的請求。在參與Web3 項目的時候無論何時何地都不要在網頁上導入私鑰/助記詞。盡可能地使用硬件錢包，由於硬件錢包一般不能直接導出助記詞或私鑰，所以可以提高助記詞私鑰被盜門檻。

https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account

https://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-