簡要介紹

原文編譯：ChinaDeFi

簡要介紹

簡要介紹

• 原文編譯：ChinaDeFi

• 簡要介紹

• Web3 的網絡釣魚日益增多，一些主要的網絡釣魚技術包括：

• 使用不安全的Discord 機器人在一些官方的Discord 服務器上發布釣魚鏈接；

• 直接發送釣魚鏈接；

• 利用搜索引擎上的廣告宣傳虛假網站；

• 通過假Discord 機器人直接發送信息；

與官方域名高度相似的域名及內容；

• 利用Opensea 等NFT 交易平台推廣虛假項目；

• 使用虛假的合約地址。

• 建議：

• 經常多渠道查看信息，不輕易信任「bot」或「官方鏈接」；

• 警惕直接消息：官方機器人不會在DM 中要求驗證；

不要在瀏覽器中為一些敏感網站添加書籤。

在Web3 世界，網絡釣魚主要通過Discord、網站偽造等一系列手段實現。

在Web3 世界，網絡釣魚主要通過Discord、網站偽造等一系列手段實現。

網絡釣魚的定義

在Web3 世界，網絡釣魚主要通過Discord、網站偽造等一系列手段實現。

在Web3 世界，網絡釣魚主要通過Discord、網站偽造等一系列手段實現。

Web3 典型的網絡釣魚案件

本文將揭示Web3 世界中幾種常見的網絡釣魚方法：

1、Discord 機器人

• 2022 年5 月23 日，Discord 的MEE6 機器人遭到攻擊，導致在一些Discord 官方服務器中發布了有關鑄幣的釣魚網站信息。

• 在2022 年5 月6 日，Opensea 的官方Discord 被黑客入侵，黑客使用機器人賬戶在頻道上發布虛假鏈接，聲稱「Opensea 與YouTube 合作，點擊鏈接製造100 個限量版的mint pass NFT」。

• 最近，針對官方Discord 服務器的攻擊事件越來越多，原因可能如下：

• 對項目方的員工進行釣魚攻擊，導致賬戶被盜；

項目方下載惡意軟件，導致賬戶被盜；

• 項目方未設置雙重認證，使用弱密碼，導致賬戶被盜；

• 項目方遭受釣魚攻擊，添加惡意書籤繞過瀏覽器的登錄規則，導致Discord 代幣被盜。

小貼士：

項目方應採用官方推薦的安全操作，如雙重認證、設置強密碼等，來保護自己的賬戶；警惕各種傳統的網絡攻擊和社會工程攻擊，避免下載惡意軟件或訪問釣魚網站。

Web3 用戶應該意識到Discord 官方發布的版本可能也是釣魚信息，官方並不保證絕對安全。此外，在任何需要我們自己授權或交易的地方，就更需要謹慎，並儘量交叉檢查來自多個渠道的信息。

2、周杰倫的NFT 被一個Discord 網絡釣魚攻擊竊取

2022 年4 月1 日，流行歌手周杰倫在Instagram 上透露，他的Bored Ape NFT 被釣魚網站竊取。

• 我們發現周杰倫在11 點左右簽署了以0x71de2 開頭的錢包地址來批准交易，從而將NFT 批准授予給攻擊者的錢包。在這個時候，周杰倫並不知道他的NFT，已經處於危險之中。

• 過了幾分鐘後，攻擊者在11:07 時將Bored Ape bayc# 3738 NFT 轉移到他們自己的錢包地址，然後在LooksRare 和OpenSea 上以約169.6 ETH 的價格出售了被盜的NFT。

小貼士：

不要輕易相信私信。攻擊者通常會通過私信或電子郵件引誘我們點擊釣魚網站的鏈接。所有信息應首先在官網進行核實，用多種渠道驗證其真實性。

周杰倫被釣魚的案例是在鑄造了一個新項目之後，他當時可能對網絡釣魚攻擊不那麼警惕。所以用戶必須時刻保持警惕，確保每一步都是安全的。

• 3、谷歌廣告上的釣魚網站

• 2022 年5 月10 日，@Serpent 發推文稱NFT 交易平台X2Y2 在Google 搜索頁面上的第一個搜索結果是一個欺詐網站，該網站利用谷歌廣告中的漏洞使真實網站和欺詐URL 看起來相同，大約100 ETH 已經被盜。

小貼士：

搜索引擎很方便，但不一定正確，搜索引擎廣告系統很容易被惡意網站利用。盡量通過官方twitter 或谷歌認證的官方網站入口進入，確認官方信息時進行交叉核對。

注意細節。來自搜索引擎的結果，如果是廣告，就會有廣告這個詞。避免點擊帶有「廣告」字樣的鏈接。

4、通過假機器人發私信

• 最近，一個用戶加入了官方的Discord 社區，加入服務器後，一個bot 直接發送消息要求進行驗證。

• 然而，當點擊鏈接時，它會自動彈出Metamask 錢包並要求輸入密碼，這時用戶幾乎可以肯定網站出了問題。後來經過調試和分析，發現該網站彈出的不是一個真正的Metamask，而是一個偽造的Metamask 錢包界面。如果有人輸入了密碼，它會要求助手驗證，最後，密碼和助手都將被發送到攻擊者的後端服務器，錢包就會被竊取。

• 小貼士：

警惕Discord 的私信：官方機器人不會要求在DM 中進行驗證。

身份驗證過程不需要連接錢包。

• 一定要注意那些奇怪或不正常的操作，並一定要交叉驗證更多的信息。

• 5、域名與內容高度相似

• 目前，市場上存在各種各樣的假冒網站，其中大部分是模仿域名和內容相似程度高的官方網站。這是最常見的網絡釣魚方式，其主要形式如下。

更改頂級域名，主域名保持不變。例如，下圖中官方網站的頂級域名為.com，釣魚網站的頂級域名為.fun；

• 在主域名中添加一些詞，如openesa-office, xxxmint 等。

• 添加一個二級域名用於混淆和網絡釣魚：

• 小貼士：

當進入一個網站時，首先找到官方推特或discord，並逐一比較鏈接，看看他們是否正確。

始終保持警惕：雖然這類釣魚網站最容易識別，但其數量非常大，如果不小心，用戶很容易被騙。

增加反網絡釣魚插件，有效協助識別部分惡意網站。

6、Opensea 上的釣魚項目

• 前一段時間，我們在Opensea 上發現了一個項目，這個項目還沒有正式開放出售，但是這個項目已經列出了1 萬件物品。經過仔細分析，我們發現了一種新的網絡釣魚方式。該項目先是利用上述手法偽造了一個類似官網和類似域名，然後在Opensea 上列出了一個類似項目，用「免費造幣」等詞語來吸引眼球。

• 此外，還有釣魚網站和釣魚推特一起宣傳詐騙：

• 小貼士：

仔細識別推特賬戶。有時釣魚賬號也有大量粉絲，但大多數評論都是假的。或帳戶創建日期較早，但最近才活躍等。

Opensea 上的項目並不總是官方網站上的真實項目。網站上仍然有很多假冒和釣魚項目，所以用戶需要仔細篩選。

始終從多個渠道獲取信息。交叉檢查來自官方網站、opensea 項目、推特、discord 等的信息。也可以直接與官方聯繫，核實真實性。

7、假的合約地址

今年3 月出現的新騙局也令人大開眼界。攻擊者偽造一份前後相同位數的合約，利用網絡釣魚鏈接進行詐騙。

真正的APEcoin 合約地址是：0x4d224452801ACEd8B2F0aebE155379bb5D594381。

• 虛假合約是：0x4D221B9c0EE56604186a33F4f2433A3961C94381

• 這種類型的攻擊並不常見，但令人困惑。通常人們會檢查合約地址的前面和後面來判斷是否正常，但很少有人會檢查完整的地址。

小貼士：

對於直接轉賬交易，最好檢查完整的合約地址是否正確。

• 解決方法

• 解決方法

• 以上僅列出了網絡釣魚詐騙常用的策略，然而隨著Web3 的不斷流行，網絡釣魚詐騙的方式也越來越多。用戶需要記住上述提示。然而，萬一被騙了，可以採取以下步驟來盡可能進行補救：

• 立即隔離資產，並儘快將剩餘資產轉移到安全的地方，以避免更大的損失。

主動發布聲明，告知他人有關詐騙賬戶的信息，以免危害朋友和社區。