2022年6月5日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Bored Ape Yacht Club(无聊猿)的Discord社群遭受黑客钓鱼攻击,黑客获利约142 ETH。成都链安安全团队第一时间对事件进行了分析,结果如下。
#1 事件相关信息
国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月,足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多,比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。
中国文字著作权协会副总干事梁飞:推动数字版权保护和服务,激发优质作品创作活力:金色财经报道,6月30日,由中国文化产业协会主办的中国数字文创行业高质量发展论坛举办。中国文字著作权协会副总干事梁飞指出,数字版权作品的生命环节包括确权、流转、维权。针对这三个环节,版权保护要形成闭环,分别为:确权、交易、监测、存证、鉴定、快速维权、司法维权、和解。中国文字著作权协会助力了诸多优质作品实现创作活力,为权利人和使用方搭建授权的桥梁,涉及戏剧表演权、汇编权、广告宣传、邮品等。[2022/6/30 1:41:39]
在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击(详见维基百科:社会工程学),让人防不胜防。
声音 | 中央电视台郑直:央视现在通过区块链技术开展版权保护:据中国新闻出版广电报报道,中央电视台版权和法律事务室主任郑直表示,央视现在通过区块链技术开展版权保护,增强版权保护力度。[2019/4/29]
6月5日,BAYC在官方推特表示,其Discord服务器今天被短暂攻击,团队很快发现并解决了这个问题,但仍有价值约200 ETH的NFT受到了影响,目前团队正在调查,并建议受影响用户发送电子邮件与官方联系。
攻击者地址
0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d
声音 | 北大教授张平:技术进步与法律保护是一对矛盾体:据金投网消息,近日,北大教授张平表示,区块链技术本身代表了非常美好的愿望,它可以成为追求共识信任的系统,但前提是使用区块链技术的一定是相互信赖的人,没有黑客破坏区块链平台,最后用户还要有风险承担的能力,既然要用区块链,就要研究所有国家的法律,避免使其商业模式触碰法律红线。
张平指出,技术进步与法律保护永远都是一个矛盾体。技术不会停下脚步等待法律的跟进,在我国大力倡导区块链技术应用的政策环境下,法律应当做适当调整以适应新技术的发展,在法律不能及时修订的情况下,产业界还是要充分遵守现行法律进行研发和应用,避免落入法律原罪范畴。[2018/12/7]
第一步,攻击者将钓鱼网站链接发布到官方社群。
谷歌提交新的区块链技术专利申请,可保护用户账号数据的安全性:根据最新信息显示,谷歌公司于3月22日向美国国家专利局提交了一份专利申请,这份专利与使用区块链平台来保护用户账号数据的安全性有关。谷歌打算使用区块链来记录签名,并用签名来验证保存在数据库中的数据,这样就可以知道数据是否遭到篡改,如果是,还可以知道何时被篡改。为了实现这个功能,他们需要开发一种“封口”日志(“封口”通常用于识别有包装的物品是否被拆封过)。专利文件中提到,谷歌将会使用两个区块链,其中一个区块链由分户总账上的记录签名组成,另一个则用于保存经签名验证过的信息。[2018/4/9]
第二步,攻击者通过钓鱼网站获得32个NFT,其中包含2个BAYC。
第三步,攻击者卖出钓鱼获得的NFT,通过外部地址,将142ETH发送到Tornado.cash。
截止发文时,攻击者地址累计转出154(约275944.9美元)ETH,其中有142(约254442.7美元)ETH进入了Tornado.cash。
近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:
项目方员工遭受钓鱼攻击,导致账户被盗;
项目方下载恶意软件,导致账户被盗;
项目方未设置双因素认证且使用弱密码导致账户被盗;
项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discord token被盗。
防技巧
作为项目方,应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。
作为web3用户,应首先具备这样的意识:官方discord账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。
-?马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;
-?主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;
-?尽可能保留证据,寻求项目方或机构进行后续处理;
-?可寻求专业的安全公司进行资金追踪,如成都链安。
最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。
来源:成都链安
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。