2022年6月5日,成都链安链必应-区块链安全态势感知平台舆情监测显示,BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击,黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析,结果如下。
美国蒙大拿州众议院通过保护加密货币矿工的法案:4月13日消息,美国蒙大拿州旨在保障当地加密矿工的权利的法案在该州众议院成功通过三读,后续需要州长签字才能成为法律。
4月12日,第178号法案以64票对35票在三读中获得通过,该法案禁止地方当局阻碍加密挖矿业务。该法案已于今年2月通过参议院投票。现在它将被提交给州长Greg Gianforte。
该法案旨在建立“数字资产挖矿权”,同时禁止向加密矿工收取任何歧视性的电费。此外,它还寻求保护“在家”进行的挖矿作业,并取消地方政府利用分区法阻碍加密挖矿活动的权力。该法案还禁止对使用加密货币作为支付手段征收任何额外的税,并将包括稳定币在内的加密货币以及NFT在内的“数字资产”归类为“个人财产”。(Cointelegraph)[2023/4/13 14:01:46]
#1事件相关信息
国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月,足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多,比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。
彭博社:SBF称FTX面临80亿美元缺口,如没有筹集到新资金将申请破产保护:11月10日消息,据知情人士透露,FTX首席执行官SamBankman-Fried(SBF)与FTX.com的投资者沟通称,FTX面临高达80亿美元的资金缺口,如果没有筹集到新的资金,将需要申请破产保护。该情人士透露表示,FTX正试图以债务、股权或两者结合的形式筹集救援资金。
此前报道,币安官方发文表示,根据公司尽职调查的结果,以及有关不当处理客户资金和所谓美国机构调查的最新新闻报道,决定不寻求对FTX.com的潜在收购。(彭博社)[2022/11/10 12:40:54]
在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击,让人防不胜防。
6月5日,BAYC在官方推特表示,其Discord服务器今天被短暂攻击,团队很快发现并解决了这个问题,但仍有价值约200ETH的NFT受到了影响,目前团队正在调查,并建议受影响用户发送电子邮件与官方联系。
StormGain CEO:若新冠疫情再次爆发,投资者将更青睐BTC等保护性资产:加密交易平台StormGain首席执行官Alex Alexhausen表示,目前,比特币价格与标准普尔500指数的相关性为66%,但我们不得不考虑这是牛市。如果股票等传统资产价格因第二波COVID-19浪潮而下跌,那么投资者将更加积极地使用黄金和比特币等保护性资产。(Cointelegraph)[2020/7/13]
#2?本次事件攻击流程
攻击者地址
声音 | 工程院院士沈昌祥:推动区块链创新发展,要做好两个要素的等级保护:在近日举办的区块链技术与数据安全工信部重点实验室工作交流会上,中国工程院院士沈昌祥表示,区块链是一个新型的网络应用,充分利用密码技术能解决区块链分布式账本的不可篡改、不可抵赖,必须加强秘密自身安全。他进一步称,必须考虑两个要素,一是系统性安全,业务信息流程安全;二是系统资源安全,业务应用信息安全要保证交易有效、达成共识,系统资源安全不能篡改,不能中断。他说道:“我们要推动区块链创新发展,就是要做好两个要素的等级保护。”(新京报)[2020/1/13]
0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d
第一步,攻击者将钓鱼网站链接发布到官方社群。
第二步,攻击者通过钓鱼网站获得32个NFT,其中包含2个BAYC。
动态 | 百家号公布内容信息整治报告,利用区块链技术保护作者版权:据中国新闻网消息,6月9日,百度百家号官方公布了4月-5月的内容信息整治报告,两个月内,百家号共封禁账号2.5万个。据内部人士透露,百家号与快版权、维权骑士等业内第三方权威版权机构的深度合作推进顺利,结合百家号此前成立的“区块链媒体实验室”,从存证确权、侵权监测、取证固证等不同环节以区块链技术为百家号作者版权保驾护航。[2019/6/10]
第三步,攻击者卖出钓鱼获得的NFT,通过外部地址,将142ETH发送到Tornado.cash。
#3?资金追踪
截止发文时,攻击者地址累计转出154ETH,其中有142ETH进入了Tornado.cash。
#4?总结
近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:
项目方员工遭受钓鱼攻击,导致账户被盗;
项目方下载恶意软件,导致账户被盗;
项目方未设置双因素认证且使用弱密码导致账户被盗;
项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discordtoken被盗。
防技巧
1
作为项目方,应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。
2
作为web3用户,应首先具备这样的意识:官方discord账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。
而如今在web3持续火爆的情况下,钓鱼的方式层出不穷。用户需谨记上述防技巧,尽全力保证自己不被钓鱼。但是如果万一已经被,则可以采取下列措施尽可能补救:
-?马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;
-?主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;
-?尽可能保留证据,寻求项目方或机构进行后续处理;
-?可寻求专业的安全公司进行资金追踪,如成都链安。
最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。
来源:成都链安
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。