2022年6月5日,成都链安链必应-区块链安全态势感知平台舆情监测显示,BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击,黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析,结果如下。
#1事件相关信息
国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月,足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多,比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。
Uniswap创始人:若想保护消费者免受高风险稳定币侵害应发布官方支持的美元代币:Uniswap创始人Hayden Adams今日在推特表示,如果美国想保护消费者免受高风险稳定币的侵害,则应发布官方政府支持的美元代币,您可以用它来纳税。这只会损害创新,而且没有其他选择。尽管如此,还是看好以太坊、比特币和合成资产。随后他又表示,这将间接损害消费者的利益,因为这将迫使他们购买风险更高的资产,但我确实看好它将推动他们购买的资产。此前报道,美国国会议员提出了一项新法案,将要求稳定币发行商在发行稳定币之前必须获得银行特许执照并获得监管部门的批准。[2020/12/3 22:57:07]
在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击,让人防不胜防。
俄罗斯国家杜马官员:加密禁令实为确保公民主动申报加密交易以受法律保护:据此前报道,俄罗斯国家杜马正在考虑发布一项完全禁止加密交易的修正案。俄罗斯国家杜马金融市场委员会主席Anatoly Aksakov对此表示,俄罗斯央行确实仍然反对将加密货币合法化,但修正案实际上是为了确保公民申报他们的加密交易,如果不申报加密货币财产,就意味着这些资产不受俄罗斯法律保护;不申报不会自动导致指控。
Aksakov还暗示,申报持有加密货币将授予所有者财产权,且根据新提案加密货币是可以被继承的。在加密货币被盗的情况下,合法的所有者将有权上诉法庭。(Cryptonews)[2020/5/29]
6月5日,BAYC在官方推特表示,其Discord服务器今天被短暂攻击,团队很快发现并解决了这个问题,但仍有价值约200ETH的NFT受到了影响,目前团队正在调查,并建议受影响用户发送电子邮件与官方联系。
声音 | 湖南图书馆王旭明:区块链将在保护读者隐私等方面给图书馆带来全新变化:近日,湖南图书馆组织举办了一场专题学习区块链知识的讲座。湖南图书馆副馆长王旭明以“区块链及其在图书馆的应用探析”为题主讲。王旭明介绍了区块链产生的历史背景、形成技术基础和发展过程,剖析了区块链技术在政策、产业、技术和标准等层面的进展,分析了其在金融、政务、民生、公益慈善等方面的应用,并探讨了区块链技术未来发展前景。王旭明表示,在文旅融合的新背景下,图书馆应积极利用区块链的特性与价值解决行业发展的痛点,区块链技术将在保护读者隐私、驱动图书馆项目创新、优化资源组织方式、提高智慧服务和智能交互能力等方面给图书馆带来全新变化,并可进一步降低服务成本,提升服务效能。[2019/11/20]
声音 | 光明日报:区块链技术可成为版权保护的防火墙:光明日报发文“用新技术筑起版权保护的防火墙”。文中表示,版权保护并不是一个新问题,但随着传播技术及形态的变迁,版权方与侵权者之间“猫与老鼠”的戏码更加复杂。知识付费平台有必要重新审视并部署版权保护工作,在平台乃至行业生态中。版权保护中“确权难”“追溯难”的问题,区块链技术的日渐成熟或可带来更多的可能性。众所周知,区块链是一种去中心化的分布式账本数据库,具有公开可追溯、记录不可撤销等特点。照此,每条原创内容都可以通过“哈希化”生成一个特定的指纹,并记录在区块链中,加之国家版权局的背书,从而完成确权及存证。[2019/8/26]
#2?本次事件攻击流程
攻击者地址
0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d
第一步,攻击者将钓鱼网站链接发布到官方社群。
第二步,攻击者通过钓鱼网站获得32个NFT,其中包含2个BAYC。
第三步,攻击者卖出钓鱼获得的NFT,通过外部地址,将142ETH发送到Tornado.cash。
#3?资金追踪
截止发文时,攻击者地址累计转出154ETH,其中有142ETH进入了Tornado.cash。
#4?总结
近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:
项目方员工遭受钓鱼攻击,导致账户被盗;
项目方下载恶意软件,导致账户被盗;
项目方未设置双因素认证且使用弱密码导致账户被盗;
项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discordtoken被盗。
防技巧
1
作为项目方,应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。
2
作为web3用户,应首先具备这样的意识:官方discord账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。
而如今在web3持续火爆的情况下,钓鱼的方式层出不穷。用户需谨记上述防技巧,尽全力保证自己不被钓鱼。但是如果万一已经被,则可以采取下列措施尽可能补救:
-?马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;
-?主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;
-?尽可能保留证据,寻求项目方或机构进行后续处理;
-?可寻求专业的安全公司进行资金追踪,如成都链安。
最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。
来源:成都链安
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。