2022年6月5日,成都链安链必应-区块链安全态势感知平台舆情监测显示,BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击,黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析,结果如下。
#1事件相关信息
国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月,足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多,比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。
欧洲央行执委Panetta:稳定币面临包括数据安全、遵守数据保护法等问题:欧洲央行执委Panetta表示,稳定币面临的问题包括数据安全,遵守欧盟数据保护法问题,乃至切断欧洲金融创新命脉的风险。(金十)[2020/11/4 11:38:06]
在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击,让人防不胜防。
6月5日,BAYC在官方推特表示,其Discord服务器今天被短暂攻击,团队很快发现并解决了这个问题,但仍有价值约200ETH的NFT受到了影响,目前团队正在调查,并建议受影响用户发送电子邮件与官方联系。
分析:因SEC过度保护 美国零售投资者很难进入比特币期货市场:比特币期货未平仓合约(OI)最近接近历史最高水平。CoinDesk记者Zack Voell称,美国散户投资者不被允许交易BTC衍生品。OI飙升通常表明趋势将会持续。最近比特币价格呈上升趋势,在3月中旬价格暴跌后,再次突破9000美元。然而,在美国仅极少数最富有的交易者能真正交易期货合约。Bakkt和CME集团只欢迎合格投资者。提供流动性良好的比特币衍生品的交易所严格禁止美国交易者进入,包括OKEx、BitMEX、火币、币安、Bybit、Deribit、FTX、Kraken和Bitfinex。这意味着美国零售交易者基本上被禁止交易比特币期货。Voell强调,美国交易者进入市场的渠道非常少。“这是为了保护我们。记住感谢我们的监管机构。”比特币行业许多人并不太喜欢这种监管。人们强烈鄙视立法者在市场上的干预,普遍认为应该由个人来衡量自己的风险。这与SEC的官方规定背道而驰:SEC的任务是保护投资者;维持公平、有序和高效的市场;促进资本形成。UsefulTulips.org数据科学家Matt Ahlborg称,SEC不应掌握哪些人可以或不能交易哪些金融产品。(Beincrypto)[2020/5/7]
#2?本次事件攻击流程
马小峰:区块链将带来消费者数据保护“革命”:同济大学区块链研究院院长马小峰表示,区块链技术将首先深度嵌入消费领域的信息保护,尤其是用户与消费者的隐私保护,与信息红利相关联的交易会越来越正规。上个月,央行发布了《个人金融信息保护技术规范》,对此,马小峰表示,相关政策出台后,中国会越来越重视个人信息的保护,而区块链则是技术保障。”马小峰谈到,未来的世界将是一个信息化的数字世界,互联网企业过去通过泄露用户数据而获利的情况将不允许再发生。“可以想象,在那样一个背景下,区块链将是信息加密保护与授权的钥匙,利用信息获取收益与分得利益的情况会越来越正规化。(华西都市报)[2020/3/13]
攻击者地址
0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d
柏林区块链公司Madana电子数据保护专利获批:金色财经独家获悉,柏林区块链公司Madana此前提交的“支持透明且不间断报酬的第三方数据处理电子数据自动保护流程”专利已经获批,并于3月2日正式激活,预计专利到期时间为2038年3月23日。根据介绍,每个人都是数据创建者,尤其是使用数字服务(比如应用程序、浏览器)或使用社交网络(比如Facebook、Twitter)的时候,另外,温度传感器、铣床、脉冲计数器之类对人有帮助的电子设备也会生成可以评估的电子数据,因此非常有价值。但是,数据生成方通常不能自由地确定其数据,通常必须同意服务提供者的非透明条款和条件才能使用其服务,从而将数据权利移交给服务提供者。金色财经了解到,Madana的专利提供了一种用于保护电子数据的方法和系统,在第三方进行数据处理之后,允许数据接收者在不知道数据生成者身份的情况下为他们提供补偿。
此外,Madana也是Lisk上首个侧链项目,在遵守《通用数据保护条例》“Privacy-by-Design隐私设计”要求的基础上为跨行业数据共享和数据分析提供透明平台,让用户自己掌握自己的“数据主权”。[2020/3/3]
第一步,攻击者将钓鱼网站链接发布到官方社群。
第二步,攻击者通过钓鱼网站获得32个NFT,其中包含2个BAYC。
第三步,攻击者卖出钓鱼获得的NFT,通过外部地址,将142ETH发送到Tornado.cash。
#3?资金追踪
截止发文时,攻击者地址累计转出154ETH,其中有142ETH进入了Tornado.cash。
#4?总结
近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:
项目方员工遭受钓鱼攻击,导致账户被盗;
项目方下载恶意软件,导致账户被盗;
项目方未设置双因素认证且使用弱密码导致账户被盗;
项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discordtoken被盗。
防技巧
1
作为项目方,应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。
2
作为web3用户,应首先具备这样的意识:官方discord账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。
而如今在web3持续火爆的情况下,钓鱼的方式层出不穷。用户需谨记上述防技巧,尽全力保证自己不被钓鱼。但是如果万一已经被,则可以采取下列措施尽可能补救:
-?马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;
-?主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;
-?尽可能保留证据,寻求项目方或机构进行后续处理;
-?可寻求专业的安全公司进行资金追踪,如成都链安。
最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。
来源:成都链安
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。