作者:GoPlusSecurity
11月12日,FTX交易所遭遇黑客攻击,被盗取价值1.89亿美金的各类资产。同时被攻击的还有FTX的主站,APP下载链接被替换为攻击程序,用户一旦下载或更新APP并使用,就会丢失自己的用户名和密码,与此同时,用户在FTX交易所里的所有注册信息均会被盗取。
此事件的影响快速扩大,仅在12日一个周末,被监测到的钓鱼网站数量就发生了迅速增长。
同时也有多家项目方或交易所发布公告,提醒用户注意各种形式的钓鱼攻击。
未来,钓鱼攻击将会覆盖每个数字资产持有者,无论用户是在中心化交易所,还是去中心应用。
攻击者是如何通过用户信息进行钓鱼攻击的?
被Etherscan标记为“Fake_Phishing76350”的EOA账户地址已将资金转至Tornado Cash:金色财经消息,据CertiK监测,被Etherscan标记为“Fake_Phishing76350”的EOA账户地址(0xAe98f)已将资金转至Tornado Cash。该EOA地址总共向Tornado Cash转入26.7 枚ETH(约3.94万美元)。[2023/3/12 12:58:52]
1.攻击者通过攻击中心化交易所,可以获得用户的手机号码、身份信息、常用邮箱等关键资料,这些资料会通过黑市进一步扩散,被更多攻击者所掌握;
2.攻击者可以通过这些信息建立与用户的联系,比如查找用户的社交帐号,给用户发短信、邮件;
“Fight for the Future”呼吁人们联系参议员支持Wyden-Toomey-Lummis修正案:“Fight for the Future(为未来而战)”社区创建一个Dashboard“Red Alert”,加密支持者只需点击几下就可以联系到每一位参议员。随着关于美国国税局将加密市场参与者作为“经纪人”征税提案的辩论愈演愈烈,“Fight for the Future”邀请所有美国人打电话呼呼参议院代表支持基础设施法案(H.R.3684)中关于加密货币规定的Wyden-Toomey-Lummis修正案。到目前为止,这是最“宽容”的修正案,旨在将PoW区块链的矿工和PoS共识的质押者排除在新的税收和会计要求之外。
此外,推特用户还可以@参议员,以吸引他们对新提案的讨论。支持者可以在“#DontKillCrypto”的标签下传播有关此行动的消息。(U.Today)[2021/8/8 1:42:17]
3.利用用户的恐慌心理或使用习惯发送内容,比如”检测到你的帐号有风险,请尽快验证,并附上URL“,诱导用户在点击进入的假中心化交易所输入密码,进行二次验证,或者对假合约进行授权;
Nym测试网“Finney”节点数量突破 8000:隐私基础设施Nym测试网“Finney”节点数量突破 8000,超越比特币钱包常用的匿名通信系统 Tor 网络的节点数。Nym 通过经济激励混合节点运营方和验证者,并鼓励网络根据需求进行扩展,其之后将实现奖励共享和混合算法的证明,并允许持币者进行委托质押以筛选混合节点的运营者。
Nym是一个开源的、无需许可的、去中心化的激励系统,它提供了全栈的隐私,使开发人员构建应用程序无论是在网络流量层面,还是在认证和支付层面,都可以为用户提供强大的保障,以防止元数据监控。[2021/6/17 23:45:27]
4.攻击者获得用户名密码或者授权后,轻松盗取用户资产。
普通用户如何防范钓鱼攻击?
Filecoin官方解答“FIL做市、流通量及矿工罢工”等6大市场疑问:Filecoin官方刚刚发布博客文章,公布社区AMA活动问答内容。官方对近日有关Filecoin“做市”、“矿工罢工、FIL代币流通量”等内容回答了网友相关疑问。
1.有关“做市”:Protocol Labs曾公开表示,将使用代币以确保市场稳定,在交易所买卖文件币以提供市场流动性,稳定价格,纠正针对矿工的不平衡激励措施等。但需明确的是,这些并不是Protocol Labs在进行FIL销售。做市计划是为社区利益,确保在市场刚开始拥有流动性并维稳币价。
2.有关“Protocol Labs团队抛售FIL”:这些指控完全错误,PL和任何团队成员均未出售FIL。市场中引起争议的FIL是市场稳定计划的一部分,主要是为代币发行初期为市场提供流动性和稳定性。
3.有关“矿工罢工”:并未看到任何矿工关停其业务,因此官方并不将其描述为罢工。实际上,矿工成长比主网启动前要慢。很大程度上,这是由于主网不再补贴矿工质押和费用成本。
4.除FIP-004之外,解决矿工抵押担保问题的方案:A.太空竞赛1和2专门设计用于帮助机载矿工并引导网络。B.Codefi、Huobi和其他公司正在开发新的借贷工具,使矿工可以预先获得抵押品,通过分享其未来收益来实现抵押FIL。C.PL还将通过小额贷款支持矿工,以通过第三方提供商提供抵押担保。
5.有关测试网代币转换为主网代币:针对网络传闻“在主网启动前,有人购买大量测试网代币,并称是官方团队某成员泄露代币转换计划并通知矿工。”官方对此予以否认,该信息是官方博客公共信息,每个人都得到的是相同的信息。
6.有关FIL流通量:市场中FIL流通量已达到19,000,000 FIL,没有错误。流通供应主要来自三方面:未公开的采矿奖励、既得的SAFT代币、以及为做市和贷款而保留的代币(几乎所有未使用的代币)。[2020/10/21]
首先,树立防范意识,基于自身情况,建立基本的防范措施
1.不要点击非自己主动触发的短信或邮件链接。
在没有用户主动触发的前提下,官方基本不会主动向用户发送信息,主动触发指的是由用户行为,比如修改密码、确认交易等所触发的二次确认动作,但如果什么都没干就收到邮件、短信,不要点击!不要点击!不要点击!
2.收藏常用网址,二次确认网址是否真实。
从搜索引擎搜索网址时,一定要通过其他方式进行二次确认,比如推特官方帐号,或者通过钓鱼网址检测工具进行检测。
3.如需下载APP或应用程序,尽量在官方网站下载。
一些应用市场可能会提供下载链接,但攻击者可以把假APP或应用程序上架到应用市场,如果该应用市场没有完善的安全检测机制,用户仍然有可能下载到假的APP或应用程序。
4.不要轻易点击社群内的链接。
攻击者可能会伪装成几个身份在社群里互相配合,散布假消息,比如交易所官方被黑,已经不能访问,急需请广大用户通过一个单独链接来转移资产;并强调紧迫性,不然用户的资产全都会被攻击者转走,以此哄用户点击他们发在社群内的钓鱼链接。
以上针对的是攻击者几种主要的钓鱼方式,逻辑并不复杂,但为什么攻击者却能屡屡得手?
一是因为攻击范围大,覆盖用户量大,总有漏网之鱼;二是利用了用户的急躁心态,引发用户恐慌,同时不给用户留出思考时间,用户一旦进入攻击者的圈套,顺着攻击者的逻辑去思考,被就很难避免。
其次,要学会使用安全检测工具
从攻击者的攻击方式上看,关键步骤在于引导用户点击假网址。攻击者通过散布相似网址,引导用户点击进入全站复制正版网页的假网站,以假乱真,取用户登录信息。
如果用户懂得使用钓鱼网址识别工具或社区,是可以对假网址进行有效识别的。
1.PHISHFORT
老牌钓鱼网址服务商,提供钓鱼网址API服务,同时也为普通用户提供浏览器插件,钓鱼网址库不断更新,用户访问钓鱼网址时,PHISHFORT插件可以通过浏览器识别网址信息,并进行钓鱼网址判定,主流网址全部覆盖,对于小众网址的收录也会不断更新。
GoPluseco上的PHISHFORT介绍页
使用说明:
可以从PHISHFORT官网下载插件。
也可以从Chrome插件商店下载。
2.ScamSniffer
上海以太坊黑客松获胜项目,也是Chrome浏览器插件。
GoPluseco上的ScamSniffer介绍页
使用说明:
可以从ScamSniffer官网下载。
也可以在Chrome浏览器插件市场中找到ScamSniffer。
https://chrome.google.com/webstore/detail/scam-sniffer/mnkbccinkbalkmmnmbcicdobcmgggmfc?
点击进行安装,并打开插件。
插件运行时,如遇钓鱼网址,就会弹窗提示。
提示:
1.钓鱼网址的数据库更新是后置的,也就是说当有钓鱼网址上线时,并不会第一时间识别,所以用户并不能避免所有风险,而只是有效缩小风险敞口。
2.钓鱼网址的识别规则并不会完全精准,存在误报的可能。
以上内容均来自GoPluseco,GoPluseco通过聚合行业内优质的安全应用或服务,为用户匹配最优的安全解决方案。遇到安全相关的问题时,不妨来GoPluseco问问,这里有问必答。
原文标题:《MaverickInvestorUpdateonFTXBlow-up》撰文:SimiaoLi,MaverickCrypto编译:饼干.
作者:BlockworksResearch,Westie编译:深潮TechFlow鉴于EVM在开发人员中的普及,人们一直希望将zkRollup技术的可扩展性与EVM的开发者体验相结合.
原文标题:《SpecialReport:Binance''sbooksareablackbox,filingsshow.
作者:李科,PANews2022?年是数字货币发展史中极不平凡的一年,今年?5?月第一大算法稳定币?Luna?脱钩暴雷,引发一系列的连锁反应,三箭资本暴雷.
作者:Ray?Xiao,?Sally?Gu,?IOSGVentures 前言: 在9月底Paradigm官宣完成了区块链安全项目Blowfish的领投又一次引起了大家对智能合约安全分析领域的广泛.
作者:OxCarna 当Web3.0来临之际,区块链技术引导的去中心化变革正在产生深远影响。在这场变革中,数据不仅是促进社会经济运转的重要生产要素,也成为了具备价值流通和传承的资产,它的存储方式.