2022年6月5日,成都链安链必应-区块链安全态势感知平台舆情监测显示,BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击,黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析,结果如下。
LFG:将价值7.5亿美元的BTC贷款给OTC交易公司,以帮助保护UST挂钩:金色财经报道,Luna Foundation Guard(LFG)发推称,在过去的几天里,整个加密资产的市场波动是显著的,市场的动荡也反映在各钟传统资产类别不确定的宏观条件上。根据 LFG 的授权,LFG 将积极保护Terra 经济的稳定性,尤其是在传统市场的波动和宏观条件不确定的情况下。因此,LFG理事会已经投票决定执行以下内容:
1.将价值7.5亿美元的BTC贷款给OTC交易公司,以帮助保护UST挂钩。
2.贷款7.5亿美元的UST,以便在市场条件正常化时积累BTC。
交易员将在市场的两边进行交易,以帮助完成#1和#2,最终随着市场条件的逐步稳定,维持LFG储备池的平价(以BTC计价)。[2022/5/9 3:00:25]
#1事件相关信息
国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月,足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多,比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。
前美国消费者金融保护局局长加入加密监控初创公司Solidus Labs,担任最高监管官员:加密监控初创公司Solidus Labs已聘请美国消费者金融保护局(CFPB)的前任局长担任其最高监管官员。Kraninger将领导和建立Solidus Labs的监管团队,将大部分时间与监管机构、美国立法者和传统机构合作,解释如何有效监管数字市场。(EconomicTimes.IndiaTimes)[2021/7/22 1:09:42]
在web3世界中,网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现,通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击,让人防不胜防。
6月5日,BAYC在官方推特表示,其Discord服务器今天被短暂攻击,团队很快发现并解决了这个问题,但仍有价值约200ETH的NFT受到了影响,目前团队正在调查,并建议受影响用户发送电子邮件与官方联系。
动态 | 央行:出台个人金融信息保护、区块链等金融科技系列监管规则:央行金融科技委员会会议在北京召开。会议强调,加大金融科技监管力度,出台个人金融信息保护、区块链等金融科技系列监管规则,发挥标准规则、检测认证作用,构建涵盖行业监管、社会监督、协会自律、机构自治的金融科技创新管理“四道防线”。(财联社)[2019/12/30]
#2?本次事件攻击流程
攻击者地址
0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d
动态 | 日本自民党讨论数字货币投资者保护问题:据读卖新闻报道,日本自民党有志议员表明为了使加密货币市场更加健全,将在17日成立“考虑正确使用新型货币的议会联盟”,该联盟将就如何保护投资者、修改相关法律等问题展开讨论。该联盟将由众议院议员竹本直一担任该联盟会长。[2018/7/16]
第一步,攻击者将钓鱼网站链接发布到官方社群。
第二步,攻击者通过钓鱼网站获得32个NFT,其中包含2个BAYC。
网络安全公司Sikur推出可以保护数字货币安全的手机:周二,德国网络安全公司Sikur在西班牙巴塞罗那的移动世界大会上推出了售价799美元的SIKURPhone。它有一个内置的数字货币钱包,旨在保护比特币等数字货币的安全。该公司声称,该公司对无法穿透该设备的黑客进行了测试。Sikur的首席执行官克里斯蒂亚诺?洛普(Cristiano Lop)通过电子邮件向CNBC表示:“在2018年第二季度末,我们将在我们的平台上交付一个加密钱包,将钱包的使用范围扩大到SIKURPhone之外,这意味着我们的客户应该能够通过一个实体设备安全地存储他们的数字货币”。[2018/2/27]
第三步,攻击者卖出钓鱼获得的NFT,通过外部地址,将142ETH发送到Tornado.cash。
#3?资金追踪
截止发文时,攻击者地址累计转出154ETH,其中有142ETH进入了Tornado.cash。
#4?总结
近期,官方discord遭遇攻击的案例越来越多,经过成都链安安全团队分析,其原因可能有:
项目方员工遭受钓鱼攻击,导致账户被盗;
项目方下载恶意软件,导致账户被盗;
项目方未设置双因素认证且使用弱密码导致账户被盗;
项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discordtoken被盗。
防技巧
1
作为项目方,应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户;项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击,避免下载恶意软件,避免访问钓鱼网站。
2
作为web3用户,应首先具备这样的意识:官方discord账户被盗越来越频繁,官方发布的消息也可能是钓鱼信息,官方不等于绝对安全。此外,在任何需要自己授权或交易的地方都需要谨慎,尽量从多个渠道进行信息交叉确认。
而如今在web3持续火爆的情况下,钓鱼的方式层出不穷。用户需谨记上述防技巧,尽全力保证自己不被钓鱼。但是如果万一已经被,则可以采取下列措施尽可能补救:
-?马上进行资产隔离,尽快将剩余资产转移到安全位置,避免更大的损失;
-?主动发布声明,告知大家被盗账户的相关信息,避免危及朋友和社区;
-?尽可能保留证据,寻求项目方或机构进行后续处理;
-?可寻求专业的安全公司进行资金追踪,如成都链安。
最后,建议记录并分享被经历,与大家共勉。反钓鱼反,需要每个人都重视,也需要每个人都参与。
来源:成都链安
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。