保护你的无聊猿 Web3又一起钓鱼攻击事件发生

2022年6月5日，成都链安链必应-区块链安全态势感知平台舆情监测显示，Bored Ape Yacht Club（无聊猿）的Discord社群遭受黑客钓鱼攻击，黑客获利约142 ETH。成都链安安全团队第一时间对事件进行了分析，结果如下。

#1 事件相关信息

国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月，足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多，比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。

在web3世界中，网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现，通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击（详见维基百科：社会工程学），让人防不胜防。

6月5日，BAYC在官方推特表示，其Discord服务器今天被短暂攻击，团队很快发现并解决了这个问题，但仍有价值约200 ETH的NFT受到了影响，目前团队正在调查，并建议受影响用户发送电子邮件与官方联系。

#2 本次事件攻击流程

攻击者地址

0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d

第一步，攻击者将钓鱼网站链接发布到官方社群。

第二步，攻击者通过钓鱼网站获得32个NFT，其中包含2个BAYC。

第三步，攻击者卖出钓鱼获得的NFT，通过外部地址，将142ETH发送到Tornado.cash。

#3 资金追踪

截止发文时，攻击者地址累计转出154（约275944.9美元）ETH，其中有142（约254442.7美元）ETH进入了Tornado.cash。

#4 总结

近期，官方discord遭遇攻击的案例越来越多，经过成都链安安全团队分析，其原因可能有：

• 项目方员工遭受钓鱼攻击，导致账户被盗；

• 项目方下载恶意软件，导致账户被盗；

• 项目方未设置双因素认证且使用弱密码导致账户被盗；

• 项目方遭受钓鱼攻击，添加恶意书签从而绕过浏览器同源策略，导致项目方Discord token被盗。

防骗技巧

而如今在web3持续火爆的情况下，钓鱼诈骗的方式层出不穷。用户需谨记上述防骗技巧，尽全力保证自己不被钓鱼诈骗。但是如果万一已经被诈骗，则可以采取下列措施尽可能补救：

- 马上进行资产隔离，尽快将剩余资产转移到安全位置，避免更大的损失；

- 主动发布声明，告知大家被盗账户的相关信息，避免危及朋友和社区；

- 尽可能保留证据，寻求项目方或机构进行后续处理；

- 可寻求专业的安全公司进行资金追踪，如成都链安。

最后，建议记录并分享被骗经历，与大家共勉。反钓鱼反诈骗，需要每个人都重视，也需要每个人都参与。

来源：成都链安