作者:闌珊脃_ | 来源:互联网 | 2023-07-03 13:22
1 月 15 日,据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测到了一起安全事件。这个事件的主角是加密 KOL:NFT God。他发推称,因
1 月 15 日,据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测到了一起安全事件。他发推称,因黑客入侵其 Twitter、Substack、Gmail、Discord 和钱包,导致其损失全部加密资产和 NFT,黑客还通过盗取的账号发布诈骗链接。被黑原因为此前在新设备上把 Ledger 设置为热钱包而不是冷钱包,助记词在联网电脑上的钱包导入使用了,然后昨日在下载视频流软件 OBS 进行游戏直播后,点击了谷歌上的赞助商链接下载了恶意软件,使黑客可以访问其资金。通俗一点来讲就是,这个大 V 要直播游戏,就 Google 下载 OBS,这个软件本来是开源的,但是他下载是 Google 上的广告链接,里面包含了木马。先后 twitter 账号、加密资产、Substack 都被盗了。加密资产被盗主要是因为他用的热钱包,本地储存或者输入了助记词。
可能受害者不止他一个,因为根据 beincrypto 的报道,黑客们并没有就此止步,他们还从他的 Substack 向他的 16000 多名粉丝发送了两封电子邮件,其中包含被黑的链接。
后果可想而知,粉丝如果点击链接下载木马,可能导致更多人被盗。
因为出现在谷歌上的假网站非常的多,就在 NFT God 这个大 V 的评论里,另外一位推特大 V 质疑谷歌上面的虚假钓鱼网站,同时她希望谷歌有办法与执法部门进行,他们可能知道本案中骗子的身份。在 Beosin此前分析过的安全事件里,类似的情况还有很多。那普通用户有哪些防范指南呢?在我们近期推出的2022 Web3 区块链安全年报里,在第三章节 Web3 用户安全防范指南里,作者 Jason 就写道:“因为 Web3 的链上资产特性,使得其相比传统互联网面临着极其严峻安全风险的考验,Web3 的安全分为 B 端和 C 端,B 端安全事件的特点是金额大,集中度高,但是手段也更加多样性很难被穷举,C 端安全事件的特点是金额小(当然也存在如 Fenbushi Capital 创始合伙人价值4200 万美元个人资产被盗情况),但是分散度高。”助记词私钥是最严重的一类问题,一旦泄漏之后将意味着你彻底丧失对钱包的拥有权,对方可以完全的操控转移你钱包中的任何资产。
不少用户会将助记词私钥直接明文存储在云盘中,若你的云盘密码泄漏,甚至是第三方网盘公司数据泄漏,都可能会导致助记词私钥被曝光。即使你存储在设备本地,如电脑记事本,或者是通过截屏存储在手机相册,当你的设备丢失,或中了木马病毒,也都有可能会泄漏助记词私钥,也有不少朋友习惯通过社交平台、邮件等存储或传输,这些行为都具有极大的安全隐患,在传输的过程中可能会被截获,以及若传输的设备丢失,或者账号泄漏,也都会导致助记词曝光,所以明文存储在触网设备中,都有泄漏风险。除此以外,不少用户在登陆时将助记词私钥复制粘贴,在这个过程中也存在泄漏风险。
很多用户会通过谷歌搜索关键词的方式进入到诸如 Opensea 等交易平台中,但是会有不少假冒网站诱导你去点击,甚至假冒网站在搜索结果中的排名比真的网站还要高,这类网站以假乱真,从 UI 样式和功能与真的相差无几,域名也极其的相似,当你打开这类网站后通常会要求你进行“钱包”登陆,它们通常还会配套的在网站中伪装一个假钱包,当你在假网站中输入助记词登陆后,你的资产就会被瞬间转移走。
除了黑客骗取助记词私钥偷盗资产以外,用户丢失助记词私钥所产生的资产损失也不容小觑,很多用户会将助记词记录在电脑记事本中,或者手写在纸条上,最终可能在电脑报废、搬家等原因的情况下导致助记词私钥丢失,从而无法取回资产,目前大量存有资产的但长期无任何交易的僵尸地址可能有很大一部分都是助记词私钥导致的,这些资产将会被彻底锁死。
助记词私钥不可以触网保存,不要直接将其明文存储在云盘,不要通过微信、邮箱等渠道传送助记词私钥,也不要明文保存在本地,最好是离线保存助记词私钥。也可以使用多签钱包、智能钱包来保存,随着账户抽象概念的落地,越来越多的智能钱包具备社交恢复等能力,这对于资产的安全存储也是很大的一步。避免复制粘贴完整助记词的情况,如果需要的话,可以分段复制,每复制一段,再复制其他的内容冲刷一次,然后再复制另外一段。一切要求你输入助记词私钥的情况,你都可以先将其假定为是钓鱼网站,同时可以配合使用 Beosin Alert、MetaShield 等安全插件使用,这类插件都会收录黑名单库辅助你去判断,如下图是 Beosin Alert 识别到一个假冒的 Coinmarketcap 网站,大家可以试着来找找看这个假冒网站的破绽在哪里。https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=en
大家在 Opensea 检查一下自己的 NFT,在 hide 栏目中应该会发现不少奇奇怪怪从来没有见过的 NFT,甚至有报出很高价格的 offer,里面也许就有黑客空投给你来诱导进入钓鱼网站的 NFT,之前曾经有传言说如果接受空投 NFT 的 offer 就会导致资产被盗,其实并不会的,这类空投的套路实际上是诱导你打开空投 NFT 的网站,然后在网站里通过签名授权的方式盗取你的资产,空投只是诱导你打开网站的一个手段。
大家在 Discord 中应该经常会收到一些冒充官方给你发送的私信,以天上掉馅饼的形式告诉你获得了某个 NFT 的 free mint 权,然后下面会附带一个网址,这个网址的名字和该 NFT 非常相似,你点击后打开的样式也长的很像,然后下面会有一个大大的 mint 按钮,并伴随着跳动的数字告诉你距离结束已经不久了,于是你会认为自己捡了个大便宜,赚钱的欲望冲破了理性抓紧下意识的点击按钮、支付 gas、授权资产一气呵成,然后就会发现自己的 NFT 被转走了。
很多即将发售的 NFT 都可能面临被注册虚假 Twitter 账号的问题,甚至这些虚假账号的粉丝数比真实账号还要多,比如某个 NFT 项目还未发售,但是其虚假账号突然宣布进行发售并放出钓鱼网站,然后大量对该项目期待已久的用户因为 fomo 情绪就会冲进去中招。
这一类是危害面最大的传播手段,如上文中提到的 BAYC 官方的 Discord 被黑,以及其他项目也有出现 Twitter 官方账号被盗的情况,以官方的形式直接发送通告诱导大家点击钓鱼网站,因为大量用户看到是官方发的于是就会带有信任感从而中招。
这一类则也在上文中提到过,钓鱼网站因为高仿和域名相似,有时候在谷歌搜索关键词出来的排名甚至高于真实网站,从而用户会进入钓鱼网站中招。
虽然很多人说 Web3 是捡钱的行业,但是不要相信“天上掉馅饼”,认真的看一看消息来源渠道是否是官方,检查域名是否正确,三思而后行。
除非你正在进行挂单等行为,当你的钱包出现要求你进行资产的 approve 和 transfer 操作时,一定要极其谨慎的检查当下你是否真的意图在执行这样的操作,以及一切盲签署都要谨慎进行,检查签名内容和来源,确保当前要求你进行的操作确实是你的意图。
准备至少 2 个钱包,1 个存储少量资金用于日常交易,另外一个存储不常用的较大资金,该钱包只用于存钱尽量避免交易,这样即使你遇到了钓鱼事件被盗的资产也会有限。
可以安装上文中提到的如 Beosin Alert、MetaShield 等安全插件,若你打开的网站处于它们的黑名单库时则会及时的预警。Web3 的世界,一定不能大意,想了解更多安全防范知识,可以再公众号后台回复“2022”查看安全年报完整版 pdf。
Beosin 作为一家全球领先的区块链安全公司,在全球 10 多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规 KYT/AML 等“一站式”区块链安全产品 + 服务,目前已为全球 2000 多个区块链企业提供安全技术服务,审计智能合约超过 3000 份,保护客户资产高达 5000 多亿美元。欢迎点击公众号留言框,与我们联系。
京公网安备 11010802041100号