ISC:保护你的无聊猿 Web3又一起钓鱼攻击事件发生

2022年6月5日，成都链安链必应-区块链安全态势感知平台舆情监测显示，BoredApeYachtClub的Discord社群遭受黑客钓鱼攻击，黑客获利约142ETH。成都链安安全团队第一时间对事件进行了分析，结果如下。

G7将制定央行数字货币指导原则，强调透明度和隐私保护:10月11日消息，周一公布的一份文件草案显示，七国集团（G7）计划呼吁将透明度和隐私保护作为针对央行数字货币（CBDC）制定的一套共同指导原则的一部分。

这13条规则预计将于周三在华盛顿举行的一次财长会议上获得批准。日本共同社（Kyodo News）获得的文件指出，发行此类货币是“主权问题”，但同时表示“通过制定一套共同的原则，强调透明度、法治和健全的经济治理等共同价值观的根本重要性，这些原则可以指导七国集团及以后对零售CBDC的探索。”（The Japan Times）[2021/10/11 20:21:16]

#1事件相关信息

国内外明星如麦当娜、史蒂芬·库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。今年1月，足球明星内马尔宣布以超过100万美元的价格购买了两只“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多，比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。

斯诺登：数字货币崛起不可避免，比特币缺乏隐私保护:近日，中央情报局前雇员，著名举报人爱德华·斯诺登（Edward Snowden）接受采访时讨论了数字货币和比特币。斯诺登称虽然央行数字货币（CBDC）与传统法定货币相比，几乎没有优势，但数字货币的崛起仍然不可避免，因为各国已经意识到数字货币将成为货币的下一阶段。斯诺登还表示，尽管比特币可以作为抵制通货膨胀的一种补救措施，但该网络目前仍无法克服比特币的隐私和吞吐量问题。[2020/12/26 16:35:47]

在web3世界中，网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现，通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击，让人防不胜防。

6月5日，BAYC在官方推特表示，其Discord服务器今天被短暂攻击，团队很快发现并解决了这个问题，但仍有价值约200ETH的NFT受到了影响，目前团队正在调查，并建议受影响用户发送电子邮件与官方联系。

声音 | 中央电视台郑直：央视现在通过区块链技术开展版权保护:据中国新闻出版广电报报道，中央电视台版权和法律事务室主任郑直表示，央视现在通过区块链技术开展版权保护，增强版权保护力度。[2019/4/29]

#2?本次事件攻击流程

攻击者地址

0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d

第一步，攻击者将钓鱼网站链接发布到官方社群。

第二步，攻击者通过钓鱼网站获得32个NFT，其中包含2个BAYC。

思科系统为增强保护员工设备免受勒索强化“AMP for Endpoints”:思科系统（Cisco Systems）于4月16日（美国时间）宣布更新?“Cisco Advanced Malware Protection（AMP）for Endpoints”，这将增强保护员工设备免受勒索软件的能力，以及虚拟货币挖掘恶意软件的能力，并且还宣布了新的电子邮件安全服务。[2018/4/17]

中国人民大学金融科技与互联网安全研究中心主任杨东：投资者保护与教育是当前区块链行业的首要工作:中国人民大学法学院副院长、中国人民大学金融科技与互联网安全研究中心主任杨东教授在今晚的“3点钟”微信群中进行了“投资者风险提示和保护”的主题分享。杨东认为，投资者保护与教育是当前区块链行业的首要工作，原因有三：1、当前存在较为严重的风险与乱象；2、韭菜、投资者是风险的主要承担者；3、投资者是区块链应用于金融业态的重要基础，金融科技必然回归到投资者保护。[2018/3/7]

第三步，攻击者卖出钓鱼获得的NFT，通过外部地址，将142ETH发送到Tornado.cash。

#3?资金追踪

截止发文时，攻击者地址累计转出154ETH，其中有142ETH进入了Tornado.cash。

#4?总结

近期，官方discord遭遇攻击的案例越来越多，经过成都链安安全团队分析，其原因可能有：

项目方员工遭受钓鱼攻击，导致账户被盗；

项目方下载恶意软件，导致账户被盗；

项目方未设置双因素认证且使用弱密码导致账户被盗；

项目方遭受钓鱼攻击，添加恶意书签从而绕过浏览器同源策略，导致项目方Discordtoken被盗。

防技巧

1

作为项目方，应采用官方建议的使用双因素认证、设置强密码等安全操作来保护账户；项目方要警惕针对自己的各种传统网络攻击和社会工程学攻击，避免下载恶意软件，避免访问钓鱼网站。　

2

作为web3用户，应首先具备这样的意识：官方discord账户被盗越来越频繁，官方发布的消息也可能是钓鱼信息，官方不等于绝对安全。此外，在任何需要自己授权或交易的地方都需要谨慎，尽量从多个渠道进行信息交叉确认。　

而如今在web3持续火爆的情况下，钓鱼的方式层出不穷。用户需谨记上述防技巧，尽全力保证自己不被钓鱼。但是如果万一已经被，则可以采取下列措施尽可能补救：

-?马上进行资产隔离，尽快将剩余资产转移到安全位置，避免更大的损失；

-?主动发布声明，告知大家被盗账户的相关信息，避免危及朋友和社区；

-?尽可能保留证据，寻求项目方或机构进行后续处理；

-?可寻求专业的安全公司进行资金追踪，如成都链安。

最后，建议记录并分享被经历，与大家共勉。反钓鱼反，需要每个人都重视，也需要每个人都参与。

来源：成都链安

标签：ISCSCO数字货币CORDaisc币实时行情SCORGI数字货币交易所开发安全解决方案CORD币

欧易okex官网热门资讯