FX168财经报社(香港)讯 加密货币的非同质化代币(NFT)市场在本周末,突然发生出乎意料的大事情。刚经历黑客事件的无聊猿BAYC,再次遭到黑客踩踏,旗下Discord社群出现钓鱼性的链接点击,获利逾25万美元,灾难性程序攻击诱骗投资者。Web3钓鱼出现后,币圈疯狂转发提醒与警告项目投资者。
(来源:Engadget)
无聊猿作为蓝筹级的NFT领袖项目,海内外明星像是麦当娜、库里、周杰伦、林俊杰等都曾入手“无聊猿”系列NFT。2022年1月,足球明星内马尔宣布以超过100万美元的价格购买2个“无聊猿”NFT。而近期关于NFT的钓鱼攻击也逐渐增多,比如在“愚人节”当天周杰伦的无聊猿就曾遭遇钓鱼攻击。
通过官方推特,无聊猿强调写道,旗下Discord服务器被短暂攻击,团队很快发现并解决这个问题,但仍有价值约200 ETH的NFT受到影响,目前团队正在调查,并建议受影响用户发送电子邮件与官方联系。
据调查,攻击者地址为0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d,该地址首先将钓鱼网站链接发布到官方社群,再来通过钓鱼网站获得32个NFT,其中包含2个BAYC。最后,攻击者地址卖出钓鱼获得的NFT,通过外部地址,将142 ETH发送到Tornado.cash。
攻击者地址累计转出154 ETH,约合275944.90美元,其中有142 ETH,约合254442.70美元进入Tornado.cash。
针对近期多个NFT项目的官方Discord遭遇攻击越来越频繁,经过成都链安安全团队分析,其原因可能有:项目方员工遭受钓鱼攻击,导致账户被盗;项目方下载恶意软件,导致账户被盗;项目方未设置双因素认证且使用弱密码导致账户被盗;项目方遭受钓鱼攻击,添加恶意书签从而绕过浏览器同源策略,导致项目方Discord Token被盗。
就观察来看,项目方的Discord官方社群都会提醒投资者,不会使用私讯方式来推送任何官方的资讯。尽管如此,仍有诸多投资者为了蝇头小利,选择相信私讯中传送的免费加密货币,或是无需任何方式就直接投送的NFT空投。
为能避免再有类似钓鱼事件发生,提供下列建议:
一、始终使用冷钱包来保护您钱包中的NFT与加密货币免受欺诈。使用USB等冷钱包可以保护用户免受互联网黑客的攻击。黑客主要针对钱包地址,因为他们获得访问权并获取大量加密货币和其他产品;
二、当您开始投资这些数字资产时,始终保护个人设备。大多数人没有意识到设备可以被任何来源从任何方向检查,当持有这些资产的设备安全时,就不用担心被黑客入侵;
三、避免点击网站、Discord社群与任何其他社交媒体平台上发布的链接。当点击链接时,会向数字资产所有者指示转移批准,这个过程称为安全传输;
四、不要访问包含其他敏感用户的互联网,当避免使用公共互联网资源时,就会这样做。这些互联网被认为具有攻击机密信息的跟踪器。
