WEB3 安全系列 || 你今天被‘钓鱼“了么,Web3被攻击及损失案例分析

t01f465e8d7c6611642

随着web3领域各种应用程序的相继发展,安全问题也随之凸显。近期钓鱼诈骗攻击事件频发,各种钓鱼攻击手法层出不穷。此时,如何更清楚地了解钓鱼攻击;如何避免被钓鱼显得尤为重要。

本系列文章从web3安全出发,持续跟进web3安全动态。

邮件钓鱼

攻击者利用各种热点nft发售、钱包升级、nft预售、空投领取、合约升级,项目更换网站、特价nft、中签等为由,发送钓鱼邮件,内含精心模仿的官方网站、预售平台,app下载链接等,用户稍不留意就会中招。

邮件钓鱼案例

1、黑客了解到 Opensea 需要用户对其卖单进行迁移,并且清楚 Opensea 官方提前发出了迁移日期和操作步骤的邮件。

t0123b8056bd9ba998d

2、黑客提前制作好钓鱼网站,并且部署合约。

t01aa60e9d1ac84972d

3、通过伪造的邮件通知用户进行迁移操作,引导受害用户在该钓鱼网站上进行卖单迁移操作。这个迁移操作就是让用户对其销售的卖单进行签名,然而签名的卖单价格是0。

t019b395e1fb0ca6905

4、黑客拿到用户签了名的卖单信息,通过调用 OpenSea 的交易合约就能以0的价格完成交易,顺利拿到受害者的NFT。

t01094efc7947656207

如何避免

  • 邮件发件人是可以伪造的,不能以邮件发件人来判断是否是官方邮件
  • 点击右键中的地址后,判断浏览器显示的地址是不是自己想要访问的网站
  • 官方不会在邮件里要求你提供任何个人信息,如果有请判断是否为官方邮件
  • 对于常用的网站添加到书签,每次使用的时候自己主动点击而不是在其他地方打开

假冒官方

“钓鱼网站“是指用来欺骗用户的虚假网站,它的页面与真实网站界面基本一致,以假乱真欺骗和窃取用户的私钥或者助记词。钓鱼网站一般只有一个或几个页面,和真实网站差别细微 。该诈骗手段由来已久,骗子传播噱头大多是领取空投、帮助解决问题或其他手段。

假冒官方网站钓鱼

钓鱼网站:https://adidas-meta.com/

t01257e2d46b8affbfa

1、攻击者首先创建了一个模仿官方的Twitter账户,并发布了Adidas Avatar free claim的推特,并在评论区@了很多粉丝.

t011d8851d65e862756

2、打开网站,连接钱包并点击Claim Now,他将要求你执行setApprovalForAll授权攻击账号,而且你点拒绝后,他会一直弹出该请求框。

t01e0d8809482e45619

3、如果你没能及时关闭钓鱼网站,而他一直在弹窗,你刚好准备交易,没看清楚很可能会误以为opensea的请求,从而授权。

4、在攻击者或者授权后,攻击者便可以转走你的NFT了。

t01b0f9bf0a91d18f9d

如何避免

  • 仔细检查Twitter账户是否官方账户
  • 每当看到setAppRovalForall的签名请求,仔细检查授权地址
  • 如果不小心批准,尽可能快的在攻击者转移NFT之前撤销授权

本文由零时科技原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/273843

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/18777

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年7月3日 下午3:19
下一篇 2022年7月3日 下午3:22

相关推荐