许多用户喜欢使用浏览器插件(如MetaMask,TokenPocket)来方便地进行区块链交易。攻击者可能会通过钓鱼网站诱导用户安装假冒的插件。这些插件一旦安装,会偷偷记录用户的交易行为,窃取私钥,进行多重签名。
交易加速器或优化工具
这类工具通常声称能帮助用户加速交易确认或优化链上操作,用户往往需要输入私钥或签名来使用这些功能。攻击者通过诱导用户在使用过程中输入关键信息,将其偷偷记录下来。
攻击者会创建一些伪造的交易网站或Telegram小程序(如伪造的Pepebot),要求用户提供私钥或助记词来绑定钱包,诱骗用户进行土狗交易或其他操作。实际上,攻击者通过这些手段窃取用户的私钥,然后转走钱包里的所有资产。
项目Wormhole发布空投公告时,许多推特模仿官方账户发布假空投链接。图1项目方名称为@studioFMmilano1h,图2假冒项目方为@studioFMmilano,而真正的项目方为@wormhole。
冒仿网站签名:
以moonbirds-exclusive.net/钓鱼网站为例,该网站为模仿www.proof.xyz/moonbirds的冒仿网站,当用户连接钱包并点击Claim后,会弹出一个签名申请框。此时,Metamask会显示一个红色警告,但由于弹窗上并未明确显示签名内容,用户很难判断这是否是一个陷阱。一旦用户进行了签名,骗子就可以使用用户的私钥签署任何交易,包括转移资产。
Permit签名:
某用户在质押期间在钓鱼网站进行了Permit签名,用户第一时间去检查了也没发现异常授权。钓鱼却在之后上链这笔permit离线授权签名,给目标地址的目标资产开了个授权风险敞口,但目标用户并没法知晓,直到目标用户提出相关再质押的ETH资产,钓鱼立即转走,因此该用户丢失了212万美金。
图3.账户被permit离线授权签名
恶意多重签名的钓鱼方法有很多,最常见的为攻击者故意泄漏私钥或虚假插件/钱包
攻击者故意泄漏私钥:
攻击者在社交媒体或通过其他途径泄露私钥,通过各类话术诱骗受害者往钱包内转入加密资产,直到受害者发现资产无法转出后,攻击者再将钱包资产进行转移。
虚假TokenPocket钱包:
受害者在搜索引擎上搜索TP钱包并非官方网站下载TP钱包。而实际下载的并非官方钱包,而为攻击者在互联网投放的虚假钱包,用户绑定助记词后,受害者的钱包就会自动被多签,从而无法将资产转移。
受害者在推特发现了一个自称专做WEB-3撸毛及各类脚本开发的博主,受害者下载并运行了该博主免费赠送的脚本,结果发现钱包被洗劫一空,失去了价值700USDT的代币。
核实链接和网址
在访问任何与加密货币相关的网站时,务必核实链接和网址的真实性。钓鱼攻击者常常会创建与官方网站极为相似的假冒网站,仅修改几个字符,一但不小心就可能中招。因此,防范的第一步就是:
1.避免点击陌生链接:收到的任何陌生邮件、社交媒体消息或不明来历的链接都需要格外小心,尤其是那些声称来自官方渠道的推广信息、空投活动或账户问题提示。
2.使用书签保存常用的官方网站:访问加密货币交易所或钱包服务时,建议直接使用浏览器中保存的书签,而不是通过搜索引擎查询,以防误入钓鱼网站。
多重身份验证(2FA)
多重身份验证(2FA)是增加账户安全的重要措施之一。在账户登录时,除了密码外,还需要额外的验证步骤,通常是通过手机短信、身份验证器应用程序生成的动态验证码,来确认身份。
1.开启2FA:务必为所有支持2FA的加密货币账户开启这一功能,包括交易所账户、钱包应用等。即便攻击者获取了你的密码,没有2FA的验证码,他们仍然无法登录账户。
2.使用身份验证器应用:尽量选择使用GoogleAuthenticator、Authy等身份验证器应用,而非短信验证,因为短信可能会遭遇SIM卡劫持攻击。
3.定期更新2FA设备:确保你绑定的手机或验证设备是最新的。如果手机丢失或更换,及时更新2FA设备,避免安全隐患。
安全意识培养
区块链钓鱼攻击的手法不断演变,因此必须持续学习和保持安全意识。
1.关注安全社区和新闻:定期关注区块链和加密货币安全的相关新闻、博客和社区论坛,获取最新的安全资讯和预警,避免掉入新的钓鱼陷阱。
2.提高警惕:养成在任何敏感操作(如授权签名、交易转账)前仔细检查操作内容的习惯,不随意在陌生网站或平台上连接钱包或进行签名操作。
钱包安全管理
钱包是加密货币的核心存储工具,妥善管理钱包的安全对防止钓鱼攻击起至关重要的作用。
1.不要泄露助记词或私钥:助记词和私钥是控制钱包的关键,一旦泄露,攻击者可以直接获取钱包中的资产。因此,助记词和私钥必须妥善保管,绝不能透露给任何人,也不要存储在联网设备上。
2.使用冷钱包储存大额资产:冷钱包是指未连接互联网的钱包,通常是硬件钱包,安全性较高。对于长期持有的大额资产,建议存放在冷钱包中,以防止在线攻击。
3.合理使用热钱包:热钱包是连接互联网的钱包,便于日常交易,但安全性相对较低。建议将少量的日常交易资金放在热钱包中,尽量将大部分资金存放在冷钱包里,分散风险。
4.定期备份钱包数据:确保钱包助记词、私钥或恢复密码等信息有可靠的备份。建议将备份信息存放在安全的、离线的地方,如加密的USB设备或实体纸张。
在区块链的世界中,用户的每一步操作都可能直接影响资产安全。随着技术的发展,钓鱼攻击手法也在不断升级,因此我们必须时刻保持高度警惕,提升自我防护意识,避免掉入骗局。无论是核实链接、使用安全设备、开启多重身份验证,还是妥善管理钱包,这些细小的举措都能为我们的资产构筑起一道坚固的防线。
务必慎之又慎,莫操之过急!
以上就是什么是区块链钓鱼攻击?区块链钓鱼攻击解析的全部内容,望能这篇什么是区块链钓鱼攻击?区块链钓鱼攻击解析可以帮助您解决问题,能够解决大家的实际问题是非常好学习网一直努力的方向和目标。