一季度钓鱼攻击造成全网损失1.73亿美元新型欺诈让人防不胜防、束手无策？

首页 > 业界 > 区块链 2024-04-06 23:30:37

币界网报道：

近期，欧科云链发布2024年3月安全月报，全网3月安全事件全网累计造成损失约 1.9亿美元。其中钓鱼事件损失占比为16.72%，远超过RugPull事件损失的9.64%，逐步开始成为黑客们最青睐的一种新型诈骗方式。

与此同时，Scam Sniffer发布3月份的网络钓鱼报告，其中加密领域网络钓鱼诈骗造成7100 万美元损失，比2月增加了50%。2024 年第一季度，网络钓鱼诈骗共造成1.73亿美元损失。此前Scam Sniffer报告称，2023年加密货币网络钓鱼攻击导致32.4万名用户损失近3亿美元。

那么，钓鱼攻击究竟是什么？近期有哪些项目被钓鱼攻击了？普通用户如何应对这些欺诈手段？下文将针对这些问题作对应解答。

钓鱼攻击的手段究竟是什么？毫无底线的攻击者究竟是谁？

“钓鱼”是一种针对加密用户的网络欺骗手段，该手段通过创建伪装成正式网站的假网站来窃取用户的授权、签名和加密资产。钓鱼攻击的路径大多为项目的官推被盗之后，黑客在其官推上发布具有诱导性的钓鱼链接，诱使用户点击链接、交互钱包之后直接窃取其资产。

简单来说，就是黑客盗取项目方或者KOL的推特账号，然后发布虚假的链接再配以诱导性的文字，用户出于对平台或KOL的信任以及利益诱惑，自然会点开迫切按照黑客的提示完成一系列操作，比如在虚假的网站上输入自己的私钥、密码或其他敏感信息。这些信息一旦被攻击者获取，用户的资产很快就会被盗走。毫无底线的窃取行为背后，暗藏着一条巨大的利益链条 — 钓鱼攻击软件提供商及其客户，也就是钓鱼攻击的发起者。

现在提起钓鱼攻击，很多从业者首先想到的就是诈骗团伙Pink Drainer。Pink Drainer团队因在推特和Discord等平台上的高调攻击而臭名昭著，涉及Evomos、Pika Protocol和Orbiter Finance等事件。

Pink Drainer可以向居心不良的攻击者提供一款恶意软件即服务（Malware-as-a-Service，MaaS），能够让对方快速建立恶意的钓鱼网址，通过该恶意软件获取非法资产。

区块链安全公司 Beosin 指出，该钓鱼网址使用一种加密钱包窃取工具，诱使用户签署请求。一旦请求被签署，攻击者将能够从受害者的钱包中转移 NFT 和 ERC-20代币。得手后，Pink Drainer会向攻击者收取被盗资产的30%作为费用。

Dune数据显示，截止到4月4日，Pink Drainer发起的钓鱼攻击已累计造成13415人受害，在全行业累计窃取金额高达5341万美元。

钓鱼攻击泛滥成灾，项目方和投资者一旦中招或将面临万劫不复的境地

钓鱼攻击者的魔爪正伸向越来越多的项目方。

据欧科云链发布的2024年3月安全月报显示，当月官方社媒遭受诈骗与钓鱼事件共发生50起，主要集中在X、Discord 及各类钓鱼网站等渠道。本文为以后梳理了自开年以来部分遭遇钓鱼攻击的头部项目或机构：

1月5日，CertiK 推特账号短暂被盗；1月10日，SEC 推特账号被盗系关联电话号码被非法占用；1月26日，AltLayer 推特账号遭到攻击；1月29日，Masa推特账号疑似被盗并发布虚假空投链接；2月3日，Blockworks创始人推特账号疑似被盗；2月20日，ARPA官方推特账号被盗并发布虚假代币申领链接；3月6日，Aevo高仿推特账号发布的空投钓鱼链接；3月12日，beoble官方推特账号疑似被盗并发布虚假空投链接；3月15日，动视暴雪官方推特账号被盗；3月20日，硬件钱包Trezor推特账号被盗；3月23日，Cointelegraph推特账号疑似被盗。

这其中，最令人错愕的是身为行业权威安全机构的Certik账号被盗，组件欺诈分子的技术更新迭代速度之快。就在1月5日Certik账号被盗当日，攻击者用其账号发布了钓鱼链接，但幸好CertiK很快发现了漏洞，并在几分钟内删除了相关推文。事后Certik在社媒上表示，这是一起持续性地攻击。

同样是遭遇钓鱼攻击，并非所有人都像Certik这样幸运。首先是资产被盗的用户，他们无端承受巨额的资产损伤，却无处追讨，很多时候只能迁怒于项目方；同为受害者的项目方，大多数时候也陷入了百口莫辩的困境，在事发后需要同时启动赔偿手续、危机公关和技术维护等多重工作，这就给项目运营带来了巨大的损失。其中就有些项目方在遭受钓鱼攻击后，资产价格短时暴跌，比如：

3月6日，据 Scam Sniffer 监测，某用户在因网络钓鱼诈骗损失价值73.6万美元的PAAL资产后，PAAL价格在1个小时内的跌幅达到了7.96%。