PTC:慢霧：Discord私信釣魚手法分析_QUO

事件背景

5月16日凌晨，當我在尋找家人的時候，從項目官網的邀請鏈接加入了官方的Discord服務器。在我加入服務器后立刻就有一個"機器人"(Captcha.bot)發來私信要我進行人機驗證。這一切看起來相當的合理。我也點擊了這個驗證鏈接進行查看。

釣魚手法分析

我訪問"機器人"(Captcha.bot)發來的鏈接后，是有讓我進行人機驗證的，但是當我驗證通過后，發現它要求喚起我的小狐貍(MetaMask)錢包，喚起的錢包界面挺真實的，如下圖所示，但是我看到了錢包的地址欄顯示"about:blank"這引起了我的警惕，如果是插件喚起的就不會有這個"about:blank"的地址欄了。接下來我隨意輸入了密碼，并且通過審查元素查看，確定這個小狐貍(MetaMask)界面是由虛假網站"https://captcha.fm/"彈出的，并不是真實的錢包界面，于是我開始調試這個錢包。

慢霧：過去一周Web3生態因安全事件損失約2400萬美元:6月19日消息，據慢霧發推稱，過去一周Web3生態系統因安全事件損失約2400萬美元，包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT與LEV/USDC、Midas Capital，總計23,795,800美元。[2023/6/19 21:46:18]

在隨意輸入密碼后，這個虛假的錢包界面進入到"SecurityCheck"界面，要求我輸入助記詞進行驗證。注意，輸入的密碼和和助記詞會被加密發送到惡意站點的服務端。

慢霧：昨日MEV機器人攻擊者惡意構造無效區塊，建議中繼運營者及時升級:金色財經報道，慢霧分析顯示，昨日MEV機器人被攻擊的問題原因在于即使信標區塊不正確，中繼仍將有效載荷（payload）返回給提議者，導致了提議者在另一個區塊被最終確定之前就能訪問區塊內容。攻擊者利用此問題，惡意構造了無效的區塊，使得該區塊無法被驗證，中繼無法進行廣播（狀態碼為202）從而提前獲得交易內容。mev-boost-relay昨日已緊急發布新版本緩解此問題，建議中繼運營者及時升級中繼。

據此前報道，昨日夾擊MEV機器人的惡意驗證者已被Slash懲罰并踢出驗證者隊列。[2023/4/4 13:43:37]

慢霧：警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道，近期，慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試，通過一個如圖這樣的“Root 簽名”即可以極低成本（特指“零元購”）釣走目標用戶在 Blur 平臺授權的所有 NFT，Blur 平臺的這個“Root 簽名”格式類似“盲簽”，用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕，當發現來非 Blur 官方域名(blur.io)的“Root 簽名”，一定要拒絕，避免潛在的資產損失。[2023/3/7 12:46:39]

通過分析域名可以發現，這惡意域名captcha.fm解析到了172.67.184.152和104.21.59.223，但是都是托管在cloudflare上，只能是反手一個舉報了。

聲音 | 慢霧：使用中心化數字貨幣交易所及錢包的用戶注意撞庫攻擊:據慢霧消息，近日，注意到撞庫攻擊導致用戶數字貨幣被盜的情況，具體原因在于用戶重復使用了已泄露的密碼或密碼通過撞庫攻擊的“密碼生成基本算法”可以被輕易猜測，同時用戶在這些中心化服務里并未開啟雙因素認證。分析認為，被盜用戶之所以沒開啟雙因素認證是以為設置了獨立的資金密碼就很安全，但實際上依賴密碼的認證體系本身就不是個足夠靠譜的安全體系，且各大中心化數字貨幣交易所及錢包在用戶賬號風控體系的策略不一定都一致，這種不一致可能導致用戶由于“慣性思維”而出現安全問題。[2019/3/10]

分析惡意賬號

下載保存好惡意站點的源碼后，我將情報發給了項目方團隊，并開始分析這次釣魚攻擊的賬號。由于我剛加入家人群，就收到了下面的這個地址發來的驗證消息。經過分析，這個賬號是一個偽裝成Captcha.bot機器人的普通賬號，當我加入到官方服務器后，這個假Captcha.bot機器人立刻從官方服務器私發我假的人機驗證鏈接，從而引導我輸入錢包密碼和助記詞。

我在相關頻道里面搜索了Captcha.bot，發現有好幾個假Captcha.bot，于是將這幾個賬號也一并同步給了項目方團隊，項目方團隊很給力，也很及時地進行了處理，把這幾個假Captcha.bot刪除了，并一起討論了可能的防范方式。

再次收到釣魚鏈接

事情還沒結束，第二天早上又一位慢霧的小伙伴加入到官方Discord服務器中，再次收到惡意賬戶發來的私信，里面包含著一個釣魚鏈接，不同的是，這次的釣魚者直接偽裝成官方的賬戶發送私信。

這次釣魚者講的故事是在鏈接中導入助記詞進行身份驗證，然而不是采用假小狐貍(MetaMask)的界面來欺騙用戶，而是直接在頁面上引導用戶輸入助記詞了，這個釣魚手法就沒這么真。釣魚網站的域名和IP是app.importvalidator.org47.250.129.219，用的是阿里云的服務，同樣反手一個舉報。

釣魚防范方式

各種釣魚手法和事件層出不窮，用戶要學會自己識別各種釣魚手法避免被騙，項目方也要加強對用戶安全意識的教育。用戶在加入Discord后要在隱私功能中禁止服務器中的用戶進行私聊。同時用戶也需要提高自己的安全意識，學會識別偽裝MetaMask的攻擊手法，網頁喚起MetaMask請求進行簽名的時候要識別簽名的內容，如果不能識別簽名是否是惡意的就拒絕網頁的請求。在參與Web3項目的時候無論何時何地都不要在網頁上導入私鑰/助記詞。盡可能地使用硬件錢包，由于硬件錢包一般不能直接導出助記詞或私鑰，所以可以提高助記詞私鑰被盜門檻。項目方團隊也要時刻關注社區用戶的反饋，及時在社區Discord服務器中刪除惡意賬戶，并在用戶剛加入Discord服務器時進行防釣魚的安全教育。Discord隱私設置和安全配置參考鏈接：https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-accounthttps://support.discord.com/hc/en-us/articles/217916488-Blocking-Privacy-Settings-

Tags：QUOCAPPTCCAPTQuotaBCAPS價格ptc幣價格CAPT幣

Gateio