為什么幣圈會被黑客攻擊呢？在幣圈如何保護(hù)好自己？加密貨幣用戶會有哪些漏洞呢？

本文提供了針對加密貨幣用戶的常見攻擊方法的詳細(xì)分析，包括網(wǎng)絡(luò)釣魚、惡意軟件和社會工程攻擊。它還揭示了這些攻擊如何通過真實(shí)案例研究進(jìn)行操作和傳播。

下面，就和腳本之家小編一起詳細(xì)了解下吧！

摘要

• 大多數(shù)加密貨幣用戶并不是通過復(fù)雜的攻擊被黑客入侵，而是通過點(diǎn)擊、簽署或信任錯誤的事物而被黑客入侵。本報告詳細(xì)分析了這些日常失誤是如何發(fā)生的。
• 從網(wǎng)絡(luò)釣魚工具和錢包盜取器到惡意軟件和假冒客服騙 局，大多數(shù)攻擊直接針對用戶，而不是協(xié)議，這使得共同點(diǎn)是人類背景，而不是代碼。
• 本報告概述了與個人用戶相關(guān)的加密貨幣漏洞的101個要點(diǎn)，涵蓋了一系列常見的漏洞，以及真實(shí)案例和需要注意的事項(xiàng)。

1. 需要了解：你就是攻擊面

加密貨幣的設(shè)計(jì)是自我保管。這就是其特點(diǎn)。但這一基礎(chǔ)屬性，作為行業(yè)價值觀的核心，往往會使你成為單點(diǎn)故障。在許多個人在加密貨幣中失去資金的案例中，并不是協(xié)議中的一個漏洞：而是一次點(diǎn)擊。一次私信。一項(xiàng)批準(zhǔn)。一個信任或疏忽的瞬間，在執(zhí)行一個看似無關(guān)緊要的日常任務(wù)時，可能會改變一個人的加密貨幣體驗(yàn)的軌跡。

本報告不是技術(shù)白皮書或智能合約邏輯的評審，而是針對個人的威脅模型。它分析了用戶在實(shí)踐中如何被利用，以及應(yīng)對措施。報告將重點(diǎn)關(guān)注個人層面的利用：網(wǎng)絡(luò)釣魚、錢包授權(quán)、社交工程、惡意軟件。最后將簡要涵蓋協(xié)議層面的風(fēng)險，以展示加密貨幣中發(fā)生的利用的廣泛范圍。

2. 完整的利用手冊（算是）

在無許可的環(huán)境中發(fā)生的交易具有永久性和不可逆轉(zhuǎn)的特性，通常不需要中介的干預(yù)，加上個別用戶需要在同樣持有金融資產(chǎn)的設(shè)備和瀏覽器上與匿名對手進(jìn)行互動，這使得加密貨幣成為黑客和其他犯罪分子的獨(dú)特獵場。下面是個人可能面臨的各種攻擊類型的廣泛列表，但讀者應(yīng)該意識到，盡管這個列表涵蓋了大多數(shù)攻擊，但并不是詳盡無遺。對于那些不熟悉加密貨幣的人來說，這個列表可能會讓人感到不知所措，但其中很大一部分是互聯(lián)網(wǎng)時代已經(jīng)發(fā)生過的“常規(guī)”攻擊，并不特有于這個行業(yè)。§3將詳細(xì)介紹一些關(guān)鍵的攻擊方法。

2.1 社會工程攻擊

依賴心理操控來欺騙個人以妥協(xié)其安全的攻擊。

• 網(wǎng)絡(luò)釣魚：假冒的電子郵件、信息或網(wǎng)站模仿真實(shí)平臺以竊取憑證或種子短語（更多內(nèi)容見第3節(jié)）。
• 冒充詐 騙：攻擊者假裝成影響者、項(xiàng)目負(fù)責(zé)人或客戶支持，以獲取信任并提取資金或敏感信息。
• 種子短語騙 局：用戶被欺騙，通過假冒的恢復(fù)工具或贈品透露恢復(fù)短語。
• 虛假空投：以免費(fèi)代幣吸引用戶，從而促使不安全的錢包互動或私鑰共享。
• 虛假工作機(jī)會：偽裝成就業(yè)機(jī)會，但旨在安裝惡意軟件或收集敏感數(shù)據(jù)。
• 拉抬出貨計(jì)劃：社會協(xié)同努力以炒作并拋售令毫無防備的零售參與者的代幣。

圖1：社會工程的后果可能非常嚴(yán)重
來源：Cointelegraph

2.2 電信與賬戶接管

利用電信基礎(chǔ)設(shè)施或賬戶級別的弱點(diǎn)繞過身份驗(yàn)證。

• SIM卡交換：攻擊者劫持受害者的手機(jī)號碼，以攔截雙重身份驗(yàn)證代碼并重置賬戶憑據(jù)（更多內(nèi)容見§3）。
• 憑證填充：重新使用泄露的憑證來訪問錢包或交易所賬戶。
• 2FA繞過：利用弱或基于短信的身份驗(yàn)證獲取未授權(quán)訪問。
• 會話劫持：通過惡意軟件或不安全的網(wǎng)絡(luò)竊取瀏覽器會話，以接管已登錄的帳戶。

圖2：來自SEC的假推文，通過SIM交換
來源：Twitter

2.3 惡意軟件與設(shè)備利用

妥協(xié)用戶的設(shè)備以提取錢包訪問權(quán)限或篡改交易（更多內(nèi)容見§3）。

• 鍵盤記錄器：記錄按鍵以竊取密碼、個人識別碼和種子短語。
• 剪貼板劫持者：用攻擊者控制的錢包地址替換粘貼的錢包地址。
• 遠(yuǎn)程訪問木馬 (RATs)：允許攻擊者完全控制受害者的機(jī)器，包括錢包。
• 惡意瀏覽器擴(kuò)展：被破壞或假冒的擴(kuò)展會竊取數(shù)據(jù)或操縱交易。
• 假錢包或應(yīng)用程序：偽造的應(yīng)用程序（移動或?yàn)g覽器），在使用時會耗盡資金。
• 中間人（MITM）攻擊：攔截并修改用戶與服務(wù)之間的通信，特別是在不安全的網(wǎng)絡(luò)上。
• 不安全的Wi-Fi攻擊：公共或被破壞的Wi-Fi會在登錄或傳輸過程中攔截敏感數(shù)據(jù)。

圖3：假錢包是針對初學(xué)者加密貨幣用戶的常見騙 局
來源：cryptorank

2.4 錢包級漏洞

攻擊目標(biāo)是用戶如何管理或與錢包和簽名接口進(jìn)行交互。

• 審批耗盡：惡意智能合約利用先前的代幣審批來提取代幣。
• 盲簽攻擊：用戶簽署模糊的有效載荷，導(dǎo)致資金損失（例如來自硬件錢包）。
• 種子短語盜竊：通過惡意軟件、網(wǎng)絡(luò)釣魚或存儲不當(dāng)提取恢復(fù)短語。
• 泄露的私鑰：不安全的存儲（例如在云驅(qū)動器或純文本筆記上）導(dǎo)致密鑰泄露。
• 被攻破的硬件錢包：被篡改或偽造的設(shè)備泄露私鑰給攻擊者。

2.5 智能合約與協(xié)議層風(fēng)險

與惡意或脆弱的鏈上代碼交互所帶來的風(fēng)險。

• 惡意智能合約：隱藏的惡意邏輯，在交互時會耗盡資金。
• 閃電貸攻擊：利用無抵押 貸款操縱價格或協(xié)議邏輯的攻擊。
• 預(yù)言機(jī)操控：攻擊者扭曲價格信息，以利用依賴于錯誤數(shù)據(jù)的協(xié)議。
• 退出流動性騙 局：創(chuàng)作者設(shè)計(jì)代幣/池子，只有他們可以提取價值，用戶被困。
• Sybil攻擊：虛假身份扭曲去中心化系統(tǒng)，特別是治理或空投資格。

圖 4：閃電貸是 DeFi 最大的攻擊之一的罪魁禍?zhǔn)?br />來源：Elliptic

2.6. 項(xiàng)目與市場操縱詐 騙

與代幣結(jié)構(gòu)、DeFi項(xiàng)目或NFT收藏相關(guān)的詐 騙。

• 拔地而起：項(xiàng)目創(chuàng)始人在籌集資金后消失，留下毫無價值的代幣。
• 虛假項(xiàng)目：假冒收藏品誘使用戶鑄造詐 騙或簽署有害交易。
  塵埃攻擊：微小的代幣轉(zhuǎn)移用于去匿名化錢包并識別釣魚或詐 騙的目標(biāo)。

2.7. 網(wǎng)絡(luò)與基礎(chǔ)設(shè)施攻擊

利用用戶依賴的前端或DNS級基礎(chǔ)設(shè)施。

• 前端劫持 / DNS欺騙：攻擊者將用戶重定向到惡意界面以竊取憑據(jù)或促使不安全的交易。
• 跨鏈橋漏洞：黑客攻擊跨鏈橋，導(dǎo)致用戶資金在轉(zhuǎn)移過程中受到威脅。

2.8. 物理威脅

現(xiàn)實(shí)世界中涉及脅迫、盜竊或監(jiān)視的風(fēng)險。

• $5 扳手攻擊：受害者被身體脅迫轉(zhuǎn)移資金或透露助記詞。
• 物理盜竊：設(shè)備或備份（例如硬件錢包、筆記本）被盜以獲得訪問權(quán)限。
• 肩膀沖浪：在公共或私人場所觀察或拍攝用戶輸入敏感數(shù)據(jù)。

圖5：不幸的是，物理威脅已經(jīng)很常見

3. 需要注意的關(guān)鍵漏洞

某些攻擊發(fā)生的頻率比其他攻擊更高。以下是持有或與加密貨幣互動的個人應(yīng)該了解的三種攻擊，包括如何防止它們。該部分末尾將列出一系列預(yù)防技術(shù)和需要注意的關(guān)鍵特征，因?yàn)椴煌舴椒ㄖg存在重疊。

3.1 釣魚（包括假錢包和空投）

網(wǎng)絡(luò)釣魚在加密貨幣出現(xiàn)前就已存在了幾十年，這個術(shù)語在1990年代出現(xiàn)，用來描述攻擊者通過假冒電子郵件和網(wǎng)站“釣魚”敏感信息，通常是登錄憑據(jù)。隨著加密貨幣作為一種平行金融系統(tǒng)的出現(xiàn)，網(wǎng)絡(luò)釣魚自然演變?yōu)獒槍ΨN子短語、私鑰和錢包授權(quán)，即“完全控制”的加密貨幣等價物。

加密貨幣釣魚尤其危險，因?yàn)闆]有補(bǔ)救措施：沒有退款、沒有欺詐保護(hù)，也沒有可以撤銷交易的客戶支持。一旦你的密鑰被盜，你的資金就幾乎沒有了。還需要記住的是，釣魚有時只是更大攻擊的第一步，使得真正的風(fēng)險并不是初始損失，而是隨之而來的長期妥協(xié)，例如，受損的憑證可以讓攻擊者冒充受害者并欺騙他人。

釣魚攻擊是如何運(yùn)作的？

網(wǎng)絡(luò)釣魚的核心是利用人類的信任，通過呈現(xiàn)一個可信界面的偽造版本，或假裝成某個權(quán)威人士，來欺騙用戶自愿提供敏感信息或批準(zhǔn)惡意行為。主要的傳播途徑有幾個：

• 釣魚網(wǎng)站
  • 假冒版本的錢包（例如，MetaMask、Phantom）、交易所（例如，Binance）或去中心化應(yīng)用（dApps）。
  • 通常通過谷歌廣告推廣或通過Discord/Twitter群組分享，設(shè)計(jì)上與真實(shí)網(wǎng)站一模一樣。
  • 用戶可能會被提示“導(dǎo)入錢包”或“恢復(fù)資金”，提取他們的種子短語或私鑰。
• 網(wǎng)絡(luò)釣魚郵件與信息
  • 看起來像官方通訊（例如，“緊急安全更新”或“賬戶已被入侵”）。
  • 包含指向虛假登錄門戶的鏈接或直接引導(dǎo)您與惡意代幣或智能合約互動。
  • 在 Telegram、Discord、Twitter 私信，甚至 SMS 上很常見。
• 假錢包或?yàn)g覽器擴(kuò)展
  • 在應(yīng)用商店或作為Chrome擴(kuò)展程序可用。
  • 在功能上模擬真實(shí)錢包，但將您的私鑰或交易數(shù)據(jù)轉(zhuǎn)發(fā)給攻擊者。
  • 有些甚至允許你轉(zhuǎn)入資金，但幾分鐘后就被抽走了。
• 空投騙 局
  • 假代幣掉落發(fā)送到錢包（尤其是在EVM鏈上）。
  • 點(diǎn)擊代幣或嘗試交易時會提示惡意合約交互。
  • 可以悄悄請求無限的代幣批準(zhǔn)或通過簽名有效載荷竊取您的原生代幣。

圖6：在加密貨幣中看到“免費(fèi)”時一定要保持警惕
來源：Presto Research

釣魚攻擊的例子
2023年6月的Atomic Wallet黑客事件，歸因于朝鮮的Lazarus Group，成為了加密貨幣歷史上最具破壞性的純釣魚攻擊之一。此次事件導(dǎo)致超過1億美元的加密貨幣被盜，涉及超過5,500個非托管錢包，用戶無需簽署任何惡意交易或與智能合約互動。此次攻擊僅專注于通過欺騙性界面和惡意軟件提取種子短語和私鑰 - 是釣魚式憑證盜竊的教科書范例。
Atomic Wallet是一個多鏈、非托管的錢包，支持超過500種加密貨幣。在此次事件中，攻擊者發(fā)起了一場協(xié)調(diào)的網(wǎng)絡(luò)釣魚活動，利用了用戶對錢包支持基礎(chǔ)設(shè)施、更新流程和品牌形象的信任。受害者通過電子郵件、假網(wǎng)站和木馬軟件更新被引誘，這些都旨在模仿來自Atomic Wallet的合法通訊。

釣魚攻擊的途徑包括：

• 偽造的電子郵件偽裝成Atomic Wallet的支持或安全警報，敦促緊急行動。
• 欺騙網(wǎng)站（例如，atomic-wallet[.]co) 模仿了錢包的恢復(fù)或獎勵索取界面。
• 通過Discord、電子郵件和被攻陷的論壇分發(fā)的惡意更新，可能將用戶引導(dǎo)至釣魚頁面或通過本地惡意軟件提取憑據(jù)。

一旦用戶將他們的12個或24個單詞的種子短語或私鑰輸入這些欺詐界面，攻擊者就獲得了對他們錢包的完全訪問權(quán)限。此漏洞不涉及受害者的鏈上交互：沒有錢包連接，沒有簽名請求，也沒有智能合約參與。相反，它完全依賴于社會工程學(xué)和用戶愿意在看似可信的平臺上恢復(fù)或驗(yàn)證他們的錢包。

3.2 錢包抽水機(jī)與惡意授權(quán)

錢包抽水器是一種惡意智能合約或去中心化應(yīng)用程序（dApp），旨在從您的錢包中提取資產(chǎn)，方法不是竊取您的私鑰，而是誘使您授權(quán)代幣訪問或簽署危險交易。與尋求您憑據(jù)的網(wǎng)絡(luò)釣魚不同，抽水器利用權(quán)限——驅(qū)動Web3的基本信任機(jī)制。

隨著DeFi和Web3應(yīng)用的普及，MetaMask和Phantom等錢包使得“連接”到去中心化應(yīng)用（dApps）的概念變得流行。這帶來了便利，但也增加了巨大的攻擊面。在2021年至2023年期間，審批抽水器通過NFT鑄造、假空投和被拉垮的dApps迅速流行起來，這些應(yīng)用開始在其他熟悉的用戶界面中嵌入惡意合約。用戶常常興奮或分心，會連接他們的錢包并點(diǎn)擊“批準(zhǔn)”，卻沒有意識到他們正在授權(quán)什么。

這與網(wǎng)絡(luò)釣魚有什么不同？
網(wǎng)絡(luò)釣魚是指通過欺騙某人自愿透露敏感憑證，如種子短語、密碼或私鑰。連接您的錢包并不會透露您的密鑰或短語，因?yàn)槟]有交出秘密，而是在簽署交易或授予權(quán)限。這些利用通過智能合約邏輯發(fā)生，而不是盜取您的憑證，使它們在機(jī)制上與網(wǎng)絡(luò)釣魚不同。您是在授權(quán)泄露，常常沒有意識到，這更像是一種“同意陷阱”而不是憑證盜竊。
您可以將網(wǎng)絡(luò)釣魚視為基于憑據(jù)的攻擊，而錢包盜取者/惡意授權(quán)則被視為基于權(quán)限的攻擊。

攻擊的機(jī)制
惡意批準(zhǔn)利用區(qū)塊鏈標(biāo)準(zhǔn)中的權(quán)限系統(tǒng)，如ERC-20（代幣）和ERC-721/ERC-1155（NFT）。它們欺騙用戶授予攻擊者對其資產(chǎn)的持續(xù)訪問權(quán)限。

• 代幣授權(quán)基礎(chǔ)知識:
  • ERC-20 代幣：approve(address spender, uint256 amount) 函數(shù)允許 "spender"（例如，DApp 或攻擊者）從用戶的錢包中轉(zhuǎn)移指定數(shù)量的代幣。
  • NFTs: setApprovalForAll(address operator, bool approved) 函數(shù)授予“operator”權(quán)限以轉(zhuǎn)移一個集合中的所有NFT。
  • 這些批準(zhǔn)是DApps的標(biāo)準(zhǔn)流程（例如，Uniswap需要批準(zhǔn)才能交換代幣），但攻擊者惡意利用這些流程。
• 攻擊者如何獲得批準(zhǔn)：
  • 欺騙性提示：一個釣魚網(wǎng)站或被攻擊的DApp提示用戶簽署一個標(biāo)記為“錢包連接”、“代幣交換”或“NFT認(rèn)領(lǐng)”的交易。該交易實(shí)際上調(diào)用了approve或setApprovalForAll針對攻擊者的地址。
  • 無限批準(zhǔn)：攻擊者通常請求無限的代幣授權(quán)（例如，uint256.max）或 setApprovalForAll(true)，從而完全控制用戶的代幣或 NFT。
  • 盲簽名：一些去中心化應(yīng)用（DApps）需要簽署不透明的數(shù)據(jù)，這使得很難發(fā)現(xiàn)惡意批準(zhǔn)。即使使用像Ledger這樣的硬件錢包，顯示的細(xì)節(jié)可能看起來無害（例如，“批準(zhǔn)代幣”），但隱藏了攻擊者的意圖。
• 剝削:
  • 即時盜竊：攻擊者利用批準(zhǔn)在交易后立即將代幣/NFT轉(zhuǎn)移到他們的錢包中。
  • 延遲盜竊：攻擊者等待（有時是幾周或幾個月）以提取資產(chǎn)，從而減少懷疑。例如，擁有 setApprovalForAll 的攻擊者可以隨時轉(zhuǎn)移 NFT。
  • 橫掃攻擊：像天使抽水者這樣的抽水者掃描多個錢包中的授權(quán)，并在市場上漲或高價值NFT發(fā)布期間大量抽水。

錢包抽水器/惡意授權(quán)的例子
Monkey Drainer 詐 騙主要在 2022 年和 2023 年初活躍，是一個臭名昭著的“服務(wù)型抽水”釣魚工具包，負(fù)責(zé)通過欺騙性 網(wǎng)站和惡意智能合約盜取數(shù)百萬加密貨幣（包括 NFT）。與傳統(tǒng)釣魚不同，傳統(tǒng)釣魚依賴于收集用戶的種子短語或密碼，而 Monkey Drainer 通過惡意交易簽名和智能合約濫用進(jìn)行操作，使攻擊者能夠在沒有直接憑證泄露的情況下提取代幣和 NFT。通過欺騙用戶簽署危險的鏈上批準(zhǔn)，Monkey Drainer 在 2023 年初關(guān)閉之前在數(shù)百個錢包中造成了超過 430 萬美元的盜竊。

圖7：著名鏈上偵探ZachXBT揭露Monkey Drainer騙 局
來源：Twitter (@zachxbt)

該工具在低技能攻擊者中非常受歡迎，并在地下Telegram和暗網(wǎng)社區(qū)中進(jìn)行了大量宣傳。它允許附屬機(jī)構(gòu)克隆假鑄幣網(wǎng)站，冒充真實(shí)項(xiàng)目，并配置后端將簽名交易轉(zhuǎn)發(fā)到一個中心化的抽水合約。這些合約經(jīng)過設(shè)計(jì)，旨在利用代幣權(quán)限，依賴用戶在不知情的情況下簽署消息，從而通過如setApprovalForAll()（NFTs）或permit()（ERC-20代幣）等功能授予攻擊者地址訪問資產(chǎn)的權(quán)限。

值得注意的是，這種交互流程避免了直接的釣魚：受害者并沒有被要求提供他們的私鑰或助記詞。相反，他們與看似合法的去中心化應(yīng)用（dApps）互動，通常是在帶有倒計(jì)時或熱門品牌的鑄造頁面上。一旦連接，用戶會被提示簽署一筆他們并不完全理解的交易，這往往被通用的批準(zhǔn)語言或錢包界面的模糊化所掩蓋。這些簽名并沒有直接轉(zhuǎn)移資金，而是授權(quán)攻擊者在任何時候進(jìn)行轉(zhuǎn)移。隨著權(quán)限的授予，抽水合約可以在一個區(qū)塊內(nèi)執(zhí)行批量提款。

猴子排水法的一個顯著特點(diǎn)是其延遲執(zhí)行：被盜資產(chǎn)通常在幾小時或幾天后被轉(zhuǎn)移，以避免引起懷疑并最大化收益。這使其對擁有大錢包或活躍交易活動的用戶特別有效，因?yàn)樗麄兊呐鷾?zhǔn)與正常使用模式混合在一起。高知名度的受害者包括來自CloneX、Bored Apes和Azuki等項(xiàng)目的NFT收藏家，他們損失了資產(chǎn)。

盡管Monkey Drainer在2023年停止運(yùn)營，可能是為了“隱匿”，但錢包盜竊者的時代仍在不斷演變，對誤解或低估鏈上批準(zhǔn)威力的用戶構(gòu)成持續(xù)威脅。

3.3 惡意軟件與設(shè)備漏洞

最后，‘惡意軟件和設(shè)備漏洞’指的是一系列廣泛而多樣的攻擊形式，這些攻擊涵蓋了各種交付渠道，旨在妥協(xié)用戶的計(jì)算機(jī)、手機(jī)或?yàn)g覽器，通常通過欺騙安裝惡意軟件。其目標(biāo)通常是竊取敏感信息（例如種子短語、私鑰）、攔截錢包交互，或使攻擊者遠(yuǎn)程控制受害者的設(shè)備。在加密貨幣領(lǐng)域，這些攻擊通常始于社會工程學(xué)，例如虛假的工作邀請、虛假的應(yīng)用程序更新或通過Discord發(fā)送的文件，但很快升級為全面的系統(tǒng)妥協(xié)。

惡意軟件自個人計(jì)算機(jī)早期就存在。在傳統(tǒng)環(huán)境中，它被用來竊取信用卡信息、收集登錄信息或劫持系統(tǒng)進(jìn)行垃圾郵件或勒索軟件。隨著加密貨幣的興起，攻擊者轉(zhuǎn)變了策略：他們不再瞄準(zhǔn)可以被撤銷的在線銀行憑證，而是旨在竊取不可逆轉(zhuǎn)的加密貨幣資產(chǎn)。

這些攻擊是如何開始的……社交工程角度

大多數(shù)惡意軟件并不是隨機(jī)傳播的：它需要受害者被欺騙執(zhí)行它。這就是社會工程學(xué)發(fā)揮作用的地方。

常見交付方式：

• 假冒工作機(jī)會：受害者申請一個假冒的Web3職位，收到包含惡意軟件的“技術(shù)測試”或“面試鏈接”。
• Discord或Telegram鏈接：作為“贈品工具”、“截圖”或假支持文件發(fā)送。
• 電子郵件附件：簡歷、白皮書或包含惡意代碼的發(fā)票格式（PDF、.docx、.exe）。
• 假冒更新：彈出窗口或偽造網(wǎng)站提供 "最新的MetaMask/Phantom版本"。
• 驅(qū)動下載：僅僅訪問一個網(wǎng)站就可能觸發(fā)后臺負(fù)載，尤其是在過時的瀏覽器上。

共同點(diǎn)：攻擊者創(chuàng)建一個可信的環(huán)境，促使用戶點(diǎn)擊、下載或打開一些危險的東西。

加密貨幣攻擊中常見的惡意軟件類型

• 鍵盤記錄器：記錄每個輸入的按鍵，包括種子短語、密碼和 PIN。尤其危險的是，如果用戶在文本編輯器、交易所登錄或錢包恢復(fù)字段中輸入他們的種子短語。
• 剪貼板劫持者：監(jiān)控復(fù)制的錢包地址，并在粘貼時用攻擊者的地址替換它們。受害者通常沒有注意到，他們發(fā)送資金時認(rèn)為自己粘貼的是自己的地址，但實(shí)際上已經(jīng)被替換。
• 遠(yuǎn)程訪問木馬（RATs）：給予攻擊者對受害者設(shè)備的完全控制。這包括讀取文件、觀看屏幕、捕獲瀏覽器會話，甚至直接從像Exodus或基于瀏覽器的錢包應(yīng)用程序?qū)С鲋浽~。
• 假錢包或應(yīng)用：看起來像合法的錢包，但預(yù)裝了惡意代碼。常見于Android APK網(wǎng)站或Chrome擴(kuò)展商店。一些在你發(fā)送資金或恢復(fù)種子之前似乎正常，但在此時資金會被竊取。
• 惡意瀏覽器擴(kuò)展：妥協(xié)或模仿真實(shí)的加密貨幣擴(kuò)展，以監(jiān)控活動、注入惡意負(fù)載或提示假簽名請求。它們通常以“錢包集成”的名義請求廣泛的權(quán)限。
• 中間人（MITM）基礎(chǔ)設(shè)施：該惡意軟件設(shè)置代理或DNS劫持，以攔截和操縱您與網(wǎng)絡(luò)之間的流量，包括交換地址或重新路由已簽名的交易。

示例：2022年Axie Infinity工作詐 騙

2022年的Axie Infinity工作詐 騙是一個在加密貨幣領(lǐng)域中惡意軟件和設(shè)備利用的典型例子，背后是復(fù)雜的社會工程學(xué)。這次攻擊被歸因于朝鮮國家支持的Lazarus集團(tuán)，導(dǎo)致約6.2億美金的加密貨幣被盜，成為迄今為止最大的去中心化金融（DeFi）黑客事件之一。

圖8：Axie Infinity漏洞進(jìn)入了傳統(tǒng)金融媒體
來源：彭博電視

這次黑客攻擊是一個多階段的行動，結(jié)合了社會工程學(xué)、惡意軟件部署和區(qū)塊鏈基礎(chǔ)設(shè)施漏洞的利用。

黑客假裝成虛構(gòu)公司的招聘人員，通過LinkedIn針對Sky Mavis的員工：Sky Mavis是Ronin Network的背后公司，該網(wǎng)絡(luò)是一個與以太坊相連的側(cè)鏈，支持流行的玩賺區(qū)塊鏈游戲Axie Infinity。當(dāng)時，Ronin和Axie Infinity的市場資本分別約為3億和40億。

多名員工被接觸，但一名高級工程師成為了主要目標(biāo)，攻擊者與其進(jìn)行了多輪假招聘面試以建立信任，并提供了極為慷慨的薪酬套餐來誘騙工程師。攻擊者向工程師發(fā)送了一份偽裝成正式工作報價的PDF文件。工程師認(rèn)為這是一部分招聘流程，便在公司電腦上下載并打開了該文件。該P(yáng)DF文件包含一個RAT，打開后感染了工程師的系統(tǒng)，使黑客能夠訪問Sky Mavis的內(nèi)部系統(tǒng)，可能是通過特權(quán)提升或在網(wǎng)絡(luò)內(nèi)的橫向移動。這一妥協(xié)為攻擊Ronin Network的基礎(chǔ)設(shè)施提供了立足點(diǎn)。

本研究文章的范圍超出了對持續(xù)利用 Ronin 橋和 Axie DAO 的黑客機(jī)制的探討，但這次攻擊導(dǎo)致了 6.2 億美元的盜竊（173,600 ETH 和 2550 萬 USDC），僅回收了 3000 萬美元。

4. 如何保護(hù)自己

利用攻擊的嘗試越來越復(fù)雜，但仍然依賴于明顯的跡象。警告信號包括：

• “導(dǎo)入您的錢包以領(lǐng)取 X”：沒有任何合法服務(wù)會要求您的助記詞。
• 未請求的私信：尤其是提供支持、金錢或幫助你沒有詢問過的問題。
• 稍微拼寫錯誤的域名：例如，metamask.io與metarnask.io。
• Google Ads：釣魚鏈接經(jīng)常出現(xiàn)在搜索結(jié)果中真實(shí)鏈接的上方。
• 過于美好的優(yōu)惠：比如“領(lǐng)取5 ETH”或“翻倍你的幣”促銷。
• 緊迫感或恐嚇策略：“您的賬戶已被鎖定”，“立即申領(lǐng)或失去資金。”
• 無限代幣授權(quán)：用戶應(yīng)自行設(shè)置代幣數(shù)量。
• 盲簽名請求：沒有可讀解釋的十六進(jìn)制負(fù)載。
• 未經(jīng)驗(yàn)證或模糊的合約：如果一個代幣或dApp是新的，請檢查您所批準(zhǔn)的內(nèi)容。
• 緊急UI提示：經(jīng)典的施壓策略，比如“您必須立即簽署，否則會錯過”。
• MetaMask 簽名彈窗：尤其是在不明確的有效載荷、無燃?xì)饨灰谆蚰焕斫獾墓δ苷{(diào)用混合時。

進(jìn)一步的操作安全（OpSec）規(guī)則：

• 黃金法則
  • 永遠(yuǎn)不要因任何原因與任何人分享你的種子短語。
  • 收藏官方網(wǎng)站：始終直接訪問。切勿使用搜索引擎查找錢包或交易所。
  • 不要點(diǎn)擊隨機(jī)的空投代幣：尤其是如果你沒有選擇加入的話。
  • 避免不請自來的私信：真正的項(xiàng)目很少會主動私信…（除非他們會）
  • 使用硬件錢包：它們減少盲簽的風(fēng)險并防止密鑰泄露。
  • 啟用釣魚保護(hù)工具：使用像 PhishFort、Revoke和廣告攔截器這樣的擴(kuò)展。
  • 使用只讀區(qū)塊鏈瀏覽器：像 Etherscan Token Approvals 或 Revoke這樣的工具可以顯示您的錢包擁有哪些權(quán)限。
  • 使用臨時錢包：創(chuàng)建一個資金為零或很少的新錢包，先測試鑄造或鏈接。這將盡量減少任何損失。
  • 分散你的資產(chǎn)：不要將所有資產(chǎn)放在一個地方。
• 資深加密貨幣用戶的高級實(shí)踐
  • 使用專用設(shè)備或?yàn)g覽器配置文件進(jìn)行加密貨幣活動 - 此外，您可以擁有一個專用設(shè)備用于打開鏈接和私信。
  • 查看Etherscan的代幣警告標(biāo)簽：許多詐 騙代幣被標(biāo)記。
  • 交叉引用合同地址與官方項(xiàng)目公告。
  • 仔細(xì)檢查 URL：特別是在電子郵件和聊天中，常見細(xì)微的拼寫錯誤。許多消息應(yīng)用程序以及當(dāng)然還有網(wǎng)站允許超鏈接。
  • 注意你簽署的內(nèi)容：在確認(rèn)之前，始終解碼交易（例如，通過MetaMask、Rabby或模擬器）。

5. 最后一句

大多數(shù)用戶將加密貨幣中的漏洞視為某種技術(shù)性和不可避免的事情，特別是那些對這個行業(yè)不熟悉的人。雖然對于復(fù)雜的攻擊方法來說，這可能是正確的，但通常初步步驟是以非技術(shù)性方式針對個人，從而使其余的漏洞可以防止。

在這個領(lǐng)域，絕大多數(shù)個人損失并不是由于某種新穎的零日漏洞或晦澀的協(xié)議錯誤，而是因?yàn)槿藗兒炇鹆怂麄儧]有閱讀的內(nèi)容，或?qū)㈠X包導(dǎo)入虛假應(yīng)用程序，或相信了聽起來足夠合理的私信。這些工具可能是新的，但這些戰(zhàn)術(shù)卻如同時間一般古老：欺騙、緊迫感、錯誤引導(dǎo)。

人們之所以來到加密貨幣是因?yàn)樽晕冶９芎蜔o許可的特性，但用戶需要記住這里的風(fēng)險更高；在傳統(tǒng)金融中，你被騙了可以打電話給銀行。在加密貨幣中，你被騙了，這就是故事的結(jié)局。

防詐 騙請使用下面的官方地址

1.幣安

幣安【官方注冊 官方app下載】是國際領(lǐng)先的區(qū)塊鏈數(shù)字資產(chǎn)交易平臺，它向全球提供廣泛的數(shù)字貨幣交易、區(qū)塊鏈教育、區(qū)塊鏈項(xiàng)目孵化、區(qū)塊鏈資產(chǎn)發(fā)行平臺、區(qū)塊鏈研究院以及區(qū)塊鏈公益慈善等服務(wù)，目前用戶覆蓋了全球190多個國家和地區(qū)。

2.火幣

火幣【官方注冊 官方app下載】集團(tuán)是知名數(shù)字經(jīng)濟(jì)領(lǐng)軍企業(yè)，自2013年創(chuàng)立以來，一直致力于區(qū)塊鏈領(lǐng)域的核心技術(shù)突破以及區(qū)塊鏈技術(shù)和產(chǎn)業(yè)融合。圍繞區(qū)塊鏈產(chǎn)業(yè)上下游，發(fā)展包括產(chǎn)業(yè)區(qū)塊鏈、公鏈、數(shù)字資產(chǎn)交易、數(shù)字資產(chǎn)安全錢包、礦池、投資、孵化、研究等多業(yè)務(wù)板塊，先后投資60+上下游企業(yè)，已形成全面的數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)生態(tài)體系。

3.歐易OKX

歐易OKX【官方注冊 官方app下載】創(chuàng)立了統(tǒng)一交易賬戶等全球領(lǐng)先的Crypto交易系統(tǒng)，推出了MetaX，提供多鏈none-custody錢包、歐易NFT市場、DEX、Dapps等產(chǎn)品，OEC作為其自研公鏈，生態(tài)建設(shè)也初露頭角，能夠滿足用戶多種數(shù)字資產(chǎn)業(yè)務(wù)需求。后續(xù)歐易OKX將持續(xù)向元宇宙、Web3.0、GameFi等領(lǐng)域進(jìn)發(fā)，OKX Ventures已在全球投資了數(shù)百個區(qū)塊鏈項(xiàng)目，推動加密經(jīng)濟(jì)的繁榮。

4.Gate.io

Gate.io交易平臺【官方注冊 官方app下載】成立于2013年4月，注冊地為開曼，它已于2020年7月更名為“芝麻開門”。該平臺有多年的穩(wěn)定運(yùn)營經(jīng)驗(yàn)，積累了眾多行業(yè)領(lǐng)先的技術(shù)，它通過中心化和去中心化雙重手段保障了用戶的資產(chǎn)安全，為用戶提供了高效便捷的實(shí)時交易服務(wù)系統(tǒng)。作為全球歷史最長和交易量最大的交易平臺之一，芝麻開門嚴(yán)格遵循行業(yè)規(guī)則，不參與市場運(yùn)作。

5.Bitget

Bitget交易所【官方注冊 官方app下載】支持500+個虛擬貨幣在線實(shí)時交易，持有加拿大MSB牌照M20179708、美國MSB、澳大利亞DCE等牌照，在2022年陸續(xù)新增理財、半價買幣、投票上幣、合約策略交易以及為SBGB增加更多賦能,是適合各面向投資人使用的一站式加密貨幣交易所。

6.Bybit

Bybit交易所【官方注冊 官方app下載】是一款為初學(xué)者和專業(yè)人士設(shè)計(jì)的加密貨幣交易應(yīng)用程序。它簡化了熱門加密貨幣的購買過程，提供現(xiàn)貨和衍生品交易對，并具有多種特色功能，如統(tǒng)一側(cè)欄字段的衍生品交易、高級限價單設(shè)置、新手輕松交易選項(xiàng)等，還包括資產(chǎn)管理、復(fù)制交易、NFT 市場等功能。

以上就是腳本之家小編給大家?guī)淼臑槭裁磶湃缓诳凸簦咳绾伪Ｗo(hù)自己？加密貨幣用戶的漏洞指南了，希望大家喜歡！

你可能感興趣的文章

• 

  PeckShield報告分析：加密犯罪五月造成2.44億美元損失，但黑客攻擊損失

  根據(jù)PeckShield的數(shù)據(jù)，5月份共報告了20起重大加密貨幣黑客攻擊事件，導(dǎo)致總損失達(dá)2.441億美元, …

  2025-06-03
• 

  Sui生態(tài)系統(tǒng)遭黑客攻擊,這次攻擊會終結(jié)Sui的增長嗎？

  5月22日，Sui區(qū)塊鏈上最大的去中心化交易所Cetus Protocol因假幣智能合約漏洞被攻擊，損失2.2-2.6億美元,那么，Sui區(qū)塊鏈本身被黑客攻擊了嗎？Cetus黑客攻擊損失了多少？為…

  2025-05-27
• 

  Cetus祭600萬美元賞金與黑客談判詳細(xì)解讀！Sui生態(tài)Meme幣重傷

  Sui區(qū)塊鏈上最大DEX Cetus協(xié)議昨晚遭黑客攻擊損失逾2.2億美元，目前官方懸賞600萬美元與黑客協(xié)商,更多詳細(xì)資訊請看下面正文…

  2025-05-24
• 

  黑客如何利用假手機(jī)竊取你的加密貨幣

  黑客現(xiàn)在正在手機(jī)到達(dá)用戶之前就在其中隱藏危險的惡意軟件，這種策略被稱為假手機(jī)加密貨幣詐騙,本文將解釋這一切是如何發(fā)生的…

  2025-05-20
• 

  2024年市場總共被盜23億！該如何預(yù)防加密貨幣黑客？

  回顧整個2024 年，加密貨幣黑客得手的金額持續(xù)提升，全年共造成超過23 億美元的損失，與2023 年的16.9 億美元相比增長了40%,究竟是黑客技術(shù)變強(qiáng)了，還是整體加密貨幣市場的…

  2025-05-19
• 

  一文了解以太坊最大的流動性質(zhì)押協(xié)議Lido驚傳黑客事件 但僅損失1.4枚以

  以太坊最大的流動性質(zhì)押協(xié)議Lido驚傳黑客事件，根據(jù)官方說法，Lido預(yù)言機(jī)多重簽名地址遭到入侵，所幸發(fā)現(xiàn)及時、影響有限，僅損失1.46枚以太幣(約4,200美元)，用戶資金未受…

  2025-05-12
• 

  世界十大加密貨幣黑客攻擊事件：影響和前景預(yù)測

  今天腳本之家小編將給大家深入解析歷史上十大最震驚的加密黑客攻擊事件,我們將詳細(xì)介紹背后的知名黑客組織、常見的網(wǎng)絡(luò)攻擊手法、以及洗錢的復(fù)雜方式,此外，本文還將對比傳…

  2025-05-07
• 

  一文速覽 BNB Chain AI黑客松11個Tier 4潛力項(xiàng)目！

  BNB Chain 于 2025 年舉辦全球“BNB AI 黑客松”，旨在推動 AI 與區(qū)塊鏈技術(shù)融合，評選出24個潛力項(xiàng)目，其中6個已上線主網(wǎng),活動采用階梯式獎勵體系，涵蓋金融分析、創(chuàng)意協(xié)…

  2025-04-29
• 

  一文了解Solana生態(tài)DeFi協(xié)議Loopscale：黑客同意歸還90%資金

  Solana生態(tài)DeFi協(xié)議Loopscale才上線兩周就遭遇黑客入侵，損失580萬美元，成為今年加密貨幣市場最新一樁重大資安事故,不過事態(tài)很快出現(xiàn)轉(zhuǎn)圜，黑客已同意接受「白帽協(xié)議」，…

  2025-04-28
• 

  Perp DEX KiloEx突遭黑客攻擊、損失700萬美元解讀

  新興去中心化永續(xù)交易平臺(Perp DEX)KiloEx于昨日突遭駭客攻擊，短時間損失高達(dá)700萬美元，揭露出跨鏈架構(gòu)與預(yù)言機(jī)的潛在安全風(fēng)險,更多詳細(xì)資訊請看下面正文 …

  2025-04-15