UNA:保護你的無聊猿 Web3又一起釣魚攻擊事件發生

2022年6月5日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，BoredApeYachtClub的Discord社群遭受黑客釣魚攻擊，黑客獲利約142ETH。成都鏈安安全團隊第一時間對事件進行了分析，結果如下。

#1事件相關信息

國內外明星如麥當娜、史蒂芬·庫里、周杰倫、林俊杰等都曾入手“無聊猿”系列NFT。今年1月，足球明星內馬爾宣布以超過100萬美元的價格購買了兩只“無聊猿”NFT。而近期關于NFT的釣魚攻擊也逐漸增多，比如在“愚人節”當天周杰倫的無聊猿就曾遭遇釣魚攻擊。

趙長鵬：對Terra團隊處理UST/LUNA事件的方式感到非常失望，為保護用戶暫停其交易:5月13日消息，趙長鵬解釋暫停LUNA和UST交易表示，優先考慮保護用戶。由于Terra協議的設計缺陷，大量新的LUNA被鑄造出來。他們的驗證者已經暫停了整個網絡，導致無法在任何交易所進行存款或取款。部分用戶不知道交易所外有大量新鑄的LUNA，又開始購買LUNA，不知道一旦允許存款，價格可能會進一步暴跌。由于這些重大風險，幣安暫停交易。

此外，趙長鵬稱對Terra團隊如何處理（或不處理）UST/LUNA事件感到非常失望。幣安要求他們的團隊恢復網絡，銷毀額外鑄造的LUNA，并恢復UST掛鉤。到目前為止，幣安還沒有得到任何積極的回應，或者根本沒有太多的回應。這與Axie Infinity形成鮮明對比，Axie Infinity團隊承擔責任，制定計劃并主動與幣安溝通。幣安提供了幫助。

最后，趙長鵬表示，知道社區中存在不同的意見，我們認為暫停交易是目前保護用戶的最佳方式，并將繼續密切關注情況。

此前消息，幣安將于今日16:30暫停LUNA/BUSD，UST/BUSD交易對交易。[2022/5/13 3:14:19]

在web3世界中，網絡釣魚主要通過twitter、discord、網站偽造等一系列手段實現，通常在過程中伴隨著假托、在線聊天、下餌、等價交換、同情心等社會工程學攻擊，讓人防不勝防。

Gate.io研究院發布“區塊鏈隱私保護機制發展方向”報告:Gate.io研究院于今日發布“區塊鏈隱私保護機制發展方向”報告。報告指出，區塊鏈對用戶隱私保護有著天然的優勢，而鏈上數據信息全部公開透明卻又引發了新的隱私保護問題。報告通過對區塊鏈隱私安全機制優缺性進行對比，深入探討現階段提高區塊鏈隱私機制的方案并對區塊鏈隱私性未來發展方向進行展望。詳情點擊原文鏈接。[2020/6/10]

6月5日，BAYC在官方推特表示，其Discord服務器今天被短暫攻擊，團隊很快發現并解決了這個問題，但仍有價值約200ETH的NFT受到了影響，目前團隊正在調查，并建議受影響用戶發送電子郵件與官方聯系。

報告：由于未賦予執行機構工具，歐盟一般數據保護條例（GDPR）面臨失敗風險:隱私保護瀏覽器Brave旗下研究欄目Brave Insights發布一篇與歐盟《一般數據保護條例》（GDPR）的相關報告。報告稱，GDPR執行機構數據保護機構DPA的新數據揭示GDPR面臨失敗的原因。

Brave Insights認為，歐盟成員國未向數據保護機構（DPA）提供執行GDPR所需的工具，很少有專業的技術調查員致力于揭露私營部門數據侵權行為。同時，即使大型科技公司存在明顯的數據侵權等不當行為，執行部門DPA并未果斷對大型科技公司使用其權力，原因在于執行機構無法承受訴訟大型科技公司潛在的法律辯護費用。[2020/4/28]

#2?本次事件攻擊流程

攻擊者地址

動態 | DDoS保護市場規模預計復合年增長率為14％:據globenewswire報道，全球分布式拒絕服務（DDoS）保護市場規模預計將從2019年的24億美元增長到2024年的47億美元，在預測期內復合年增長率（CAGR）為14％。研究文章認為，推動DDoS保護增長的主要因素包括物聯網（IoT）和以加密貨幣為重點的DDoS威脅不斷增加，以及企業對不斷變化的威脅形勢的認識不斷提高。[2019/8/6]

0x1079061D37f7F3FD3295E4aAd02EcE4a3f20DE2d

第一步，攻擊者將釣魚網站鏈接發布到官方社群。

第二步，攻擊者通過釣魚網站獲得32個NFT，其中包含2個BAYC。

第三步，攻擊者賣出釣魚獲得的NFT，通過外部地址，將142ETH發送到Tornado.cash。

#3?資金追蹤

截止發文時，攻擊者地址累計轉出154ETH，其中有142ETH進入了Tornado.cash。

#4?總結

近期，官方discord遭遇攻擊的案例越來越多，經過成都鏈安安全團隊分析，其原因可能有：

項目方員工遭受釣魚攻擊，導致賬戶被盜；

項目方下載惡意軟件，導致賬戶被盜；

項目方未設置雙因素認證且使用弱密碼導致賬戶被盜；

項目方遭受釣魚攻擊，添加惡意書簽從而繞過瀏覽器同源策略，導致項目方Discordtoken被盜。

防騙技巧

1

作為項目方，應采用官方建議的使用雙因素認證、設置強密碼等安全操作來保護賬戶；項目方要警惕針對自己的各種傳統網絡攻擊和社會工程學攻擊，避免下載惡意軟件，避免訪問釣魚網站。　

2

作為web3用戶，應首先具備這樣的意識：官方discord賬戶被盜越來越頻繁，官方發布的消息也可能是釣魚信息，官方不等于絕對安全。此外，在任何需要自己授權或交易的地方都需要謹慎，盡量從多個渠道進行信息交叉確認。　

而如今在web3持續火爆的情況下，釣魚詐騙的方式層出不窮。用戶需謹記上述防騙技巧，盡全力保證自己不被釣魚詐騙。但是如果萬一已經被詐騙，則可以采取下列措施盡可能補救：

-?馬上進行資產隔離，盡快將剩余資產轉移到安全位置，避免更大的損失；

-?主動發布聲明，告知大家被盜賬戶的相關信息，避免危及朋友和社區；

-?盡可能保留證據，尋求項目方或機構進行后續處理；

-?可尋求專業的安全公司進行資金追蹤，如成都鏈安。

最后，建議記錄并分享被騙經歷，與大家共勉。反釣魚反詐騙，需要每個人都重視，也需要每個人都參與。

來源：成都鏈安

Tags：UNALUNLUNA區塊鏈wluna幣單位LUNI價格我朋友做區塊鏈被捉了怎么辦

幣安幣