近期钓鱼诈骗攻击事件频发,各种钓鱼攻击手法层出不穷。此时,如何更清楚地了解钓鱼攻击;如何避免被钓鱼显得尤为重要。
随着web3领域各种应用程序的相继发展,安全问题也随之凸显。近期钓鱼诈骗攻击事件频发,各种钓鱼攻击手法层出不穷。此时,如何更清楚地了解钓鱼攻击;如何避免被钓鱼显得尤为重要。
本系列文章从web3安全出发,持续跟进web3安全动态。
攻击者利用各种热点nft发售、钱包升级、nft预售、空投领取、合约升级,项目更换网站、特价nft、中签等为由,发送钓鱼邮件,内含精心模仿的官方网站、预售平台,app下载链接等,用户稍不留意就会中招。
邮件钓鱼案例
1、黑客了解到 Opensea 需要用户对其卖单进行迁移,并且清楚 Opensea 官方提前发出了迁移日期和操作步骤的邮件。
2、黑客提前制作好钓鱼网站,并且部署合约。
3、通过伪造的邮件通知用户进行迁移操作,引导受害用户在该钓鱼网站上进行卖单迁移操作。这个迁移操作就是让用户对其销售的卖单进行签名,然而签名的卖单价格是0。
4、黑客拿到用户签了名的卖单信息,通过调用 OpenSea 的交易合约就能以0的价格完成交易,顺利拿到受害者的NFT。
如何避免
“钓鱼网站“是指用来欺骗用户的虚假网站,它的页面与真实网站界面基本一致,以假乱真欺骗和窃取用户的私钥或者助记词。钓鱼网站一般只有一个或几个页面,和真实网站差别细微 。该诈骗手段由来已久,骗子传播噱头大多是领取空投、帮助解决问题或其他手段。
假冒官方网站钓鱼
1、攻击者首先创建了一个模仿官方的Twitter账户,并发布了Adidas Avatar free claim的推特,并在评论区@了很多粉丝.
2、打开网站,连接钱包并点击Claim Now,他将要求你执行setApprovalForAll授权攻击账号,而且你点拒绝后,他会一直弹出该请求框。
3、如果你没能及时关闭钓鱼网站,而他一直在弹窗,你刚好准备交易,没看清楚很可能会误以为opensea的请求,从而授权。
4、在攻击者或者授权后,攻击者便可以转走你的NFT了。
如何避免
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!