钓鱼攻击

我们一起来了解智能合约中基于 tx.origin 的钓鱼攻击。

这篇文章介绍了如何在Web3环境中防止加密诈骗的基本知识，重点讨论了代币所有权、私钥管理以及常见的网络攻击如钓鱼和恶意软件的防范措施。作者详细说明了不同类型的钱包及其安全性，并提供了一系列最佳实践以保护资产安全。

本文主要是说明了一种较为常见的 NFT 钓鱼方式，即骗子能够以 0 ETH（或任何代币）购买你所有授权的 NFT，同时我们顺藤摸瓜，扯出了一堆钓鱼网站。

9 月 4 日，推特用户 Phantom X 发推称朝鲜 APT 组织针对数十个 ETH 和 SOL 项目进行大规模的网络钓鱼活动。

2023年9月7日，地址（0x13e382）遭遇钓鱼攻击，损失超2,400万美元。钓鱼黑客通过资金盗取、资金兑换和分散式地资金转移，最终损失资金中3,800ETH被相继分批次转移至Tornado.Cash、10,000ETH被转移至中间地址（0x702350），以及1078,087DAI至今保留在

2022年7月12日早6时，币安交易平台CEO赵长鹏发推表示，通过威胁情报在 ETH 区块链上检测到 Uniswap V3 潜在漏洞，到目前为止，黑客已经窃取了 4295 ETH。并给出了黑客转移资金的相关地址。

本文主要是说明了由两个小钓鱼网站分析出一个大钓鱼网站的事件。

本系列文章从web3安全出发，持续跟进web3安全动态，本文是盗取数字资产的方式，看看你是否中招？

本系列文章从web3安全出发，持续跟进web3安全动态。本文是攻击者通过Discord软件，对用户进行钓鱼，诈骗等行为，点击原文查看具体攻击手法。

本文主要介绍了使用硬件钱包时可能存在的安全风险，包括购买时的假冒硬件钱包和恶意引导，使用时的钓鱼攻击和中间人攻击，以及存储和备份恢复短语时的风险。文章通过实际案例分析了这些风险，并提供了实用的安全建议，例如从官方渠道购买硬件钱包、注意签名授权、安全存储恢复短语等，旨在帮助用户更好地保护加密资产。

攻击者通过伪造签名检查工具网站，诱导用户输入私钥，从而盗取用户资产。攻击者还冒充安全专家和安全公司，增加欺骗性。用户应保持警惕，通过官方渠道验证信息，切勿泄露私钥。SlowMist 团队将持续揭露此类诈骗行为。

本文深入分析了利用EIP-7702的钓鱼攻击，特别是攻击者如何利用MetaMask的7702批量执行功能，诱导用户授权恶意交易，从而造成重大资产损失的情况。文章详细阐述了MetaMask的7702 Delegator授权机制和安全架构，并通过案例分析揭示了InfernoDrainer等团伙的作案手法，最后针对钱包提供商和用户提出了具体的安全建议，以防范此类攻击。

Ledger Connect Kit 遭受供应链攻击，攻击者通过入侵前员工的 NPMJS 账户，发布恶意版本的 Ledger Connect Kit，诱导用户将资金转移到攻击者的钱包。该漏洞持续约 5 小时，实际资金损失约 60 万美元。Ledger 采取了修复措施，并与相关方合作阻止攻击，同时建议用户采取安全措施。

5 月 16 日凌晨，当我在寻找家人的时候，从项目官网的邀请链接加入了官方的 Discord 服务器。在我加入服务器后立刻就有一个"机器人"(Captcha.bot)发来私信要我进行人机验证。这一切看起来相当的合理。我也点击了这个验证链接进行查看。