一季度钓鱼攻击造成全网损失1.73亿美元，新型欺诈让人防不胜防、束手无策？

近期，欧科云链发布2024年3月安全月报，全网3月安全事件全网累计造成损失约 1.9亿美元。其中钓鱼事件损失占比为16.72%，远超过RugPull事件损失的9.64%，逐步开始成为黑客们最青睐的一种新型诈骗方式。

 

与此同时，Scam Sniffer发布3月份的网络钓鱼报告，其中加密领域网络钓鱼诈骗造成7100 万美元损失，比2月增加了50%。2024 年第一季度，网络钓鱼诈骗共造成1.73亿美元损失。此前Scam Sniffer报告称，2023年加密货币网络钓鱼攻击导致32.4万名用户损失近3亿美元。

 

 

那么，钓鱼攻击究竟是什么？近期有哪些项目被钓鱼攻击了？普通用户如何应对这些欺诈手段？下文将针对这些问题作对应解答。

 

 

“钓鱼”是一种针对加密用户的网络欺骗手段，该手段通过创建伪装成正式网站的假网站来窃取用户的授权、签名和加密资产。钓鱼攻击的路径大多为项目的官推被盗之后，黑客在其官推上发布具有诱导性的钓鱼链接，诱使用户点击链接、交互钱包之后直接窃取其资产。

 

简单来说，就是黑客盗取项目方或者KOL的推特账号，然后发布虚假的链接再配以诱导性的文字，用户出于对平台或KOL的信任以及利益诱惑，自然会点开迫切按照黑客的提示完成一系列操作，比如在虚假的网站上输入自己的私钥、密码或其他敏感信息。这些信息一旦被攻击者获取，用户的资产很快就会被盗走。毫无底线的窃取行为背后，暗藏着一条巨大的利益链条 — 钓鱼攻击软件提供商及其客户，也就是钓鱼攻击的发起者。

 

现在提起钓鱼攻击，很多从业者首先想到的就是诈骗团伙Pink Drainer。Pink Drainer团队因在推特和Discord等平台上的高调攻击而臭名昭著，涉及Evomos、Pika Protocol和Orbiter Finance等事件。

 

Pink Drainer可以向居心不良的攻击者提供一款恶意软件即服务（Malware-as-a-Service，MaaS），能够让对方快速建立恶意的钓鱼网址，通过该恶意软件获取非法资产。

 

区块链安全公司 Beosin 指出，该钓鱼网址使用一种加密钱包窃取工具，诱使用户签署请求。一旦请求被签署，攻击者将能够从受害者的钱包中转移 NFT 和 ERC-20代币。得手后，Pink Drainer会向攻击者收取被盗资产的30%作为费用。

 

 

Dune数据显示，截止到4月4日，Pink Drainer发起的钓鱼攻击已累计造成13415人受害，在全行业累计窃取金额高达5341万美元。

 

 

钓鱼攻击者的魔爪正伸向越来越多的项目方。

 

据欧科云链发布的2024年3月安全月报显示，当月官方社媒遭受诈骗与钓鱼事件共发生50起，主要集中在X、Discord 及各类钓鱼网站等渠道。本文为以后梳理了自开年以来部分遭遇钓鱼攻击的头部项目或机构：

 

1月5日，CertiK 推特账号短暂被盗；1月10日，SEC 推特账号被盗系关联电话号码被非法占用；1月26日，AltLayer 推特账号遭到攻击；1月29日，Masa推特账号疑似被盗并发布虚假空投链接；2月3日，Blockworks创始人推特账号疑似被盗；2月20日，ARPA官方推特账号被盗并发布虚假代币申领链接；3月6日，Aevo高仿推特账号发布的空投钓鱼链接；3月12日，beoble官方推特账号疑似被盗并发布虚假空投链接；3月15日，动视暴雪官方推特账号被盗；3月20日，硬件钱包Trezor推特账号被盗；3月23日，Cointelegraph推特账号疑似被盗。

 

这其中，最令人错愕的是身为行业权威安全机构的Certik账号被盗，组件欺诈分子的技术更新迭代速度之快。就在1月5日Certik账号被盗当日，攻击者用其账号发布了钓鱼链接，但幸好CertiK很快发现了漏洞，并在几分钟内删除了相关推文。事后Certik在社媒上表示，这是一起持续性地攻击。

 

同样是遭遇钓鱼攻击，并非所有人都像Certik这样幸运。首先是资产被盗的用户，他们无端承受巨额的资产损伤，却无处追讨，很多时候只能迁怒于项目方；同为受害者的项目方，大多数时候也陷入了百口莫辩的困境，在事发后需要同时启动赔偿手续、危机公关和技术维护等多重工作，这就给项目运营带来了巨大的损失。其中就有些项目方在遭受钓鱼攻击后，资产价格短时暴跌，比如：

 

3月6日，据 Scam Sniffer 监测，某用户在因网络钓鱼诈骗损失价值73.6万美元的PAAL资产后，PAAL价格在1个小时内的跌幅达到了7.96%。

 

 

 

从这一血淋淋的教训来看，如果任由钓鱼攻击泛滥，加密资产世界将陷入日益严峻的信任危机之中。

 

分析来看，钓鱼攻击具有很强的迷惑性和隐蔽性，事后受害者也很难追查躲在暗处的攻击者。

 

对于广大用户来说，我们需要时时刻刻对所有链接保持警惕，否则点击钓鱼链接并按照对方的要求进行操作，就是万劫不复的灾难。在无法确定一个链接是否是钓鱼攻击链接时，可以采取以下措施进行辨别和防范：

 

1、检查链接地址：钓鱼链接通常会模仿真实网站的URL，但仔细检查往往能发现细微差异。例如，冒牌网站的网址可能会在拼写上与正宗网站有所不同，或是使用类似的域名；

 

2、安全证书验证：查看网站是否具有有效的SSL证书。正规的网站会有安全的SSL加密，浏览器地址栏会显示“锁”图标。钓鱼网站往往没有这个安全证书；

 

3、域名解析检查：可以使用DNS查询工具检查域名解析，查看域名注册信息是否与声称的机构相符；

 

4、搜索引擎查询：通过搜索引擎查找该链接所声称的网站或机构，对比官方网站信息；

 

5、直接访问官方网站：如果怀疑是钓鱼链接，应直接输入官方网站地址进行访问，而不是通过链接点击进入；

 

6、联系官方确认：对于可疑的链接，最好直接联系官方网站的客服进行确认；

 

7、安全意识培养：用户应时刻保持高度的安全意识，不点击来历不明的链接，不随意提供个人私钥、密码等敏感信息；

 

8、使用安全软件：安装并使用专业的网络安全软件，这些软件可以检测并阻止钓鱼网站。

 

通过上述方法，加密资产圈的用户可以大大降低遭遇钓鱼攻击的风险，保护自己的资产安全。同时，广大的项目开发者也需要积极关注网络安全教育，提升自身的网络安全素养。