撰文:Luccy、律动小工,BlockBeats
在币圈,作为主要社交媒体的推特是信息交流的重要平台,但同时也暴露了诸多安全隐患。近几个月来,一种新的被盗趋势浮现出水面:知名意见领袖 (KOL) 成为了社交工程攻击的主要目标,项目官方的社交媒体平台 X(原 twitter)频繁发生账号被盗事件。
这些精心策划的攻击不仅侵犯了个人隐私,更威胁到了整个数字资产的安全。BlockBeats 将探讨近期发生的几起针对知名 KOL 的社交工程攻击案例,揭示攻击者如何利用精心设计的诈骗手段,以及 KOL 和普通用户如何提高警惕,防范这类日益猖獗的网络威胁。
伪装的假记者,针对 KOL 的社工攻击
据 BlockBeats 不完全统计,最初遭遇社工攻击的人是美国主流媒体《福布斯》主编。冒牌者与加密 Kol@0xmasiwei 就 friend.tech 及其他仿盘 SocialFi 项目进行交流后,对其发送 friend.tech「身份验证」链接。经慢雾安全人员验证,该链接为钓鱼链接。
此外,慢雾创始人余弦确定 friend.tech 的一体化自定义工具 FrenTechPro 为钓鱼骗局,用户在点击 ACTIVATE NOW 后会有黑客不断尝试盗取钱包相关资产。
两个月后,派盾 PeckShieldAlert 再次监测到类似事件。
12 月 18 日,加密数据研究员、DeFiLlama 贡献者 Kofi(@0xKofi)在社交媒体平台发文称 DefiLama 的合约和 dApp 存在漏洞影响,要求用户点击推文中附带的链接验证资产安全。这是社工攻击一次典型例子,诈骗团伙利用了用户对漏洞的恐惧心理,让他们降低对诈骗链接的防范。
昨日凌晨 2 点,@0xcryptowizard 遭遇社工攻击再次引发加密圈的讨论。@0xcryptowizard 在社交媒体平台用着「机翻」中文为 Arbitrum 铭文宣传,并附上了 mint 链接。据社区成员反应,刚点入链接钱包瞬间就被清空。
对此,@0xcryptowizard 发文表示,骗子正是抓住了自己休息时间才趁机发布钓鱼链接。随后,@0xcryptowizard 在推特简介中附上提醒,「未来不会发任何链接;推文中出现链接,请不要点。」
至于被盗原因,@0xcryptowizard 表示这是一次精心策划的网络诈骗。攻击者 @xinchen_eth 伪装成知名加密货币媒体 Cointelegraph 的记者,并以预约采访为由接触目标。攻击者诱使点击一个看似正常的预约链接,该链接伪装成了 Calendly(一个常用的日程安排工具)的预约页面。然而,这实际上是一个伪装的页面,其真实目的是完成对 @xinchen_eth 推特账户的授权,从而获取其推特权限。
在这个过程中,即便对链接有所怀疑,页面的设计和呈现方式仍然让他误以为是一个正常的 Calendly 预约界面。事实上,页面并没有显示出任何 Twitter 授权的界面,只展示了预约时间的界面,这使得他陷入了误区。回想起来,@0xcryptowizard 认为黑客可能对页面进行了巧妙的伪装。
最后,@0xcryptowizard 提醒其他知名意见领袖(KOL)要格外小心,不要轻易点击不明链接,即使它们看起来像是正常的服务页面。这种诈骗手段的高度隐蔽性和欺骗性是一个严重的安全隐患。
在 @0xcryptowizard 后,NextDAO 联合发起人 @_0xSea_也经历了社工攻击,一个自称来自知名加密媒体公司 Decrypt 的骗子私信约其进行采访,旨在面向华语用户传播一些理念。
但有前车之鉴,@_0xSea_细心的注意到对方发送的 Calendly .com 授权的页面中,「授权 Calendlỵ 访问你的账号」这句话里的字符是「ỵ」,不是字母「y」,这与上次假 sats 的情况类似,末尾字符其实是「ʦ」而不是「ts」。由此判断这是一个冒充的假账号。
训练有素的加密黑客团伙 Pink Drainer
在 @0xcryptowizard 遭遇攻击事件中,慢雾余弦指出诈骗团伙 Pink Drainer。据悉,Pink Drainer 是一款恶意软件即服务(Malware-as-a-Service,MaaS),能够让用户快速建立恶意网站,通过该恶意软件获取非法资产。
据区块链安全公司 Beosin 指出,该钓鱼网址使用一种加密钱包窃取工具,诱使用户签署请求。一旦请求被签署,攻击者将能够从受害者的钱包中转移 NFT 和 ERC-20 代币。「Pink Drainer」会向用户收取被盗资产作为费用,据报道可能高达被盗资产的 30%。
Pink Drainer 团队因在 Twitter 和 Discord 等平台上的高调攻击而臭名昭著,涉及 Evomos、Pika Protocol 和 Orbiter Finance 等事件。
去年 6 月 2 日,骇客利用 Pink Drainer 侵入 OpenAI 技术长 Mira Murati 的推特发布假消息,声称 OpenAI 即将推出「OPENAI 代币」,基于 AI 语言模型推动,并贴上链接告知网友前去查看自己的以太坊钱包地址是否有领取空投资格。为防止其他人在留言区揭穿骗局,骇客还特别关闭了留言公开回复功能。
尽管这则假消息在发布一个小时后被删除,但已经触及超过 80,000 名推特用户。Scam Sniffer 对此展示的数据表示,骇客在这起事件中获得了约 11 万美元的非法收入。
去年年底,Pink Drainer 参与一起高度精密的网络钓鱼诈骗,导致价值 440 万美元的 Chainlink(LINK)代币被盗。这起网络盗窃针对的是一个单独的受害者,他们被欺骗签署了与「增加授权」功能相关的交易。Pink Drainer 利用了加密领域的标准程序「增加授权」功能,允许用户设置其他钱包可转账代币数量的限制。
在受害者不知情的情况下,这一行动使得 275,700 个 LINK 代币在两笔不同的交易中被未经授权地转移。加密安全平台 Scam Sniffer 的详细信息显示,最初,68,925 个 LINK 代币被转移到了一个被 Etherscan 标记为「PinkDrainer:Wallet 2」的钱包;其余的 206,775 个 LINK 则被发送到以「E70e」结尾的另一个地址。
尽管目前尚不清楚他们是如何诱使受害者授权代币转移的。Scam Sniffer 还在被盗事件发生的过去 24 小时内发现了至少 10 个与 Pink Drainer 有关的新诈骗网站。
如今,Pink Drainer 的活动仍在呈上升趋势,据 Dune 数据显示,截至撰稿时,Pinkdrainer 已累计诈骗超过 2500 万美元,总受害者达上万人。
项目官推频繁被盗
不仅如此,最近一个月以来,项目官推被盗事件频发:
12 月 22 日,ARPG 暗黑刷宝类链游《SERAPH: In the Darkness》官方 X 平台账号疑似被盗,请用户暂时不要点击该账号发布的任何链接。
12 月 25 日,去中心化金融协议 Set Protocol 官推疑似被盗,并发布多条包含钓鱼链接的推文。
12 月 30 日,DeFi 借贷平台 Compound 官推疑似被盗,并发布包含钓鱼链接的推文,但并未开放评论权限。BlockBeats 提醒用户注意资产安全,请勿点击钓鱼链接。
甚至连安全公司也不能幸免。1 月 5 日,CertiK 的推特账户账户已被盗用。发布虚假消息称发现 Uniswap 路由器合约容易受到重入漏洞的攻击。附带 RevokeCash 链接为钓鱼链接。针对此次被盗事件,CertiK 在其社交平台表示,「一个知名媒体相关的经过验证的账户联系了 CertiK 的一名员工,然而该帐户似乎已被盗用,导致我们的员工遭到网络钓鱼攻击。CertiK 很快发现了漏洞,并在几分钟内删除了相关推文。调查表明这是一次大规模持续攻击。据调查,此次事件并未造成重大损失。」
1 月 6 日,据社群反馈,Solana 生态 NFT 借贷协议 Sharky 官推已被黑客攻击并发布钓鱼链接,请用户不要点击该官推发布的任何链接。
