什么是區(qū)塊鏈釣魚攻擊？在區(qū)塊鏈的世界中，用戶的每一步操作都可能直接影響資產(chǎn)安全。隨著技術(shù)的發(fā)展，釣魚攻擊手法也在不斷升級，因此我們必須時(shí)刻保持高度警惕，提升自我防護(hù)意識，避免掉入騙 局。無論是核實(shí)鏈接、使用安全設(shè)備、開啟多重身份驗(yàn)證，還是妥善管理錢包，這些細(xì)小的舉措都能為我們的資產(chǎn)構(gòu)筑起一道堅(jiān)固的防線。

那么區(qū)塊鏈釣魚攻擊是什么？區(qū)塊鏈釣魚攻擊怎么防范？下面就和腳本之家小編一起看看吧！

什么是區(qū)塊鏈釣魚攻擊？

大家可能對“釣魚”這個詞不陌生，最早它指的是那些通過假冒網(wǎng)站或郵件，誘導(dǎo)人們點(diǎn)擊鏈接然后騙取個人信息的網(wǎng)絡(luò)詐 騙手段。現(xiàn)在，隨著區(qū)塊鏈和加密貨幣的流行，這種“釣魚”也演變到了區(qū)塊鏈?zhǔn)澜纭?/p>

區(qū)塊鏈釣魚攻擊其實(shí)本質(zhì)和傳統(tǒng)釣魚差不多，都是攻擊者假裝成你信任的對象，比如某個你常用的錢包網(wǎng)站、交易平臺，甚至是你參與過的項(xiàng)目方。他們會通過偽造的鏈接、假冒的社交媒體賬號，或者看似正規(guī)但實(shí)則有漏洞的智能合約，引誘你輸入私鑰、助記詞，或者簽署一個惡意交易。結(jié)果呢？你的加密資產(chǎn)就這么不知不覺被轉(zhuǎn)走了。

舉個例子，想象一下你在某個社交平臺上看到一個“官方空投”活動，里面有個鏈接，看起來像你熟悉的錢包網(wǎng)站。你點(diǎn)進(jìn)去輸入助記詞，然后發(fā)現(xiàn)，里面的錢全都沒了。這就是一個典型的區(qū)塊鏈釣魚攻擊場景。

釣魚攻擊特別狡猾，因?yàn)樗鼈儗ｉT瞄準(zhǔn)那些對區(qū)塊鏈技術(shù)不是很熟悉、對防護(hù)措施不夠了解的用戶。很多人都是因?yàn)橐粫r(shí)疏忽，或貪圖小便宜，中了攻擊者的圈套。所以，我們必須對這些攻擊方式保持警惕，時(shí)刻防范。

那如何識別釣魚攻擊呢？這就得從他的原理講起了。

釣魚攻擊的工作原理

釣魚攻擊主要有四種方式，分別為虛假空投、誘導(dǎo)簽名、后門工具和上供助記詞。

虛假空投:

攻擊者利用地址生成器生成和用戶錢包地址非常相似的地址（一般是前幾位或后幾位相同），然后往這些地址里多次轉(zhuǎn)入小額的資金（如0.001 USDT），或是攻擊者自己部署的假USDT。這讓用戶誤以為這些地址是之前的正常收款地址。在用戶進(jìn)行新的轉(zhuǎn)賬時(shí)，可能會復(fù)制歷史交易記錄，誤將資金轉(zhuǎn)入攻擊者的地址，導(dǎo)致資產(chǎn)丟失。

誘導(dǎo)簽名:

攻擊者通過創(chuàng)建偽造的網(wǎng)頁，如知名項(xiàng)目的仿冒網(wǎng)站、虛假的空投鏈接或購物平臺，誘導(dǎo)用戶連接錢包并執(zhí)行簽名操作，進(jìn)而竊取資產(chǎn)。

常見的誘導(dǎo)簽名攻擊包括以下幾種：

• 直接轉(zhuǎn)賬

攻擊者將簽名操作偽裝成領(lǐng)取空投、錢包連接等功能，實(shí)際操作是把用戶的資產(chǎn)轉(zhuǎn)到攻擊者的地址。

• 授權(quán)代幣轉(zhuǎn)移

用戶在釣魚網(wǎng)站上簽署交易，如ERC20的approve調(diào)用或NFT的setApproveForAll，攻擊者得到授權(quán)后可以隨意轉(zhuǎn)移用戶的資產(chǎn)。

• 空白地址授權(quán)釣魚

空白地址授權(quán)釣魚是授權(quán)釣魚的升級版。用戶點(diǎn)擊釣魚鏈接進(jìn)行授權(quán)時(shí)（通常也是approve或increaseAllowance），spender的地址是沒有任何鏈上記錄的空地址，如果受害者簽署授權(quán)，空地址就會被通過create2方法部署一個合約，將受害者的資金轉(zhuǎn)走。采用空白地址授權(quán)可以避免授權(quán)地址被檢測工具標(biāo)記的情況，從而繞過一些錢包的安全檢查。

• 零元購NFT釣魚

欺騙用戶簽名 NFT 的銷售訂單，NFT 是由用戶持有的，一旦用戶簽名了此訂單，攻擊者就可以直接通過 OpenSea 購買用戶的 NFT，但是購買的價(jià)格由攻擊者決定，也就是說攻擊者不花費(fèi)任何資金就能“買”走用戶的 NFT。

• eth_sign空白支票（盲簽）

eth_sign也叫盲簽，使用eth_sign簽署任意哈希值，等于給攻擊者開了一張空白支票，因此攻擊者可以構(gòu)造任意自定義的交易竊取用戶資產(chǎn)。

• Permit 釣魚

permit是erc20協(xié)議的一個擴(kuò)展功能，它允許用戶通過簽名消息完成授權(quán)操作，并將簽名結(jié)果發(fā)送給另外一個錢包，這可以完成資產(chǎn)轉(zhuǎn)移操作。通過誘導(dǎo)用戶簽署ERC20的permit授權(quán)，攻擊者可以獲得轉(zhuǎn)移用戶代幣的權(quán)限。

• personal_sign簽名

personal_sign通常用于簽名可讀的內(nèi)容，但也可以將簽名的內(nèi)容處理成哈希值。

例如：0x62dc3e93b0f40fd8ee6bf3b9b1f15264040c3b1782a24a345b7cb93c9dafb7d8消息，是目標(biāo)明文被keccak256哈希后的結(jié)果。被釣魚的用戶，看不懂簽名的內(nèi)容，如果進(jìn)行簽名的話，就會被釣魚攻擊。

惡意多重簽名：

多重簽名的本意為為了使得錢包更安全，允許多個用戶共同管理和控制同一個錢包的使用權(quán)限。

以TRON為例，TRON多重簽名分為了Owner（最高權(quán)限，可以管理權(quán)限和進(jìn)行一切操作），Witness（參與投票管理）和Active（用于日常操作，如轉(zhuǎn)賬或調(diào)用合約），新建賬戶時(shí)，賬戶地址默認(rèn)擁有Owner權(quán)限。

當(dāng)攻擊者通過釣魚網(wǎng)頁/應(yīng)用獲取到用戶私鑰后，攻擊者可以將Owner/Active轉(zhuǎn)移或授權(quán)給自己的地址，注意轉(zhuǎn)移為移除用戶的Owner權(quán)限而授權(quán)則是不移除用戶的權(quán)限，但不論如何，用戶便失去了錢包資產(chǎn)轉(zhuǎn)出的權(quán)利。

由于用戶仍能轉(zhuǎn)入資金，攻擊者可能會“放長線釣大魚”，不會第一時(shí)間轉(zhuǎn)走受害者資產(chǎn)，直到受害者發(fā)現(xiàn)錢包被惡意多簽，不再轉(zhuǎn)入資金后，攻擊者再轉(zhuǎn)走資金。

后門工具:

• 偽裝成科學(xué)家工具

“科學(xué)家工具”通常是指區(qū)塊鏈生態(tài)中的一些高級用戶（即所謂的“科學(xué)家”）使用的交易輔助工具，比如用于快速批量鑄造NFT，批量發(fā)送代幣或是快速執(zhí)行某些復(fù)雜的鏈上操作等。這類工具深受一級市場用戶歡迎，因?yàn)樗鼈兛梢詷O大提高操作效率。

然而，攻擊者會偽裝成這類工具的開發(fā)者，發(fā)布看似合法的工具，實(shí)際上在工具內(nèi)部植入了后門程序。這些后門程序可能在用戶使用工具時(shí)偷偷獲取私鑰或助記詞，又或是直接操控用戶錢包發(fā)送代幣至攻擊者指定錢包，攻擊者隨后就可以通過這些敏感信息控制用戶的錢包。

• 虛假的瀏覽器插件

許多用戶喜歡使用瀏覽器插件（如MetaMask，Token Pocket）來方便地進(jìn)行區(qū)塊鏈交易。攻擊者可能會通過釣魚網(wǎng)站誘導(dǎo)用戶安裝假冒的插件。這些插件一旦安裝，會偷偷記錄用戶的交易行為，竊取私鑰，進(jìn)行多重簽名。

• 交易加速器或優(yōu)化工具

這類工具通常聲稱能幫助用戶加速交易確認(rèn)或優(yōu)化鏈上操作，用戶往往需要輸入私鑰或簽名來使用這些功能。攻擊者通過誘導(dǎo)用戶在使用過程中輸入關(guān)鍵信息，將其偷偷記錄下來。

上供私鑰/助記詞:

攻擊者會創(chuàng)建一些偽造的交易網(wǎng)站或Telegram小程序（如偽造的Pepebot），要求用戶提供私鑰或助記詞來綁定錢包，誘騙用戶進(jìn)行“土狗”交易或其他操作。實(shí)際上，攻擊者通過這些手段竊取用戶的私鑰，然后轉(zhuǎn)走錢包里的所有資產(chǎn)。

典型案例分析

假空投騙 局：

項(xiàng)目Wormhole發(fā)布空投 公告時(shí)，許多推特模仿官方賬戶發(fā)布假空投鏈接。圖1項(xiàng)目方名稱為@studioFMmilano·1h，圖2假冒項(xiàng)目方為@studioFMmilano，而真正的項(xiàng)目方為@wormhole。

誘導(dǎo)錢包簽名：

冒仿網(wǎng)站簽名：

以moonbirds-exclusive.com/釣魚網(wǎng)站為例，該網(wǎng)站為模仿www.proof.xyz/moonbirds的冒仿網(wǎng)站，當(dāng)用戶連接錢包并點(diǎn)擊Claim后，會彈出一個簽名申請框。此時(shí)，Metamask會顯示一個紅色警告，但由于彈窗上并未明確顯示簽名內(nèi)容，用戶很難判斷這是否是一個陷阱。一旦用戶進(jìn)行了簽名，騙子就可以使用用戶的私鑰簽署任何交易，包括轉(zhuǎn)移資產(chǎn)。

Permit簽名：

某用戶在質(zhì)押期間在釣魚網(wǎng)站進(jìn)行了Permit簽名，用戶第一時(shí)間去檢查了也沒發(fā)現(xiàn)異常授權(quán)。釣魚卻在之后上鏈這筆 permit 離線授權(quán)簽名，給目標(biāo)地址的目標(biāo)資產(chǎn)開了個授權(quán)風(fēng)險(xiǎn)敞口，但目標(biāo)用戶并沒法知曉，直到目標(biāo)用戶提出相關(guān)再質(zhì)押的 ETH 資產(chǎn)，釣魚立即轉(zhuǎn)走，因此該用戶丟失了 212 萬美金。

圖3.賬戶被permit離線授權(quán)簽名

惡意多重簽名：

惡意多重簽名的釣魚方法有很多，最常見的為“攻擊者故意泄漏私鑰”或“虛假插件/錢包”

攻擊者故意泄漏私鑰：

攻擊者在社交媒體或通過其他途徑泄露私鑰，通過各類話術(shù)誘騙受害者往錢包內(nèi)轉(zhuǎn)入加密資產(chǎn)，直到受害者發(fā)現(xiàn)資產(chǎn)無法轉(zhuǎn)出后，攻擊者再將錢包資產(chǎn)進(jìn)行轉(zhuǎn)移。

虛假TokenPocket錢包：

受害者在搜索引擎上搜索“TP錢包”并非官方網(wǎng)站下載“TP錢包”。而實(shí)際下載的并非官方錢包，而為攻擊者在互聯(lián)網(wǎng)投放的虛假錢包，用戶綁定助記詞后，受害者的錢包就會自動被多簽，從而無法將資產(chǎn)轉(zhuǎn)移。

后門工具：

受害者在推特發(fā)現(xiàn)了一個自稱專做WEB-3“擼毛”及各類腳本開發(fā)的博主，受害者下載并運(yùn)行了該博主免費(fèi)贈送的腳本，結(jié)果發(fā)現(xiàn)錢包被洗劫一空，失去了價(jià)值700USDT的代幣。

如何預(yù)防區(qū)塊鏈釣魚攻擊

• 核實(shí)鏈接和網(wǎng)址

在訪問任何與加密貨幣相關(guān)的網(wǎng)站時(shí)，務(wù)必核實(shí)鏈接和網(wǎng)址的真實(shí)性。釣魚攻擊者常常會創(chuàng)建與官方網(wǎng)站極為相似的假冒網(wǎng)站，僅修改幾個字符，一但不小心就可能中招。因此，防范的第一步就是：

1.避免點(diǎn)擊陌生鏈接：收到的任何陌生郵件、社交媒體消息或不明來歷的鏈接都需要格外小心，尤其是那些聲稱來自“官方”渠道的推廣信息、空投活動或賬戶問題提示。

2.使用書簽保存常用的官方網(wǎng)站：訪問加密貨幣交易所或錢包服務(wù)時(shí)，建議直接使用瀏覽器中保存的書簽，而不是通過搜索引擎查詢，以防誤入釣魚網(wǎng)站。

• 多重身份驗(yàn)證（2FA）

多重身份驗(yàn)證（2FA）是增加賬戶安全的重要措施之一。在賬戶登錄時(shí)，除了密碼外，還需要額外的驗(yàn)證步驟，通常是通過手機(jī)短信、身份驗(yàn)證器應(yīng)用程序生成的動態(tài)驗(yàn)證碼，來確認(rèn)身份。

1.開啟2FA：務(wù)必為所有支持2FA的加密貨幣賬戶開啟這一功能，包括交易所賬戶、錢包應(yīng)用等。即便攻擊者獲取了你的密碼，沒有2FA的驗(yàn)證碼，他們?nèi)匀粺o法登錄賬戶。

2.使用身份驗(yàn)證器應(yīng)用：盡量選擇使用Google Authenticator、Authy等身份驗(yàn)證器應(yīng)用，而非短信驗(yàn)證，因?yàn)槎绦趴赡軙庥鯯IM卡劫持攻擊。

3.定期更新2FA設(shè)備：確保你綁定的手機(jī)或驗(yàn)證設(shè)備是最新的。如果手機(jī)丟失或更換，及時(shí)更新2FA設(shè)備，避免安全隱患。

• 安全意識培養(yǎng)

區(qū)塊鏈釣魚攻擊的手法不斷演變，因此必須持續(xù)學(xué)習(xí)和保持安全意識。

1.關(guān)注安全社區(qū)和新聞：定期關(guān)注區(qū)塊鏈和加密貨幣安全的相關(guān)新聞、博客和社區(qū)論壇，獲取最新的安全資訊和預(yù)警，避免掉入新的釣魚陷阱。

2.提高警惕：養(yǎng)成在任何敏感操作（如授權(quán)簽名、交易轉(zhuǎn)賬）前仔細(xì)檢查操作內(nèi)容的習(xí)慣，不隨意在陌生網(wǎng)站或平臺上連接錢包或進(jìn)行簽名操作。

• 錢包安全管理

錢包是加密貨幣的核心存儲工具，妥善管理錢包的安全對防止釣魚攻擊起至關(guān)重要的作用。

1.不要泄露助記詞或私鑰：助記詞和私鑰是控制錢包的關(guān)鍵，一旦泄露，攻擊者可以直接獲取錢包中的資產(chǎn)。因此，助記詞和私鑰必須妥善保管，絕不能透露給任何人，也不要存儲在聯(lián)網(wǎng)設(shè)備上。

2.使用冷錢包儲存大額資產(chǎn)：冷錢包是指未連接互聯(lián)網(wǎng)的錢包，通常是硬件錢包，安全性較高。對于長期持有的大額資產(chǎn)，建議存放在冷錢包中，以防止在線攻擊。

3.合理使用熱錢包：熱錢包是連接互聯(lián)網(wǎng)的錢包，便于日常交易，但安全性相對較低。建議將少量的日常交易資金放在熱錢包中，盡量將大部分資金存放在冷錢包里，分散風(fēng)險(xiǎn)。

4.定期備份錢包數(shù)據(jù)：確保錢包助記詞、私鑰或恢復(fù)密碼等信息有可靠的備份。建議將備份信息存放在安全的、離線的地方，如加密的USB設(shè)備或?qū)嶓w紙張。

結(jié)語

在區(qū)塊鏈的世界中，用戶的每一步操作都可能直接影響資產(chǎn)安全。隨著技術(shù)的發(fā)展，釣魚攻擊手法也在不斷升級，因此我們必須時(shí)刻保持高度警惕，提升自我防護(hù)意識，避免掉入騙 局。無論是核實(shí)鏈接、使用安全設(shè)備、開啟多重身份驗(yàn)證，還是妥善管理錢包，這些細(xì)小的舉措都能為我們的資產(chǎn)構(gòu)筑起一道堅(jiān)固的防線。

務(wù)必慎之又慎，莫操之過急！

以上就是腳本之家小編給大家分享的什么是區(qū)塊鏈釣魚攻擊？區(qū)塊鏈釣魚攻擊解析的詳細(xì)介紹了，希望大家喜歡！

你可能感興趣的文章

• 

  區(qū)塊鏈技術(shù)：深度解析與未來展望

  區(qū)塊鏈技術(shù)自2008年比特幣白皮書發(fā)布以來，已經(jīng)從一種簡單的加密貨幣底層技術(shù)，發(fā)展成為一個具有廣泛潛力的創(chuàng)新領(lǐng)域,本文將深入探討區(qū)塊鏈的核心技術(shù)、行業(yè)應(yīng)用、面臨的挑…

  2024-10-02
• 

  BNB鏈?zhǔn)鞘裁磪^(qū)塊鏈?解析BNB鏈和DEX的關(guān)系

  這篇文章主要介紹了BNB鏈?zhǔn)鞘裁磪^(qū)塊鏈?解析BNB鏈和DEX的關(guān)系的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-06-01
• 

  區(qū)塊鏈StarkNet是什么鏈?深度解析StarkNet公鏈

  這篇文章主要介紹了區(qū)塊鏈StarkNet是什么鏈?深度解析StarkNet公鏈的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-04-03
• 

  深度解析比特幣使用的區(qū)塊鏈屬于什么鏈?比特幣區(qū)塊鏈安全嗎?

  這篇文章主要介紹了深度解析比特幣使用的區(qū)塊鏈屬于什么鏈?比特幣區(qū)塊鏈安全嗎?的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2022-11-24
• 

  IEO是什么意思？區(qū)塊鏈IEO的優(yōu)缺點(diǎn)解析

  這篇文章主要介紹了IEO是什么意思？區(qū)塊鏈IEO的優(yōu)缺點(diǎn)解析的相關(guān)資料，我們都知道IPO(首次公開募股)、ICO(首次代幣發(fā)行)，也有部分朋友知道IFO(首次分叉發(fā)行)與IMO(以礦機(jī)…

  2021-08-03
• 

  干貨:區(qū)塊鏈相關(guān)疑問解析

  這篇文章主要介紹了區(qū)塊鏈相關(guān)疑問解析，通過一系列區(qū)塊鏈的疑問解答，讓大家更加清晰的了解什么是區(qū)塊鏈技術(shù)及區(qū)塊鏈與比特幣和金融領(lǐng)域的相關(guān)問答知識分享，下面一起來看…

  2021-04-06
• 

  深入解析區(qū)塊鏈：它是什么以及有何重要用途

  關(guān)于未來區(qū)塊鏈技術(shù)走向及形態(tài)變革尚待深度研究,要推動其有效推動社會進(jìn)步，需尋求技術(shù)與實(shí)踐的結(jié)合；達(dá)成此目標(biāo)，全社會協(xié)同發(fā)力至關(guān)重要,唯有如此，方能共筑互信高效的新…

  2024-10-02