為什么幣圈會(huì)被黑客攻擊呢？在幣圈如何保護(hù)好自己？加密貨幣用戶(hù)會(huì)有哪些漏洞呢？

本文提供了針對(duì)加密貨幣用戶(hù)的常見(jiàn)攻擊方法的詳細(xì)分析，包括網(wǎng)絡(luò)釣魚(yú)、惡意軟件和社會(huì)工程攻擊。它還揭示了這些攻擊如何通過(guò)真實(shí)案例研究進(jìn)行操作和傳播。

下面，就和腳本之家小編一起詳細(xì)了解下吧！

摘要

• 大多數(shù)加密貨幣用戶(hù)并不是通過(guò)復(fù)雜的攻擊被黑客入侵，而是通過(guò)點(diǎn)擊、簽署或信任錯(cuò)誤的事物而被黑客入侵。本報(bào)告詳細(xì)分析了這些日常失誤是如何發(fā)生的。
• 從網(wǎng)絡(luò)釣魚(yú)工具和錢(qián)包盜取器到惡意軟件和假冒客服騙 局，大多數(shù)攻擊直接針對(duì)用戶(hù)，而不是協(xié)議，這使得共同點(diǎn)是人類(lèi)背景，而不是代碼。
• 本報(bào)告概述了與個(gè)人用戶(hù)相關(guān)的加密貨幣漏洞的101個(gè)要點(diǎn)，涵蓋了一系列常見(jiàn)的漏洞，以及真實(shí)案例和需要注意的事項(xiàng)。

1. 需要了解：你就是攻擊面

加密貨幣的設(shè)計(jì)是自我保管。這就是其特點(diǎn)。但這一基礎(chǔ)屬性，作為行業(yè)價(jià)值觀(guān)的核心，往往會(huì)使你成為單點(diǎn)故障。在許多個(gè)人在加密貨幣中失去資金的案例中，并不是協(xié)議中的一個(gè)漏洞：而是一次點(diǎn)擊。一次私信。一項(xiàng)批準(zhǔn)。一個(gè)信任或疏忽的瞬間，在執(zhí)行一個(gè)看似無(wú)關(guān)緊要的日常任務(wù)時(shí)，可能會(huì)改變一個(gè)人的加密貨幣體驗(yàn)的軌跡。

本報(bào)告不是技術(shù)白皮書(shū)或智能合約邏輯的評(píng)審，而是針對(duì)個(gè)人的威脅模型。它分析了用戶(hù)在實(shí)踐中如何被利用，以及應(yīng)對(duì)措施。報(bào)告將重點(diǎn)關(guān)注個(gè)人層面的利用：網(wǎng)絡(luò)釣魚(yú)、錢(qián)包授權(quán)、社交工程、惡意軟件。最后將簡(jiǎn)要涵蓋協(xié)議層面的風(fēng)險(xiǎn)，以展示加密貨幣中發(fā)生的利用的廣泛范圍。

2. 完整的利用手冊(cè)（算是）

在無(wú)許可的環(huán)境中發(fā)生的交易具有永久性和不可逆轉(zhuǎn)的特性，通常不需要中介的干預(yù)，加上個(gè)別用戶(hù)需要在同樣持有金融資產(chǎn)的設(shè)備和瀏覽器上與匿名對(duì)手進(jìn)行互動(dòng)，這使得加密貨幣成為黑客和其他犯罪分子的獨(dú)特獵場(chǎng)。下面是個(gè)人可能面臨的各種攻擊類(lèi)型的廣泛列表，但讀者應(yīng)該意識(shí)到，盡管這個(gè)列表涵蓋了大多數(shù)攻擊，但并不是詳盡無(wú)遺。對(duì)于那些不熟悉加密貨幣的人來(lái)說(shuō)，這個(gè)列表可能會(huì)讓人感到不知所措，但其中很大一部分是互聯(lián)網(wǎng)時(shí)代已經(jīng)發(fā)生過(guò)的“常規(guī)”攻擊，并不特有于這個(gè)行業(yè)。§3將詳細(xì)介紹一些關(guān)鍵的攻擊方法。

2.1 社會(huì)工程攻擊

依賴(lài)心理操控來(lái)欺騙個(gè)人以妥協(xié)其安全的攻擊。

• 網(wǎng)絡(luò)釣魚(yú)：假冒的電子郵件、信息或網(wǎng)站模仿真實(shí)平臺(tái)以竊取憑證或種子短語(yǔ)（更多內(nèi)容見(jiàn)第3節(jié)）。
• 冒充詐 騙：攻擊者假裝成影響者、項(xiàng)目負(fù)責(zé)人或客戶(hù)支持，以獲取信任并提取資金或敏感信息。
• 種子短語(yǔ)騙 局：用戶(hù)被欺騙，通過(guò)假冒的恢復(fù)工具或贈(zèng)品透露恢復(fù)短語(yǔ)。
• 虛假空投：以免費(fèi)代幣吸引用戶(hù)，從而促使不安全的錢(qián)包互動(dòng)或私鑰共享。
• 虛假工作機(jī)會(huì)：偽裝成就業(yè)機(jī)會(huì)，但旨在安裝惡意軟件或收集敏感數(shù)據(jù)。
• 拉抬出貨計(jì)劃：社會(huì)協(xié)同努力以炒作并拋售令毫無(wú)防備的零售參與者的代幣。

圖1：社會(huì)工程的后果可能非常嚴(yán)重
來(lái)源：Cointelegraph

2.2 電信與賬戶(hù)接管

利用電信基礎(chǔ)設(shè)施或賬戶(hù)級(jí)別的弱點(diǎn)繞過(guò)身份驗(yàn)證。

• SIM卡交換：攻擊者劫持受害者的手機(jī)號(hào)碼，以攔截雙重身份驗(yàn)證代碼并重置賬戶(hù)憑據(jù)（更多內(nèi)容見(jiàn)§3）。
• 憑證填充：重新使用泄露的憑證來(lái)訪(fǎng)問(wèn)錢(qián)包或交易所賬戶(hù)。
• 2FA繞過(guò)：利用弱或基于短信的身份驗(yàn)證獲取未授權(quán)訪(fǎng)問(wèn)。
• 會(huì)話(huà)劫持：通過(guò)惡意軟件或不安全的網(wǎng)絡(luò)竊取瀏覽器會(huì)話(huà)，以接管已登錄的帳戶(hù)。

圖2：來(lái)自SEC的假推文，通過(guò)SIM交換
來(lái)源：Twitter

2.3 惡意軟件與設(shè)備利用

妥協(xié)用戶(hù)的設(shè)備以提取錢(qián)包訪(fǎng)問(wèn)權(quán)限或篡改交易（更多內(nèi)容見(jiàn)§3）。

• 鍵盤(pán)記錄器：記錄按鍵以竊取密碼、個(gè)人識(shí)別碼和種子短語(yǔ)。
• 剪貼板劫持者：用攻擊者控制的錢(qián)包地址替換粘貼的錢(qián)包地址。
• 遠(yuǎn)程訪(fǎng)問(wèn)木馬 (RATs)：允許攻擊者完全控制受害者的機(jī)器，包括錢(qián)包。
• 惡意瀏覽器擴(kuò)展：被破壞或假冒的擴(kuò)展會(huì)竊取數(shù)據(jù)或操縱交易。
• 假錢(qián)包或應(yīng)用程序：偽造的應(yīng)用程序（移動(dòng)或?yàn)g覽器），在使用時(shí)會(huì)耗盡資金。
• 中間人（MITM）攻擊：攔截并修改用戶(hù)與服務(wù)之間的通信，特別是在不安全的網(wǎng)絡(luò)上。
• 不安全的Wi-Fi攻擊：公共或被破壞的Wi-Fi會(huì)在登錄或傳輸過(guò)程中攔截敏感數(shù)據(jù)。

圖3：假錢(qián)包是針對(duì)初學(xué)者加密貨幣用戶(hù)的常見(jiàn)騙 局
來(lái)源：cryptorank

2.4 錢(qián)包級(jí)漏洞

攻擊目標(biāo)是用戶(hù)如何管理或與錢(qián)包和簽名接口進(jìn)行交互。

• 審批耗盡：惡意智能合約利用先前的代幣審批來(lái)提取代幣。
• 盲簽攻擊：用戶(hù)簽署模糊的有效載荷，導(dǎo)致資金損失（例如來(lái)自硬件錢(qián)包）。
• 種子短語(yǔ)盜竊：通過(guò)惡意軟件、網(wǎng)絡(luò)釣魚(yú)或存儲(chǔ)不當(dāng)提取恢復(fù)短語(yǔ)。
• 泄露的私鑰：不安全的存儲(chǔ)（例如在云驅(qū)動(dòng)器或純文本筆記上）導(dǎo)致密鑰泄露。
• 被攻破的硬件錢(qián)包：被篡改或偽造的設(shè)備泄露私鑰給攻擊者。

2.5 智能合約與協(xié)議層風(fēng)險(xiǎn)

與惡意或脆弱的鏈上代碼交互所帶來(lái)的風(fēng)險(xiǎn)。

• 惡意智能合約：隱藏的惡意邏輯，在交互時(shí)會(huì)耗盡資金。
• 閃電貸攻擊：利用無(wú)抵押 貸款操縱價(jià)格或協(xié)議邏輯的攻擊。
• 預(yù)言機(jī)操控：攻擊者扭曲價(jià)格信息，以利用依賴(lài)于錯(cuò)誤數(shù)據(jù)的協(xié)議。
• 退出流動(dòng)性騙 局：創(chuàng)作者設(shè)計(jì)代幣/池子，只有他們可以提取價(jià)值，用戶(hù)被困。
• Sybil攻擊：虛假身份扭曲去中心化系統(tǒng)，特別是治理或空投資格。

圖 4：閃電貸是 DeFi 最大的攻擊之一的罪魁禍?zhǔn)?br />來(lái)源：Elliptic

2.6. 項(xiàng)目與市場(chǎng)操縱詐 騙

與代幣結(jié)構(gòu)、DeFi項(xiàng)目或NFT收藏相關(guān)的詐 騙。

• 拔地而起：項(xiàng)目創(chuàng)始人在籌集資金后消失，留下毫無(wú)價(jià)值的代幣。
• 虛假項(xiàng)目：假冒收藏品誘使用戶(hù)鑄造詐 騙或簽署有害交易。
  塵埃攻擊：微小的代幣轉(zhuǎn)移用于去匿名化錢(qián)包并識(shí)別釣魚(yú)或詐 騙的目標(biāo)。

2.7. 網(wǎng)絡(luò)與基礎(chǔ)設(shè)施攻擊

利用用戶(hù)依賴(lài)的前端或DNS級(jí)基礎(chǔ)設(shè)施。

• 前端劫持 / DNS欺騙：攻擊者將用戶(hù)重定向到惡意界面以竊取憑據(jù)或促使不安全的交易。
• 跨鏈橋漏洞：黑客攻擊跨鏈橋，導(dǎo)致用戶(hù)資金在轉(zhuǎn)移過(guò)程中受到威脅。

2.8. 物理威脅

現(xiàn)實(shí)世界中涉及脅迫、盜竊或監(jiān)視的風(fēng)險(xiǎn)。

• $5 扳手攻擊：受害者被身體脅迫轉(zhuǎn)移資金或透露助記詞。
• 物理盜竊：設(shè)備或備份（例如硬件錢(qián)包、筆記本）被盜以獲得訪(fǎng)問(wèn)權(quán)限。
• 肩膀沖浪：在公共或私人場(chǎng)所觀(guān)察或拍攝用戶(hù)輸入敏感數(shù)據(jù)。

圖5：不幸的是，物理威脅已經(jīng)很常見(jiàn)

3. 需要注意的關(guān)鍵漏洞

某些攻擊發(fā)生的頻率比其他攻擊更高。以下是持有或與加密貨幣互動(dòng)的個(gè)人應(yīng)該了解的三種攻擊，包括如何防止它們。該部分末尾將列出一系列預(yù)防技術(shù)和需要注意的關(guān)鍵特征，因?yàn)椴煌舴椒ㄖg存在重疊。

3.1 釣魚(yú)（包括假錢(qián)包和空投）

網(wǎng)絡(luò)釣魚(yú)在加密貨幣出現(xiàn)前就已存在了幾十年，這個(gè)術(shù)語(yǔ)在1990年代出現(xiàn)，用來(lái)描述攻擊者通過(guò)假冒電子郵件和網(wǎng)站“釣魚(yú)”敏感信息，通常是登錄憑據(jù)。隨著加密貨幣作為一種平行金融系統(tǒng)的出現(xiàn)，網(wǎng)絡(luò)釣魚(yú)自然演變?yōu)獒槍?duì)種子短語(yǔ)、私鑰和錢(qián)包授權(quán)，即“完全控制”的加密貨幣等價(jià)物。

加密貨幣釣魚(yú)尤其危險(xiǎn)，因?yàn)闆](méi)有補(bǔ)救措施：沒(méi)有退款、沒(méi)有欺詐保護(hù)，也沒(méi)有可以撤銷(xiāo)交易的客戶(hù)支持。一旦你的密鑰被盜，你的資金就幾乎沒(méi)有了。還需要記住的是，釣魚(yú)有時(shí)只是更大攻擊的第一步，使得真正的風(fēng)險(xiǎn)并不是初始損失，而是隨之而來(lái)的長(zhǎng)期妥協(xié)，例如，受損的憑證可以讓攻擊者冒充受害者并欺騙他人。

釣魚(yú)攻擊是如何運(yùn)作的？

網(wǎng)絡(luò)釣魚(yú)的核心是利用人類(lèi)的信任，通過(guò)呈現(xiàn)一個(gè)可信界面的偽造版本，或假裝成某個(gè)權(quán)威人士，來(lái)欺騙用戶(hù)自愿提供敏感信息或批準(zhǔn)惡意行為。主要的傳播途徑有幾個(gè)：

• 釣魚(yú)網(wǎng)站
  • 假冒版本的錢(qián)包（例如，MetaMask、Phantom）、交易所（例如，Binance）或去中心化應(yīng)用（dApps）。
  • 通常通過(guò)谷歌廣告推廣或通過(guò)Discord/Twitter群組分享，設(shè)計(jì)上與真實(shí)網(wǎng)站一模一樣。
  • 用戶(hù)可能會(huì)被提示“導(dǎo)入錢(qián)包”或“恢復(fù)資金”，提取他們的種子短語(yǔ)或私鑰。
• 網(wǎng)絡(luò)釣魚(yú)郵件與信息
  • 看起來(lái)像官方通訊（例如，“緊急安全更新”或“賬戶(hù)已被入侵”）。
  • 包含指向虛假登錄門(mén)戶(hù)的鏈接或直接引導(dǎo)您與惡意代幣或智能合約互動(dòng)。
  • 在 Telegram、Discord、Twitter 私信，甚至 SMS 上很常見(jiàn)。
• 假錢(qián)包或?yàn)g覽器擴(kuò)展
  • 在應(yīng)用商店或作為Chrome擴(kuò)展程序可用。
  • 在功能上模擬真實(shí)錢(qián)包，但將您的私鑰或交易數(shù)據(jù)轉(zhuǎn)發(fā)給攻擊者。
  • 有些甚至允許你轉(zhuǎn)入資金，但幾分鐘后就被抽走了。
• 空投騙 局
  • 假代幣掉落發(fā)送到錢(qián)包（尤其是在EVM鏈上）。
  • 點(diǎn)擊代幣或嘗試交易時(shí)會(huì)提示惡意合約交互。
  • 可以悄悄請(qǐng)求無(wú)限的代幣批準(zhǔn)或通過(guò)簽名有效載荷竊取您的原生代幣。

圖6：在加密貨幣中看到“免費(fèi)”時(shí)一定要保持警惕
來(lái)源：Presto Research

釣魚(yú)攻擊的例子
2023年6月的Atomic Wallet黑客事件，歸因于朝鮮的Lazarus Group，成為了加密貨幣歷史上最具破壞性的純釣魚(yú)攻擊之一。此次事件導(dǎo)致超過(guò)1億美元的加密貨幣被盜，涉及超過(guò)5,500個(gè)非托管錢(qián)包，用戶(hù)無(wú)需簽署任何惡意交易或與智能合約互動(dòng)。此次攻擊僅專(zhuān)注于通過(guò)欺騙性界面和惡意軟件提取種子短語(yǔ)和私鑰 - 是釣魚(yú)式憑證盜竊的教科書(shū)范例。
Atomic Wallet是一個(gè)多鏈、非托管的錢(qián)包，支持超過(guò)500種加密貨幣。在此次事件中，攻擊者發(fā)起了一場(chǎng)協(xié)調(diào)的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，利用了用戶(hù)對(duì)錢(qián)包支持基礎(chǔ)設(shè)施、更新流程和品牌形象的信任。受害者通過(guò)電子郵件、假網(wǎng)站和木馬軟件更新被引誘，這些都旨在模仿來(lái)自Atomic Wallet的合法通訊。

釣魚(yú)攻擊的途徑包括：

• 偽造的電子郵件偽裝成Atomic Wallet的支持或安全警報(bào)，敦促緊急行動(dòng)。
• 欺騙網(wǎng)站（例如，atomic-wallet[.]co) 模仿了錢(qián)包的恢復(fù)或獎(jiǎng)勵(lì)索取界面。
• 通過(guò)Discord、電子郵件和被攻陷的論壇分發(fā)的惡意更新，可能將用戶(hù)引導(dǎo)至釣魚(yú)頁(yè)面或通過(guò)本地惡意軟件提取憑據(jù)。

一旦用戶(hù)將他們的12個(gè)或24個(gè)單詞的種子短語(yǔ)或私鑰輸入這些欺詐界面，攻擊者就獲得了對(duì)他們錢(qián)包的完全訪(fǎng)問(wèn)權(quán)限。此漏洞不涉及受害者的鏈上交互：沒(méi)有錢(qián)包連接，沒(méi)有簽名請(qǐng)求，也沒(méi)有智能合約參與。相反，它完全依賴(lài)于社會(huì)工程學(xué)和用戶(hù)愿意在看似可信的平臺(tái)上恢復(fù)或驗(yàn)證他們的錢(qián)包。

3.2 錢(qián)包抽水機(jī)與惡意授權(quán)

錢(qián)包抽水器是一種惡意智能合約或去中心化應(yīng)用程序（dApp），旨在從您的錢(qián)包中提取資產(chǎn)，方法不是竊取您的私鑰，而是誘使您授權(quán)代幣訪(fǎng)問(wèn)或簽署危險(xiǎn)交易。與尋求您憑據(jù)的網(wǎng)絡(luò)釣魚(yú)不同，抽水器利用權(quán)限——驅(qū)動(dòng)Web3的基本信任機(jī)制。

隨著DeFi和Web3應(yīng)用的普及，MetaMask和Phantom等錢(qián)包使得“連接”到去中心化應(yīng)用（dApps）的概念變得流行。這帶來(lái)了便利，但也增加了巨大的攻擊面。在2021年至2023年期間，審批抽水器通過(guò)NFT鑄造、假空投和被拉垮的dApps迅速流行起來(lái)，這些應(yīng)用開(kāi)始在其他熟悉的用戶(hù)界面中嵌入惡意合約。用戶(hù)常常興奮或分心，會(huì)連接他們的錢(qián)包并點(diǎn)擊“批準(zhǔn)”，卻沒(méi)有意識(shí)到他們正在授權(quán)什么。

這與網(wǎng)絡(luò)釣魚(yú)有什么不同？
網(wǎng)絡(luò)釣魚(yú)是指通過(guò)欺騙某人自愿透露敏感憑證，如種子短語(yǔ)、密碼或私鑰。連接您的錢(qián)包并不會(huì)透露您的密鑰或短語(yǔ)，因?yàn)槟](méi)有交出秘密，而是在簽署交易或授予權(quán)限。這些利用通過(guò)智能合約邏輯發(fā)生，而不是盜取您的憑證，使它們?cè)跈C(jī)制上與網(wǎng)絡(luò)釣魚(yú)不同。您是在授權(quán)泄露，常常沒(méi)有意識(shí)到，這更像是一種“同意陷阱”而不是憑證盜竊。
您可以將網(wǎng)絡(luò)釣魚(yú)視為基于憑據(jù)的攻擊，而錢(qián)包盜取者/惡意授權(quán)則被視為基于權(quán)限的攻擊。

攻擊的機(jī)制
惡意批準(zhǔn)利用區(qū)塊鏈標(biāo)準(zhǔn)中的權(quán)限系統(tǒng)，如ERC-20（代幣）和ERC-721/ERC-1155（NFT）。它們欺騙用戶(hù)授予攻擊者對(duì)其資產(chǎn)的持續(xù)訪(fǎng)問(wèn)權(quán)限。

• 代幣授權(quán)基礎(chǔ)知識(shí):
  • ERC-20 代幣：approve(address spender, uint256 amount) 函數(shù)允許 "spender"（例如，DApp 或攻擊者）從用戶(hù)的錢(qián)包中轉(zhuǎn)移指定數(shù)量的代幣。
  • NFTs: setApprovalForAll(address operator, bool approved) 函數(shù)授予“operator”權(quán)限以轉(zhuǎn)移一個(gè)集合中的所有NFT。
  • 這些批準(zhǔn)是DApps的標(biāo)準(zhǔn)流程（例如，Uniswap需要批準(zhǔn)才能交換代幣），但攻擊者惡意利用這些流程。
• 攻擊者如何獲得批準(zhǔn)：
  • 欺騙性提示：一個(gè)釣魚(yú)網(wǎng)站或被攻擊的DApp提示用戶(hù)簽署一個(gè)標(biāo)記為“錢(qián)包連接”、“代幣交換”或“NFT認(rèn)領(lǐng)”的交易。該交易實(shí)際上調(diào)用了approve或setApprovalForAll針對(duì)攻擊者的地址。
  • 無(wú)限批準(zhǔn)：攻擊者通常請(qǐng)求無(wú)限的代幣授權(quán)（例如，uint256.max）或 setApprovalForAll(true)，從而完全控制用戶(hù)的代幣或 NFT。
  • 盲簽名：一些去中心化應(yīng)用（DApps）需要簽署不透明的數(shù)據(jù)，這使得很難發(fā)現(xiàn)惡意批準(zhǔn)。即使使用像Ledger這樣的硬件錢(qián)包，顯示的細(xì)節(jié)可能看起來(lái)無(wú)害（例如，“批準(zhǔn)代幣”），但隱藏了攻擊者的意圖。
• 剝削:
  • 即時(shí)盜竊：攻擊者利用批準(zhǔn)在交易后立即將代幣/NFT轉(zhuǎn)移到他們的錢(qián)包中。
  • 延遲盜竊：攻擊者等待（有時(shí)是幾周或幾個(gè)月）以提取資產(chǎn)，從而減少懷疑。例如，擁有 setApprovalForAll 的攻擊者可以隨時(shí)轉(zhuǎn)移 NFT。
  • 橫掃攻擊：像天使抽水者這樣的抽水者掃描多個(gè)錢(qián)包中的授權(quán)，并在市場(chǎng)上漲或高價(jià)值NFT發(fā)布期間大量抽水。

錢(qián)包抽水器/惡意授權(quán)的例子
Monkey Drainer 詐 騙主要在 2022 年和 2023 年初活躍，是一個(gè)臭名昭著的“服務(wù)型抽水”釣魚(yú)工具包，負(fù)責(zé)通過(guò)欺騙性 網(wǎng)站和惡意智能合約盜取數(shù)百萬(wàn)加密貨幣（包括 NFT）。與傳統(tǒng)釣魚(yú)不同，傳統(tǒng)釣魚(yú)依賴(lài)于收集用戶(hù)的種子短語(yǔ)或密碼，而 Monkey Drainer 通過(guò)惡意交易簽名和智能合約濫用進(jìn)行操作，使攻擊者能夠在沒(méi)有直接憑證泄露的情況下提取代幣和 NFT。通過(guò)欺騙用戶(hù)簽署危險(xiǎn)的鏈上批準(zhǔn)，Monkey Drainer 在 2023 年初關(guān)閉之前在數(shù)百個(gè)錢(qián)包中造成了超過(guò) 430 萬(wàn)美元的盜竊。

圖7：著名鏈上偵探ZachXBT揭露Monkey Drainer騙 局
來(lái)源：Twitter (@zachxbt)

該工具在低技能攻擊者中非常受歡迎，并在地下Telegram和暗網(wǎng)社區(qū)中進(jìn)行了大量宣傳。它允許附屬機(jī)構(gòu)克隆假鑄幣網(wǎng)站，冒充真實(shí)項(xiàng)目，并配置后端將簽名交易轉(zhuǎn)發(fā)到一個(gè)中心化的抽水合約。這些合約經(jīng)過(guò)設(shè)計(jì)，旨在利用代幣權(quán)限，依賴(lài)用戶(hù)在不知情的情況下簽署消息，從而通過(guò)如setApprovalForAll()（NFTs）或permit()（ERC-20代幣）等功能授予攻擊者地址訪(fǎng)問(wèn)資產(chǎn)的權(quán)限。

值得注意的是，這種交互流程避免了直接的釣魚(yú)：受害者并沒(méi)有被要求提供他們的私鑰或助記詞。相反，他們與看似合法的去中心化應(yīng)用（dApps）互動(dòng)，通常是在帶有倒計(jì)時(shí)或熱門(mén)品牌的鑄造頁(yè)面上。一旦連接，用戶(hù)會(huì)被提示簽署一筆他們并不完全理解的交易，這往往被通用的批準(zhǔn)語(yǔ)言或錢(qián)包界面的模糊化所掩蓋。這些簽名并沒(méi)有直接轉(zhuǎn)移資金，而是授權(quán)攻擊者在任何時(shí)候進(jìn)行轉(zhuǎn)移。隨著權(quán)限的授予，抽水合約可以在一個(gè)區(qū)塊內(nèi)執(zhí)行批量提款。

猴子排水法的一個(gè)顯著特點(diǎn)是其延遲執(zhí)行：被盜資產(chǎn)通常在幾小時(shí)或幾天后被轉(zhuǎn)移，以避免引起懷疑并最大化收益。這使其對(duì)擁有大錢(qián)包或活躍交易活動(dòng)的用戶(hù)特別有效，因?yàn)樗麄兊呐鷾?zhǔn)與正常使用模式混合在一起。高知名度的受害者包括來(lái)自CloneX、Bored Apes和Azuki等項(xiàng)目的NFT收藏家，他們損失了資產(chǎn)。

盡管Monkey Drainer在2023年停止運(yùn)營(yíng)，可能是為了“隱匿”，但錢(qián)包盜竊者的時(shí)代仍在不斷演變，對(duì)誤解或低估鏈上批準(zhǔn)威力的用戶(hù)構(gòu)成持續(xù)威脅。

3.3 惡意軟件與設(shè)備漏洞

最后，‘惡意軟件和設(shè)備漏洞’指的是一系列廣泛而多樣的攻擊形式，這些攻擊涵蓋了各種交付渠道，旨在妥協(xié)用戶(hù)的計(jì)算機(jī)、手機(jī)或?yàn)g覽器，通常通過(guò)欺騙安裝惡意軟件。其目標(biāo)通常是竊取敏感信息（例如種子短語(yǔ)、私鑰）、攔截錢(qián)包交互，或使攻擊者遠(yuǎn)程控制受害者的設(shè)備。在加密貨幣領(lǐng)域，這些攻擊通常始于社會(huì)工程學(xué)，例如虛假的工作邀請(qǐng)、虛假的應(yīng)用程序更新或通過(guò)Discord發(fā)送的文件，但很快升級(jí)為全面的系統(tǒng)妥協(xié)。

惡意軟件自個(gè)人計(jì)算機(jī)早期就存在。在傳統(tǒng)環(huán)境中，它被用來(lái)竊取信用卡信息、收集登錄信息或劫持系統(tǒng)進(jìn)行垃圾郵件或勒索軟件。隨著加密貨幣的興起，攻擊者轉(zhuǎn)變了策略：他們不再瞄準(zhǔn)可以被撤銷(xiāo)的在線(xiàn)銀行憑證，而是旨在竊取不可逆轉(zhuǎn)的加密貨幣資產(chǎn)。

這些攻擊是如何開(kāi)始的……社交工程角度

大多數(shù)惡意軟件并不是隨機(jī)傳播的：它需要受害者被欺騙執(zhí)行它。這就是社會(huì)工程學(xué)發(fā)揮作用的地方。

常見(jiàn)交付方式：

• 假冒工作機(jī)會(huì)：受害者申請(qǐng)一個(gè)假冒的Web3職位，收到包含惡意軟件的“技術(shù)測(cè)試”或“面試鏈接”。
• Discord或Telegram鏈接：作為“贈(zèng)品工具”、“截圖”或假支持文件發(fā)送。
• 電子郵件附件：簡(jiǎn)歷、白皮書(shū)或包含惡意代碼的發(fā)票格式（PDF、.docx、.exe）。
• 假冒更新：彈出窗口或偽造網(wǎng)站提供 "最新的MetaMask/Phantom版本"。
• 驅(qū)動(dòng)下載：僅僅訪(fǎng)問(wèn)一個(gè)網(wǎng)站就可能觸發(fā)后臺(tái)負(fù)載，尤其是在過(guò)時(shí)的瀏覽器上。

共同點(diǎn)：攻擊者創(chuàng)建一個(gè)可信的環(huán)境，促使用戶(hù)點(diǎn)擊、下載或打開(kāi)一些危險(xiǎn)的東西。

加密貨幣攻擊中常見(jiàn)的惡意軟件類(lèi)型

• 鍵盤(pán)記錄器：記錄每個(gè)輸入的按鍵，包括種子短語(yǔ)、密碼和 PIN。尤其危險(xiǎn)的是，如果用戶(hù)在文本編輯器、交易所登錄或錢(qián)包恢復(fù)字段中輸入他們的種子短語(yǔ)。
• 剪貼板劫持者：監(jiān)控復(fù)制的錢(qián)包地址，并在粘貼時(shí)用攻擊者的地址替換它們。受害者通常沒(méi)有注意到，他們發(fā)送資金時(shí)認(rèn)為自己粘貼的是自己的地址，但實(shí)際上已經(jīng)被替換。
• 遠(yuǎn)程訪(fǎng)問(wèn)木馬（RATs）：給予攻擊者對(duì)受害者設(shè)備的完全控制。這包括讀取文件、觀(guān)看屏幕、捕獲瀏覽器會(huì)話(huà)，甚至直接從像Exodus或基于瀏覽器的錢(qián)包應(yīng)用程序?qū)С鲋浽~。
• 假錢(qián)包或應(yīng)用：看起來(lái)像合法的錢(qián)包，但預(yù)裝了惡意代碼。常見(jiàn)于Android APK網(wǎng)站或Chrome擴(kuò)展商店。一些在你發(fā)送資金或恢復(fù)種子之前似乎正常，但在此時(shí)資金會(huì)被竊取。
• 惡意瀏覽器擴(kuò)展：妥協(xié)或模仿真實(shí)的加密貨幣擴(kuò)展，以監(jiān)控活動(dòng)、注入惡意負(fù)載或提示假簽名請(qǐng)求。它們通常以“錢(qián)包集成”的名義請(qǐng)求廣泛的權(quán)限。
• 中間人（MITM）基礎(chǔ)設(shè)施：該惡意軟件設(shè)置代理或DNS劫持，以攔截和操縱您與網(wǎng)絡(luò)之間的流量，包括交換地址或重新路由已簽名的交易。

示例：2022年Axie Infinity工作詐 騙

2022年的Axie Infinity工作詐 騙是一個(gè)在加密貨幣領(lǐng)域中惡意軟件和設(shè)備利用的典型例子，背后是復(fù)雜的社會(huì)工程學(xué)。這次攻擊被歸因于朝鮮國(guó)家支持的Lazarus集團(tuán)，導(dǎo)致約6.2億美金的加密貨幣被盜，成為迄今為止最大的去中心化金融（DeFi）黑客事件之一。

圖8：Axie Infinity漏洞進(jìn)入了傳統(tǒng)金融媒體
來(lái)源：彭博電視

這次黑客攻擊是一個(gè)多階段的行動(dòng)，結(jié)合了社會(huì)工程學(xué)、惡意軟件部署和區(qū)塊鏈基礎(chǔ)設(shè)施漏洞的利用。

黑客假裝成虛構(gòu)公司的招聘人員，通過(guò)LinkedIn針對(duì)Sky Mavis的員工：Sky Mavis是Ronin Network的背后公司，該網(wǎng)絡(luò)是一個(gè)與以太坊相連的側(cè)鏈，支持流行的玩賺區(qū)塊鏈游戲Axie Infinity。當(dāng)時(shí)，Ronin和Axie Infinity的市場(chǎng)資本分別約為3億和40億。

多名員工被接觸，但一名高級(jí)工程師成為了主要目標(biāo)，攻擊者與其進(jìn)行了多輪假招聘面試以建立信任，并提供了極為慷慨的薪酬套餐來(lái)誘騙工程師。攻擊者向工程師發(fā)送了一份偽裝成正式工作報(bào)價(jià)的PDF文件。工程師認(rèn)為這是一部分招聘流程，便在公司電腦上下載并打開(kāi)了該文件。該P(yáng)DF文件包含一個(gè)RAT，打開(kāi)后感染了工程師的系統(tǒng)，使黑客能夠訪(fǎng)問(wèn)Sky Mavis的內(nèi)部系統(tǒng)，可能是通過(guò)特權(quán)提升或在網(wǎng)絡(luò)內(nèi)的橫向移動(dòng)。這一妥協(xié)為攻擊Ronin Network的基礎(chǔ)設(shè)施提供了立足點(diǎn)。

本研究文章的范圍超出了對(duì)持續(xù)利用 Ronin 橋和 Axie DAO 的黑客機(jī)制的探討，但這次攻擊導(dǎo)致了 6.2 億美元的盜竊（173,600 ETH 和 2550 萬(wàn) USDC），僅回收了 3000 萬(wàn)美元。

4. 如何保護(hù)自己

利用攻擊的嘗試越來(lái)越復(fù)雜，但仍然依賴(lài)于明顯的跡象。警告信號(hào)包括：

• “導(dǎo)入您的錢(qián)包以領(lǐng)取 X”：沒(méi)有任何合法服務(wù)會(huì)要求您的助記詞。
• 未請(qǐng)求的私信：尤其是提供支持、金錢(qián)或幫助你沒(méi)有詢(xún)問(wèn)過(guò)的問(wèn)題。
• 稍微拼寫(xiě)錯(cuò)誤的域名：例如，metamask.io與metarnask.io。
• Google Ads：釣魚(yú)鏈接經(jīng)常出現(xiàn)在搜索結(jié)果中真實(shí)鏈接的上方。
• 過(guò)于美好的優(yōu)惠：比如“領(lǐng)取5 ETH”或“翻倍你的幣”促銷(xiāo)。
• 緊迫感或恐嚇策略：“您的賬戶(hù)已被鎖定”，“立即申領(lǐng)或失去資金。”
• 無(wú)限代幣授權(quán)：用戶(hù)應(yīng)自行設(shè)置代幣數(shù)量。
• 盲簽名請(qǐng)求：沒(méi)有可讀解釋的十六進(jìn)制負(fù)載。
• 未經(jīng)驗(yàn)證或模糊的合約：如果一個(gè)代幣或dApp是新的，請(qǐng)檢查您所批準(zhǔn)的內(nèi)容。
• 緊急UI提示：經(jīng)典的施壓策略，比如“您必須立即簽署，否則會(huì)錯(cuò)過(guò)”。
• MetaMask 簽名彈窗：尤其是在不明確的有效載荷、無(wú)燃?xì)饨灰谆蚰焕斫獾墓δ苷{(diào)用混合時(shí)。

進(jìn)一步的操作安全（OpSec）規(guī)則：

• 黃金法則
  • 永遠(yuǎn)不要因任何原因與任何人分享你的種子短語(yǔ)。
  • 收藏官方網(wǎng)站：始終直接訪(fǎng)問(wèn)。切勿使用搜索引擎查找錢(qián)包或交易所。
  • 不要點(diǎn)擊隨機(jī)的空投代幣：尤其是如果你沒(méi)有選擇加入的話(huà)。
  • 避免不請(qǐng)自來(lái)的私信：真正的項(xiàng)目很少會(huì)主動(dòng)私信…（除非他們會(huì)）
  • 使用硬件錢(qián)包：它們減少盲簽的風(fēng)險(xiǎn)并防止密鑰泄露。
  • 啟用釣魚(yú)保護(hù)工具：使用像 PhishFort、Revoke和廣告攔截器這樣的擴(kuò)展。
  • 使用只讀區(qū)塊鏈瀏覽器：像 Etherscan Token Approvals 或 Revoke這樣的工具可以顯示您的錢(qián)包擁有哪些權(quán)限。
  • 使用臨時(shí)錢(qián)包：創(chuàng)建一個(gè)資金為零或很少的新錢(qián)包，先測(cè)試鑄造或鏈接。這將盡量減少任何損失。
  • 分散你的資產(chǎn)：不要將所有資產(chǎn)放在一個(gè)地方。
• 資深加密貨幣用戶(hù)的高級(jí)實(shí)踐
  • 使用專(zhuān)用設(shè)備或?yàn)g覽器配置文件進(jìn)行加密貨幣活動(dòng) - 此外，您可以擁有一個(gè)專(zhuān)用設(shè)備用于打開(kāi)鏈接和私信。
  • 查看Etherscan的代幣警告標(biāo)簽：許多詐 騙代幣被標(biāo)記。
  • 交叉引用合同地址與官方項(xiàng)目公告。
  • 仔細(xì)檢查 URL：特別是在電子郵件和聊天中，常見(jiàn)細(xì)微的拼寫(xiě)錯(cuò)誤。許多消息應(yīng)用程序以及當(dāng)然還有網(wǎng)站允許超鏈接。
  • 注意你簽署的內(nèi)容：在確認(rèn)之前，始終解碼交易（例如，通過(guò)MetaMask、Rabby或模擬器）。

5. 最后一句

大多數(shù)用戶(hù)將加密貨幣中的漏洞視為某種技術(shù)性和不可避免的事情，特別是那些對(duì)這個(gè)行業(yè)不熟悉的人。雖然對(duì)于復(fù)雜的攻擊方法來(lái)說(shuō)，這可能是正確的，但通常初步步驟是以非技術(shù)性方式針對(duì)個(gè)人，從而使其余的漏洞可以防止。

在這個(gè)領(lǐng)域，絕大多數(shù)個(gè)人損失并不是由于某種新穎的零日漏洞或晦澀的協(xié)議錯(cuò)誤，而是因?yàn)槿藗兒炇鹆怂麄儧](méi)有閱讀的內(nèi)容，或?qū)㈠X(qián)包導(dǎo)入虛假應(yīng)用程序，或相信了聽(tīng)起來(lái)足夠合理的私信。這些工具可能是新的，但這些戰(zhàn)術(shù)卻如同時(shí)間一般古老：欺騙、緊迫感、錯(cuò)誤引導(dǎo)。

人們之所以來(lái)到加密貨幣是因?yàn)樽晕冶９芎蜔o(wú)許可的特性，但用戶(hù)需要記住這里的風(fēng)險(xiǎn)更高；在傳統(tǒng)金融中，你被騙了可以打電話(huà)給銀行。在加密貨幣中，你被騙了，這就是故事的結(jié)局。

防詐 騙請(qǐng)使用下面的官方地址

1.幣安

幣安【官方注冊(cè) 官方app下載】是國(guó)際領(lǐng)先的區(qū)塊鏈數(shù)字資產(chǎn)交易平臺(tái)，它向全球提供廣泛的數(shù)字貨幣交易、區(qū)塊鏈教育、區(qū)塊鏈項(xiàng)目孵化、區(qū)塊鏈資產(chǎn)發(fā)行平臺(tái)、區(qū)塊鏈研究院以及區(qū)塊鏈公益慈善等服務(wù)，目前用戶(hù)覆蓋了全球190多個(gè)國(guó)家和地區(qū)。

2.火幣

火幣【官方注冊(cè) 官方app下載】集團(tuán)是知名數(shù)字經(jīng)濟(jì)領(lǐng)軍企業(yè)，自2013年創(chuàng)立以來(lái)，一直致力于區(qū)塊鏈領(lǐng)域的核心技術(shù)突破以及區(qū)塊鏈技術(shù)和產(chǎn)業(yè)融合。圍繞區(qū)塊鏈產(chǎn)業(yè)上下游，發(fā)展包括產(chǎn)業(yè)區(qū)塊鏈、公鏈、數(shù)字資產(chǎn)交易、數(shù)字資產(chǎn)安全錢(qián)包、礦池、投資、孵化、研究等多業(yè)務(wù)板塊，先后投資60+上下游企業(yè)，已形成全面的數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)生態(tài)體系。

3.歐易OKX

歐易OKX【官方注冊(cè) 官方app下載】創(chuàng)立了統(tǒng)一交易賬戶(hù)等全球領(lǐng)先的Crypto交易系統(tǒng)，推出了MetaX，提供多鏈none-custody錢(qián)包、歐易NFT市場(chǎng)、DEX、Dapps等產(chǎn)品，OEC作為其自研公鏈，生態(tài)建設(shè)也初露頭角，能夠滿(mǎn)足用戶(hù)多種數(shù)字資產(chǎn)業(yè)務(wù)需求。后續(xù)歐易OKX將持續(xù)向元宇宙、Web3.0、GameFi等領(lǐng)域進(jìn)發(fā)，OKX Ventures已在全球投資了數(shù)百個(gè)區(qū)塊鏈項(xiàng)目，推動(dòng)加密經(jīng)濟(jì)的繁榮。

4.Gate.io

Gate.io交易平臺(tái)【官方注冊(cè) 官方app下載】成立于2013年4月，注冊(cè)地為開(kāi)曼，它已于2020年7月更名為“芝麻開(kāi)門(mén)”。該平臺(tái)有多年的穩(wěn)定運(yùn)營(yíng)經(jīng)驗(yàn)，積累了眾多行業(yè)領(lǐng)先的技術(shù)，它通過(guò)中心化和去中心化雙重手段保障了用戶(hù)的資產(chǎn)安全，為用戶(hù)提供了高效便捷的實(shí)時(shí)交易服務(wù)系統(tǒng)。作為全球歷史最長(zhǎng)和交易量最大的交易平臺(tái)之一，芝麻開(kāi)門(mén)嚴(yán)格遵循行業(yè)規(guī)則，不參與市場(chǎng)運(yùn)作。

5.Bitget

Bitget交易所【官方注冊(cè) 官方app下載】支持500+個(gè)虛擬貨幣在線(xiàn)實(shí)時(shí)交易，持有加拿大MSB牌照M20179708、美國(guó)MSB、澳大利亞DCE等牌照，在2022年陸續(xù)新增理財(cái)、半價(jià)買(mǎi)幣、投票上幣、合約策略交易以及為SBGB增加更多賦能,是適合各面向投資人使用的一站式加密貨幣交易所。

6.Bybit

Bybit交易所【官方注冊(cè) 官方app下載】是一款為初學(xué)者和專(zhuān)業(yè)人士設(shè)計(jì)的加密貨幣交易應(yīng)用程序。它簡(jiǎn)化了熱門(mén)加密貨幣的購(gòu)買(mǎi)過(guò)程，提供現(xiàn)貨和衍生品交易對(duì)，并具有多種特色功能，如統(tǒng)一側(cè)欄字段的衍生品交易、高級(jí)限價(jià)單設(shè)置、新手輕松交易選項(xiàng)等，還包括資產(chǎn)管理、復(fù)制交易、NFT 市場(chǎng)等功能。

以上就是腳本之家小編給大家?guī)?lái)的為什么幣圈會(huì)被黑客攻擊？如何保護(hù)自己？加密貨幣用戶(hù)的漏洞指南了，希望大家喜歡！

你可能感興趣的文章

• 

  PeckShield報(bào)告分析：加密犯罪五月造成2.44億美元損失，但黑客攻擊損失

  根據(jù)PeckShield的數(shù)據(jù)，5月份共報(bào)告了20起重大加密貨幣黑客攻擊事件，導(dǎo)致總損失達(dá)2.441億美元, …

  2025-06-03
• 

  Sui生態(tài)系統(tǒng)遭黑客攻擊,這次攻擊會(huì)終結(jié)Sui的增長(zhǎng)嗎？

  5月22日，Sui區(qū)塊鏈上最大的去中心化交易所Cetus Protocol因假幣智能合約漏洞被攻擊，損失2.2-2.6億美元,那么，Sui區(qū)塊鏈本身被黑客攻擊了嗎？Cetus黑客攻擊損失了多少？為…

  2025-05-27
• 

  Cetus祭600萬(wàn)美元賞金與黑客談判詳細(xì)解讀！Sui生態(tài)Meme幣重傷

  Sui區(qū)塊鏈上最大DEX Cetus協(xié)議昨晚遭黑客攻擊損失逾2.2億美元，目前官方懸賞600萬(wàn)美元與黑客協(xié)商,更多詳細(xì)資訊請(qǐng)看下面正文…

  2025-05-24
• 

  黑客如何利用假手機(jī)竊取你的加密貨幣

  黑客現(xiàn)在正在手機(jī)到達(dá)用戶(hù)之前就在其中隱藏危險(xiǎn)的惡意軟件，這種策略被稱(chēng)為假手機(jī)加密貨幣詐騙,本文將解釋這一切是如何發(fā)生的…

  2025-05-20
• 

  2024年市場(chǎng)總共被盜23億！該如何預(yù)防加密貨幣黑客？

  回顧整個(gè)2024 年，加密貨幣黑客得手的金額持續(xù)提升，全年共造成超過(guò)23 億美元的損失，與2023 年的16.9 億美元相比增長(zhǎng)了40%,究竟是黑客技術(shù)變強(qiáng)了，還是整體加密貨幣市場(chǎng)的…

  2025-05-19
• 

  一文了解以太坊最大的流動(dòng)性質(zhì)押協(xié)議Lido驚傳黑客事件 但僅損失1.4枚以

  以太坊最大的流動(dòng)性質(zhì)押協(xié)議Lido驚傳黑客事件，根據(jù)官方說(shuō)法，Lido預(yù)言機(jī)多重簽名地址遭到入侵，所幸發(fā)現(xiàn)及時(shí)、影響有限，僅損失1.46枚以太幣(約4,200美元)，用戶(hù)資金未受…

  2025-05-12
• 

  世界十大加密貨幣黑客攻擊事件：影響和前景預(yù)測(cè)

  今天腳本之家小編將給大家深入解析歷史上十大最震驚的加密黑客攻擊事件,我們將詳細(xì)介紹背后的知名黑客組織、常見(jiàn)的網(wǎng)絡(luò)攻擊手法、以及洗錢(qián)的復(fù)雜方式,此外，本文還將對(duì)比傳…

  2025-05-07
• 

  一文速覽 BNB Chain AI黑客松11個(gè)Tier 4潛力項(xiàng)目！

  BNB Chain 于 2025 年舉辦全球“BNB AI 黑客松”，旨在推動(dòng) AI 與區(qū)塊鏈技術(shù)融合，評(píng)選出24個(gè)潛力項(xiàng)目，其中6個(gè)已上線(xiàn)主網(wǎng),活動(dòng)采用階梯式獎(jiǎng)勵(lì)體系，涵蓋金融分析、創(chuàng)意協(xié)…

  2025-04-29
• 

  一文了解Solana生態(tài)DeFi協(xié)議Loopscale：黑客同意歸還90%資金

  Solana生態(tài)DeFi協(xié)議Loopscale才上線(xiàn)兩周就遭遇黑客入侵，損失580萬(wàn)美元，成為今年加密貨幣市場(chǎng)最新一樁重大資安事故,不過(guò)事態(tài)很快出現(xiàn)轉(zhuǎn)圜，黑客已同意接受「白帽協(xié)議」，…

  2025-04-28
• 

  Perp DEX KiloEx突遭黑客攻擊、損失700萬(wàn)美元解讀

  新興去中心化永續(xù)交易平臺(tái)(Perp DEX)KiloEx于昨日突遭駭客攻擊，短時(shí)間損失高達(dá)700萬(wàn)美元，揭露出跨鏈架構(gòu)與預(yù)言機(jī)的潛在安全風(fēng)險(xiǎn),更多詳細(xì)資訊請(qǐng)看下面正文 …

  2025-04-15