1 月份,加密货币投资者遭遇了复杂“签名式网络钓鱼”攻击的急剧增加,损失飙升超过 200%。
根据区块链安全公司Scam Sniffer的数据,今年第一个月,签名式网络钓鱼攻击从用户钱包中窃取了约630万美元。虽然受害者人数下降了11%,但被盗总金额较12月份激增了207%。
一月份签名钓鱼和地址投毒攻击造成严重破坏。
这种差异凸显了网络犯罪分子策略的转变,他们正转向“猎鲸”式的攻击。这种策略是指瞄准少数高净值人士,而不是像以往那样广泛撒网,攻击小型零售账户。
Scam Sniffer报告称,仅两名受害者就占1月份所有签名钓鱼损失的近65%。在最大的一起单笔案件中,一名用户在签署恶意“许可”或“增加权限”函数后损失了302万美元。
这些机制赋予第三方无限期的权限,使其能够从钱包中转移代币。这使得攻击者无需用户批准特定交易即可盗取资金。
虽然签名诈骗依赖于混淆权限,但另一种同样具有破坏性的威胁——“地址投毒”——也在困扰着这个行业。
这种手法的一个典型例子是,一名投资者在 1 月份将资金汇入一个欺诈地址后损失了 1225 万美元。
地址投毒利用用户习惯生成“虚假”或“仿冒”地址。这些欺诈性字符串模仿用户交易历史记录中合法钱包地址的开头和结尾几个字符。
攻击者希望用户从历史记录中复制粘贴被盗地址,而不是验证完整的字符串。
这些事件的增加促使Safe Labs(曾用名Gnosis Safe的热门多重签名钱包的开发商)发布安全警告。该公司发现有人利用约5000个恶意地址,针对其用户群发起了一场有组织的社交工程攻击。
该公司表示:“我们发现有恶意行为者协同行动,创建了数千个外观相似的安全地址,旨在诱骗用户将资金发送到错误的目的地。这是一种结合了社会工程和地址投毒的攻击手段。”
因此,该公司警告用户在进行大额转账之前,务必验证任何收款人地址的完整字母数字字符串。
这篇题为“加密货币网络钓鱼损失飙升 200%,攻击者将目标转向高价值钱包”的文章最初发表在 BeInCrypto 上。
