假記者，真黑客：揭秘 Crypto Twitter 詐騙新伎倆

近幾個月來，知名意見領(lǐng)袖成為了社交工程攻擊的主要目標，項目官方 Twitter 也頻繁發(fā)生賬號被盜事件。

撰文：Luccy、律動小工，BlockBeats

在幣圈，作為主要社交媒體的推特是信息交流的重要平臺，但同時也暴露了諸多安全隱患。近幾個月來，一種新的被盜趨勢浮現(xiàn)出水面：知名意見領(lǐng)袖 (KOL) 成為了社交工程攻擊的主要目標，項目官方的社交媒體平臺 X（原 twitter）頻繁發(fā)生賬號被盜事件。

這些精心策劃的攻擊不僅侵犯了個人隱私，更威脅到了整個數(shù)字資產(chǎn)的安全。BlockBeats 將探討近期發(fā)生的幾起針對知名 KOL 的社交工程攻擊案例，揭示攻擊者如何利用精心設(shè)計的詐騙手段，以及 KOL 和普通用戶如何提高警惕，防范這類日益猖獗的網(wǎng)絡(luò)威脅。

偽裝的假記者，針對 KOL 的社工攻擊

據(jù) BlockBeats 不完全統(tǒng)計，最初遭遇社工攻擊的人是美國主流媒體《福布斯》主編。冒牌者與加密 Kol@0xmasiwei 就 friend.tech 及其他仿盤 SocialFi 項目進行交流后，對其發(fā)送 friend.tech「身份驗證」鏈接。經(jīng)慢霧安全人員驗證，該鏈接為釣魚鏈接。

此外，慢霧創(chuàng)始人余弦確定 friend.tech 的一體化自定義工具 FrenTechPro 為釣魚騙局，用戶在點擊 ACTIVATE NOW 后會有黑客不斷嘗試盜取錢包相關(guān)資產(chǎn)。

兩個月后，派盾 PeckShieldAlert 再次監(jiān)測到類似事件。

12 月 18 日，加密數(shù)據(jù)研究員、DeFiLlama 貢獻者 Kofi（@0xKofi）在社交媒體平臺發(fā)文稱 DefiLama 的合約和 dApp 存在漏洞影響，要求用戶點擊推文中附帶的鏈接驗證資產(chǎn)安全。這是社工攻擊一次典型例子，詐騙團伙利用了用戶對漏洞的恐懼心理，讓他們降低對詐騙鏈接的防范。

昨日凌晨 2 點，@0xcryptowizard 遭遇社工攻擊再次引發(fā)加密圈的討論。@0xcryptowizard 在社交媒體平臺用著「機翻」中文為 Arbitrum 銘文宣傳，并附上了 mint 鏈接。據(jù)社區(qū)成員反應(yīng)，剛點入鏈接錢包瞬間就被清空。

對此，@0xcryptowizard 發(fā)文表示，騙子正是抓住了自己休息時間才趁機發(fā)布釣魚鏈接。隨后，@0xcryptowizard 在推特簡介中附上提醒，「未來不會發(fā)任何鏈接；推文中出現(xiàn)鏈接，請不要點?！?/p>

至于被盜原因，@0xcryptowizard 表示這是一次精心策劃的網(wǎng)絡(luò)詐騙。攻擊者 @xinchen_eth 偽裝成知名加密貨幣媒體 Cointelegraph 的記者，并以預(yù)約采訪為由接觸目標。攻擊者誘使點擊一個看似正常的預(yù)約鏈接，該鏈接偽裝成了 Calendly（一個常用的日程安排工具）的預(yù)約頁面。然而，這實際上是一個偽裝的頁面，其真實目的是完成對 @xinchen_eth 推特賬戶的授權(quán)，從而獲取其推特權(quán)限。

在這個過程中，即便對鏈接有所懷疑，頁面的設(shè)計和呈現(xiàn)方式仍然讓他誤以為是一個正常的 Calendly 預(yù)約界面。事實上，頁面并沒有顯示出任何 Twitter 授權(quán)的界面，只展示了預(yù)約時間的界面，這使得他陷入了誤區(qū)?；叵肫饋?，@0xcryptowizard 認為黑客可能對頁面進行了巧妙的偽裝。

最后，@0xcryptowizard 提醒其他知名意見領(lǐng)袖（KOL）要格外小心，不要輕易點擊不明鏈接，即使它們看起來像是正常的服務(wù)頁面。這種詐騙手段的高度隱蔽性和欺騙性是一個嚴重的安全隱患。

在 @0xcryptowizard 后，NextDAO 聯(lián)合發(fā)起人 @_0xSea_也經(jīng)歷了社工攻擊，一個自稱來自知名加密媒體公司 Decrypt 的騙子私信約其進行采訪，旨在面向華語用戶傳播一些理念。

但有前車之鑒，@_0xSea_細心的注意到對方發(fā)送的 Calendly .com 授權(quán)的頁面中，「授權(quán) Calendl? 訪問你的賬號」這句話里的字符是「?」，不是字母「y」，這與上次假 sats 的情況類似，末尾字符其實是「?」而不是「ts」。由此判斷這是一個冒充的假賬號。

訓(xùn)練有素的加密黑客團伙 Pink Drainer

在 @0xcryptowizard 遭遇攻擊事件中，慢霧余弦指出詐騙團伙 Pink Drainer。據(jù)悉，Pink Drainer 是一款惡意軟件即服務(wù)（Malware-as-a-Service，MaaS），能夠讓用戶快速建立惡意網(wǎng)站，通過該惡意軟件獲取非法資產(chǎn)。

據(jù)區(qū)塊鏈安全公司 Beosin 指出，該釣魚網(wǎng)址使用一種加密錢包竊取工具，誘使用戶簽署請求。一旦請求被簽署，攻擊者將能夠從受害者的錢包中轉(zhuǎn)移 NFT 和 ERC-20 代幣?！窹ink Drainer」會向用戶收取被盜資產(chǎn)作為費用，據(jù)報道可能高達被盜資產(chǎn)的 30%。

Pink Drainer 團隊因在 Twitter 和 Discord 等平臺上的高調(diào)攻擊而臭名昭著，涉及 Evomos、Pika Protocol 和 Orbiter Finance 等事件。

去年 6 月 2 日，駭客利用 Pink Drainer 侵入 OpenAI 技術(shù)長 Mira Murati 的推特發(fā)布假消息，聲稱 OpenAI 即將推出「OPENAI 代幣」，基于 AI 語言模型推動，并貼上鏈接告知網(wǎng)友前去查看自己的以太坊錢包地址是否有領(lǐng)取空投資格。為防止其他人在留言區(qū)揭穿騙局，駭客還特別關(guān)閉了留言公開回復(fù)功能。

盡管這則假消息在發(fā)布一個小時后被刪除，但已經(jīng)觸及超過 80,000 名推特用戶。Scam Sniffer 對此展示的數(shù)據(jù)表示，駭客在這起事件中獲得了約 11 萬美元的非法收入。

去年年底，Pink Drainer 參與一起高度精密的網(wǎng)絡(luò)釣魚詐騙，導(dǎo)致價值 440 萬美元的 Chainlink（LINK）代幣被盜。這起網(wǎng)絡(luò)盜竊針對的是一個單獨的受害者，他們被欺騙簽署了與「增加授權(quán)」功能相關(guān)的交易。Pink Drainer 利用了加密領(lǐng)域的標準程序「增加授權(quán)」功能，允許用戶設(shè)置其他錢包可轉(zhuǎn)賬代幣數(shù)量的限制。

在受害者不知情的情況下，這一行動使得 275,700 個 LINK 代幣在兩筆不同的交易中被未經(jīng)授權(quán)地轉(zhuǎn)移。加密安全平臺 Scam Sniffer 的詳細信息顯示，最初，68,925 個 LINK 代幣被轉(zhuǎn)移到了一個被 Etherscan 標記為「PinkDrainer：Wallet 2」的錢包；其余的 206,775 個 LINK 則被發(fā)送到以「E70e」結(jié)尾的另一個地址。

盡管目前尚不清楚他們是如何誘使受害者授權(quán)代幣轉(zhuǎn)移的。Scam Sniffer 還在被盜事件發(fā)生的過去 24 小時內(nèi)發(fā)現(xiàn)了至少 10 個與 Pink Drainer 有關(guān)的新詐騙網(wǎng)站。

如今，Pink Drainer 的活動仍在呈上升趨勢，據(jù) Dune 數(shù)據(jù)顯示，截至撰稿時，Pinkdrainer 已累計詐騙超過 2500 萬美元，總受害者達上萬人。

項目官推頻繁被盜

不僅如此，最近一個月以來，項目官推被盜事件頻發(fā)：

12 月 22 日，ARPG 暗黑刷寶類鏈游《SERAPH: In the Darkness》官方 X 平臺賬號疑似被盜，請用戶暫時不要點擊該賬號發(fā)布的任何鏈接。

12 月 25 日，去中心化金融協(xié)議 Set Protocol 官推疑似被盜，并發(fā)布多條包含釣魚鏈接的推文。

12 月 30 日，DeFi 借貸平臺 Compound 官推疑似被盜，并發(fā)布包含釣魚鏈接的推文，但并未開放評論權(quán)限。BlockBeats 提醒用戶注意資產(chǎn)安全，請勿點擊釣魚鏈接。

甚至連安全公司也不能幸免。1 月 5 日，CertiK 的推特賬戶賬戶已被盜用。發(fā)布虛假消息稱發(fā)現(xiàn) Uniswap 路由器合約容易受到重入漏洞的攻擊。附帶 RevokeCash 鏈接為釣魚鏈接。針對此次被盜事件，CertiK 在其社交平臺表示，「一個知名媒體相關(guān)的經(jīng)過驗證的賬戶聯(lián)系了 CertiK 的一名員工，然而該帳戶似乎已被盜用，導(dǎo)致我們的員工遭到網(wǎng)絡(luò)釣魚攻擊。CertiK 很快發(fā)現(xiàn)了漏洞，并在幾分鐘內(nèi)刪除了相關(guān)推文。調(diào)查表明這是一次大規(guī)模持續(xù)攻擊。據(jù)調(diào)查，此次事件并未造成重大損失。」

1 月 6 日，據(jù)社群反饋，Solana 生態(tài) NFT 借貸協(xié)議 Sharky 官推已被黑客攻擊并發(fā)布釣魚鏈接，請用戶不要點擊該官推發(fā)布的任何鏈接。