ScamSniffer的中期報告揭示了加密貨幣領域釣魚攻擊的一些令人擔憂的趨勢。具體而言,在2024年上半年,EVM鏈上有26萬名受害者遭受了3.14億美元的損失,超過了前一年被盜的2.95億美元。這些數字急劇上升,證明了針對加密貨幣客戶的釣魚計劃的複雜性和頻率正在上升。
廣告
重大個人損失
有20人遭受了每人一百萬美元以上的釣魚,總金額達到了5800萬美元,其中一名受害者損失了1100萬美元,這是歷史上第二大的加密貨幣劫案。
釣魚技術
報告還強調了大多數盜竊行為是通過包含Permit、IncreaseAllowance和Uniswap Permit2等釣魚簽名來完成的。用戶可能使用看似可信的服務,將資金轉移到看似合法的交易上,進而導致大量資產損失。
一些目標被誘導進入釣魚網站,原因是在Twitter上的評論,這些評論來自冒充品牌的帳戶。目前,釣魚集團利用機器人帳戶對官方和知名項目的推文進行初步評論。這種策略利用社會工程學,通過在網站上呈現虛假表單來使用戶心生懷疑。
釣魚攻擊的詳細分析
涉及的資產:
-觀察到了關於抵押資產的巨額損失,一旦消失,由於Permit支持,這些損失將無法挽回。其他重要的資產包括抵押、再抵押、Aave抵押品和Pendle代幣。這些特定資產的目標是攻擊者所看中的有價值,尤其是在加密貨幣領域中的流動性。
攻擊向量:
-在這些攻擊中,大多數時候使用的是憑據填充和假錢包。釣魚的典型方法是在主要重要帳戶的推文下留言,機器人模仿主要權威帳戶。
預防提示
用戶可以遵循這些簡單的提示,可以保護他們價值數百萬美元的加密貨幣,
1. 提高可見性:
-主要的釣魚簽名可以進行優化以更好地展示,這有助於對抗任何嘗試。這可以極大地減少成為釣魚詐騙的統計數據的機會。
2. 用戶教育:
-用戶必須接受培訓,避免授予簽署權限,並避免與帶有惡意內容的鏈接互動。這些輔導/意識活動以及信息工具可能有助於用戶做出更好的決定,並在加密行業的風險較低領域工作。
3. 安全存儲:
-建議不要將私鑰存儲在雲服務中,也不要通過即時通訊服務(如微信)分享。保護措施使得未經授權的人員無法訪問這些鑰匙。
4. 驗證工具:
-對於實際的欺詐行為,用戶可以通過安全檢測來檢查代幣的合法性,以防止受騙。這些工具補充了使用代幣化所帶來的好處,因為它們有助於驗證代幣。