登录注册

2025年Web3钓鱼手法解析报告.pdf

2025年Web3钓鱼手法解析报告.pdf
这份文档是关于 Web3 钓鱼攻击的全面解析,重点关注攻击手法、防御策略以及真实案例。 **Web3 钓鱼攻击概述:** * **攻击现状与挑战:** 攻击者利用空投、高回报等诱饵伪装,通过域名仿冒、社交媒体欺诈等手法,并运用社会工程学。防御挑战在于用户警惕性难以持续,攻击手法不断创新,识别真伪困难。 **攻击手法详解:** 1. **伪装:** 筛选热门项目进行伪装,包括相似的域名、社交媒体账号、管理员马甲等。 2. **吸引流量:** 通过 AMA、空投等活动吸引用户,为后续的钓鱼攻击做准备,分发“饵料”。 3. **隐藏攻击:** 攻击者通过盗取助记词、钱包签名、账号密码、社交应用权限,或诱导安装恶意程序等方式,隐藏真实意图。 4. **创建饵料:** 构建“好康”的饵料,例如 Airdrop 资格白名单、财富密码等,诱导用户交互。 5. **投放饵料:** 精准覆盖的策略,通过社交媒体、搜索引擎、邮箱、APP 商城等渠道投放。 6. **传播诱饵:** 在社交媒体/搜索引擎排名中传播,诱导用户完成任务以“上钩”。 7. **引导诱骗:** 运用社会工程学,使用户在无意中掉入陷阱。 8. **攻其不备:** 趁虚而入的时机,让目标“起心动念”。 9. **隐匿行踪:** 隐藏网络身份,例如使用 VPN、Tor 等,并使用匿名采购服务或基础设施,混币藏匿资金转移路径。 10. **扫清痕迹:** 获利后删除相关域名解析、恶意程序、GitHub 仓库,平台账号等。 **常用渔具:** Gophish、Evilginx、EvilGophish、Swaks、DNSTwist、BlackEye 等 **防御策略与建议:** 1. **如何分辨是否正在遭受钓鱼攻击:** 验证官方域名、社交媒体账号,通过多个可靠渠道交叉验证信息,查看社区讨论和评价,使用区块链浏览器查看合约活动,使用防御工具进行验证。 2. **常见可疑特征:** 承诺不合理的言回报,要求紧急操作或限时优惠,索要私钥或助记词,未知来源的空投诱饵,虚假的项目团队信息,要求 X 登录和授权,要求在电脑或手机中安装应用程序等。 3. **防御工具:** 使用 Scam Sniffer、Rabby、AVG、Hardware Wallet 等防御工具。 4. **防御策略:** 提升安全意识,保持零信任和持续验证的习惯,熟读《区块链黑暗森林自救手册》。 5. **持续关注钓鱼手法,** 并对已知钓鱼案例进行学习,避免落入陷阱。 **真实案例分析:** * 钓鱼网站窃取助记词。 * 钓鱼网站利用 Approve 机制盗取 Token。 * 钓鱼网站利用 Transfer 盗取 ETH/Tokens。 * 利用 eth\_sign 签名盗取 ETH/Tokens。 * 利用 personal\_sign 盗取 NFT。 * 利用 signTypedData\_v4 盗取 NFT。 * signature phishing 针对 DAI/USDC。 * Phishing 与 upgrade To of OwnableDelegateProxy 交互。 * Selfdestruct 合约销毁与资金盗取。 **总结:** Web3 钓鱼攻击不断演变,用户需要提高安全意识,养成谨慎习惯,并持续学习和关注最新的攻击手法,才能有效保护资产安全。
下载完整报告 | 10.12 MB | 67页
阅读和下载会消耗积分;登录、注册、邀请好友、上传报告可获取积分。
成为VIP会员可免费阅读和下载报告