又一天,加密货币领域又发生了一起网络钓鱼攻击事件。
流行的以太坊 NFT 系列 Gutter Cat Gang 的官方 Twitter 账户及其联合创始人的账户遭到黑客攻击,损失至少 75 万美元。
还有人认为,这次漏洞造成的损失高达 90 万美元。根据 AegisWeb3.
的核实,至少有一个攻击者的钱包已经以 64 万美元的价格出售了被盗资产。
Someone lost their ape pic.twitter.com/idcePIfyZa
– ZachXBT (@zachxbt) July 7, 2023
估算范围较大可能是由于所捕获的 NFT 种类繁多,底价各异。
换句话说,16 个用户至少有 87 个 NFT 被盗,其中一个地址丢失了 36 个 NFT,包括一个在 2021 年 9 月以 125,000 美元售出的 Bored Ape。
该黑客周五发布推文,宣传 “公开空投 “GutterMel–上月底发布的Gutter Cat Gang正版合集。黑客发布了一个虚假空投的钓鱼链接,该链接会耗尽连接到该网站的钱包。
“[类似这种攻击]大多数情况下,受害者是在与一个恶意合约互动,受害者同意该合约代表用户使用代币。这就是’transferFrom()’的工作原理,”Immunefi的技术主管Adrian Hetman告诉TCN。”从那里,控制合约的黑客基本上可以随心所欲地转移用户的 NFT。”
两天后,阴沟猫帮推特发布了一份情况汇报,表达了悔意,表示他们正在与执法部门合作,并采取措施防止攻击再次发生。
该项目粉丝失望地发现,他们没有提到可能对受害者进行赔偿。
阴沟猫帮的推特账户昨天受到攻击。恶意推文于东部时间 7 月 7 日星期五下午发布。我们的团队已经重新控制了已知被入侵的账户。
我们立即联系了推特、执法部门和移动公司……
– 水沟猫帮 (@GutterCatGang) 2023年7月8日
。
TCN已联系沟猫帮团队,但截至发稿时他们尚未回复。
Gutter Cat Gang security?
尽管遭到黑客攻击,沟猫帮仍声称一直在使用 “多因素验证和安全措施”。
目前还不清楚该团队使用了哪些多因素验证和安全措施。Twitter 提供了三种多因素选项:基于应用程序的身份验证、短信或专用密钥。
“网络安全专家詹姆斯-博尔(James Bore)告诉 TCN:”到目前为止,最安全的选择是使用 Authy、Microsoft Authenticator 或 Google Authenticator 等基于应用程序的身份验证。”验证码永远不会通过任何网络传输,因此不可能被人截获。
“Bore 补充说:”专用 USB 安全密钥是比手机应用程序更安全的选择,但通常不太受欢迎,因为需要额外的费用、不便,而且与手机相比,你更容易丢失或忘记硬件密钥。
然而,加密侦探 ZachXBT 声称,该团队使用了短信验证,并补充说:”在最近发生了这么多 SIM 卡掉包事件之后,在社交网络上使用短信 [双因素验证] 是严重的疏忽”。
“社交媒体安全公司 Promon 的高级技术总监安德鲁-惠利(Andrew Whaley)说:”SIM 卡掉包攻击是指欺诈者通过让受害者的手机提供商相信手机已经丢失,需要将号码移植到新的 SIM 卡上,从而接管受害者的电话号码。”新的 SIM 卡当然是骗子的,一旦转入,他们就可以拨打电话和收发短信。在这种情况下,Twitter 允许通过向用户手机发送一次性代码来重置密码。因此,欺诈者利用这一点,在更换 SIM 卡后,接管了 Twitter 账户。
最近,SIM 卡互换攻击在加密货币领域十分普遍,ZachXBT 声称,”在过去几周内,已经发生了 30 多起与加密货币相关的 SIM 卡互换事件。
这是一个无法确保团队账户安全的项目,不是一个,而是两个…
在过去几周里,已经发生了 30 多起与加密货币相关的 SIM 卡交换事件。当你知道项目正成为攻击目标时,为什么还要继续使用短信 2FA,而不是 Authenticator 应用程序或安全密钥…
– ZachXBT (@zachxbt) 2023年7月7日
。
Whaley说:”这说明了为什么短信不是一种特别安全的双因素身份验证(2FA)形式。”SIM卡掉包攻击因国家和移动服务提供商而异,在实施的难易程度上也不尽相同。在一些国家,只需在手机键盘上按下’1’就可以轻松完成。
如何保护自己?
这引发了关于加密项目如何保护其社交媒体账户安全的问题。
Bore 建议使用 “长而独特的密码”,同时使用硬件密钥进行第二因素验证。
用户还应该打开密码重置保护功能,该功能要求在有人试图重置账户密码之前,必须同时输入电子邮件和电话号码。
作为最后一层保护,Bore 建议拥有一个仅用于安全目的的电话号码,也就是说,永远不要把自己的电话号码告诉别人来联系自己。