北京时间2022年6月5日,知道创宇区块链安全实验室 监测到著名NFT项目(无聊猿)的 Discord 社群再次遭受了网络钓鱼攻击,造成约 200 枚以太币的损失。在此之前,著名歌手周杰伦在愚人节当天就曾遭受网络钓鱼攻击,导致其库存中的无聊猿 NFT 被黑客转移。
近年来,我们发现在 web3 世界中网络钓鱼事件频发,导致项目方以及广大用户损失惨重,那么今天我们就来聊聊什么是网络钓鱼,以及该如何去防范。
网络钓鱼(Phishing)是指黑客通过各种社交手段获取受害人的信任使其访问黑客伪造的与官方网站十分相似的钓鱼网站,欺骗或操控当钓鱼攻击成功后将受害人造成不可挽回的损失,轻则个人信息泄露、账号被盗,重则导致巨大的经济损失。
网络钓鱼本质上是一种社会工程学,越来越多的黑客使用网络钓鱼攻击是因为相较于侵入组织的计算机网络来说,欺骗人更加容易且成本更低。
同时其往往是利用人性的弱点,通过透露一些与受害人切身利益相关的信息,抓住受害者慌不择路,病急乱投医的心理,从而扰乱受害者的思考,达到钓鱼攻击的目的。
网络钓鱼攻击的本质就是欺骗,本文总结了以下几种区块链中常见的网络钓鱼攻击手法。
克隆攻击
攻击者通过克隆创建项目方官网,克隆网站具有官网类似的名称域名和前端页面,让用户极难辨别真伪。并在网络中大肆进行项目广告宣传活动,诱骗用户访问其克隆地址并进行账户登录,以此来偷取受害者的登录凭证,私钥等,从而转移账户中的资产。
社交网络钓鱼
随着各类社交软件的流行,社交网络钓鱼攻击也变得十分普遍。在 Twitter、Facebook、Discord、Telegram 等项目方常用社交软件上这类攻击极为常见。黑客通过入侵知名人物的帐户并利用他们的账户发布包含网络钓鱼链接的帖子,或者创建克隆知名人物、社区等账户的首页发布空投、预售等钓鱼帖子,这些克隆账户的名称与项目方账户十分相似,足以以假乱真。
虚假的区块链应用
伴随着区块链网络的发展,各式各样的区块链应用也应运而生,钱包应用是我们最为常见的应用,攻击者往往会在网络中投放存在后台程序的恶意区块链应用,这类应用一旦用户下载安装并在应用中登录自己的账户,后台程序便会记录账户私钥和密码并发送给攻击者。
网络钓鱼攻击如此猖狂,我们该如何去防范呢?网络钓鱼攻击的核心就是欺骗,首先基于用户层面,作为一名普通的互联网使用者,我们应学习如何辨别钓鱼攻击,作为项目方,应该积极提示用户谨防网络钓鱼攻击。
警惕不明来信
警惕莫名发来的信息,这些信息看起来是发自于官方帐户,并在信息中提示你,你的账户存在一些问题,并催促你点击提供的链接来验证你的登录信息。又或是宣称你中奖了,需要在信息中提供的网站上进行登录验证等。
谨慎点击链接
通常我们会在收到钓鱼信息中会存在一个网络钓鱼链接,这种链接一般是生成的短链接或是仿冒的官网链接,看起来与官网链接十分相似,我们只需细心与官网链接比较就会发现端倪。
细心核对交易信息
警惕与资产相关的操作。网络钓鱼攻击的最终目的就是获取资产,钓鱼信息中会营造一种恐慌的情绪,宣称受害者资产将会受损,需要立即转移,会请求受害者转移资产到安全账户或是对交易请求进行授权操作。
保护敏感信息
警惕账户密码、助记词、私钥请求。钓鱼攻击会在无意中要求受害者在钓鱼网站中提供账户密码、私钥等敏感信息,受害者在看似与官网相似的网站中往往会被迷惑。
除了通过提高防范意识来进行网络钓鱼攻击防范,我们还可以通过使用一些工具对钓鱼地址进行识别拦截,以此更好的保护用户的利益。比如 FishAlert 插件,该插件自带网址安全检测,能够对存在安全问题的诈骗地址、网络钓鱼地址进行识别拦截,提示用户正在访问风险域名,不给网络钓鱼攻击可乘之机。
当我们访问钓鱼链接时,FishAlert 自动弹出风险提示窗口:
当我们访问未知链接时 ,我们可主动打开该插件对网站进行检测:
据统计,2021 年区块链网络中因网络钓鱼攻击而导致的资产损失已超 64 亿美元,保护用户的资产不受损失是每个项目方乃至 web3 世界中每个成员共同的责任,除了使用防御网络钓鱼攻击的工具,我们每个人都应该提高防范意识,共同抵抗网络钓鱼攻击。在此 知道创宇区块链安全实验室 给出以下安全建议:
目录一.加解密算法数字签名对称加密DES(DataEncryptionStandard)3DES(TripleDES)AES(AdvancedEncryptionStandard)RSA加密法DSA(DigitalSignatureAlgorithm)ECC(EllipticCurvesCryptography)非对称加密签名与加密过程非对称加密的应用对称加密与非对称加密的结合二.数字证书图解一.加解密算法加密简单而言就是通过一种算法将明文信息转换成密文信息,信息的的接收方能够通过密钥对密文信息进行解密获得明文信息的过程。根据加解密的密钥是否相同,算法可以分为对称加密、非对称加密、对称加密和非
文章目录1.任务背景2.任务目标3.相关知识点4.任务实操4.1安装配置JDK4.2启动FISCOBCOS4.3下载解压WeBASE-Front4.4拷贝sdk证书文件4.5启动节点4.6访问节点4.7检查运行状态5.任务总结1.任务背景FISCOBCOS其实是有控制台管理工具,用来对区块链系统进行各种管理操作。但是对于初学者来说,还是可视化界面更友好,本节就来介绍WeBASE管理平台,这是一款微众银行开源的自研区块链中间件平台,可以降低区块链使用的门槛,大幅提高区块链应用的开发效率。微众银行是腾讯牵头设立的民营银行,在国内民营银行里还是比较出名的。微众银行参与FISCOBCOS生态建设,一定
当音乐碰上区块链技术,会擦出怎样的火花?或许周杰伦已经给了我们答案。8月29日下午,B站独家首发周杰伦限定珍藏Demo独家访谈VCR,周杰伦在VCR里分享了《晴天》《青花瓷》《搁浅》《爱在西元前》四首经典歌曲Demo背后的创作故事,并首次公布18年前未发布的神秘作品《纽约地铁》的Demo。在VCR中,方文山和杰威尔音乐提及到“多亏了区块链技术,现在我们可以将这些Demos,变成独一无二具有收藏价值的艺术品,这些Demos可以在薄盒(国内数藏平台)上听到。”如何将音乐与区块链技术相结合,薄盒方面称:“薄盒作为区块链技术服务方,打破传统对于区块链技术只能作为数字收藏的理解。聚焦于区块链技术赋能,在
伴随农业机械化和智能化的发展,越来越多的人开始使用农机自动驾驶系统助力耕作,千耘农机导航的“星地一体”能力可有效解决信号受限的问题,实现作业提效。究竟什么是“星地一体”,又是如何解决智能化农机作业的痛点的?下面为大家揭秘。农机效率通常受限于通信网络目前虽然我国通讯网络的人口覆盖率达到99%,但地面移动通讯网络覆盖率仍小于国土面积的40%,而很多农田所在区域恰是山区、戈壁滩等偏远地区。两省交界地也会出现通信信号不稳定的状况;而国内大部分农机自动驾驶系统非常依赖通信网络,当通信网络弱的时候会出现系统掉线的现象,必须得携带小基站才能正常使用,极为繁琐。Q:什么是千耘农机导航“星地一体”能力?A:是星
classTreedefinitialize*d;@d,=d;enddefto_s;@l||@r?",>":@d;enddeftotal;(@d.is_a?(Numeric)?@d:0)+(@l?@l.total:0)+(@r?@r.total:0);enddefinsertdaliasginstance_variable_getp=lambda{|s,o|d.to_s.send(o,@d.to_s)&&(g(s).nil??instance_variable_set(s,Tree.new(d)):g(s).insert(d))}@d?p[:@l,:]:@d=dendend有人愿意尝试
前阵InfoQ社区看到腾讯云腾讯云区块链服务平台(TBaaS)长安链体验活动,一顿操作猛如虎报了个名,体验完用一个字概括:强。非要再加几个字的话,总体感受下来装配模式灵活高效,配套工具完整辩解。话不多说开始主题本文目录结构分为区块链分类和TBaaS平台介绍、TBaaS平台上链教程三个部分一、区块链分类:大体上来说,区块链可分为公链,联盟链,私有链三种:公有链(PublicBlockchain)公有链是指任何人都能参与的区块链。公有链是去中心化程度最高的区块链,不受机构控制,整个账本对所有人公开透明。任何人都能在公有链上查询交易、发送交易、参与记账。加入公有链不需要任何人授权,可以自由加入或者离
时隔很久没有学习区块链了,今天重新搭建一下区块链网络,有了更多新的体会。我是跟着b站up主DevX_一步一步往下搭建的。这是大神的视频,简洁易懂而且很符合我目前的技术栈(java应用端+java链码),而且代码开源,非常适合新手学习!!DevX亡命天涯的个人空间-DevX亡命天涯个人主页-哔哩哔哩视频经过测试已成功。为了今后学习便利,记录一遍搭建过程。一、区块链搭建网络拓扑结构:本次环境搭建要求:3个Orderer节点以满足raft共识;2个组织:org1、org2;两个组织内都有两个peer节点。但是我懒得开多台虚拟机,索性利用一台虚拟机整多个端口来搞了,划分清楚端口就好。资源规划如下:节点
我尝试阅读了各种博客文章,这些文章试图解释alias_method_chain以及使用和不使用它的原因。我特别注意:http://weblog.rubyonrails.org/2006/4/26/new-in-rails-module-alias_method_chain和http://yehudakatz.com/2009/03/06/alias_method_chain-in-models/我仍然看不到alias_method_chain有任何实际用途。谁能解释一下。1-它还在使用吗?2-你什么时候会使用alias_method_chain以及为什么?
我知道它是ActiveRecord的替代品,它使用对象而不是查询。但是……为什么这样更好?创建对象/查询会“更容易”吗?它会带来更高效的SQL查询吗?它会与所有主要数据库兼容吗?-我想会的。使用存储过程会更容易/更难吗? 最佳答案 WhatexactlyisArelinRails3.0?它是关系查询运算符代数的对象模型。IunderstandthatitisareplacementforActiveRecord不,不是。它替代了字符串中手工制作的SQL查询。它是底层ActiveRecord的通用查询层,但也可以用作DataMappe
我是AngularJS的新手,我正在学习教程。我对Angular中工厂的使用有疑问。我知道工厂是一种用于根据请求创建对象的模式。所以在例子中有如下代码://Createsvaluesorobjectsondemandangular.module("myApp")//Getthe"myApp"modulecreatedintotheroot.jsfile(intothismoduleisinjectedthe"serviceModule"service.value("testValue","AngularJSUdemy")//Defineafactorynamed"courseFacto
