2023 年 4 月 18 日,推特上一位名為「撸毛校長」的區塊鏈 KOL,發佈了一篇名為「名牌空投,一魚兩吃,zks 精品單號回報預計 5000 刀」的空投教程。然而,這篇教程中提到的 Orbiter 跨鏈橋網站實際上是一個釣魚網站。若用戶按照教程指示,直接點擊釣魚連結進行項目交互,他們的 ETH 將直接被轉移到騙子的錢包地址。目前該 KOL 已經刪除個人帳戶且通過該騙局已經獲得超過 30 ETH 的非法鏈上協議激勵。
這起「撸毛校長」事件揭示了一個新的、更隱蔽的釣魚欺詐手法。在傳統的釣魚欺詐場景中,惡意連結通常會偽裝成合法網址,並通過搜索引擎、郵件或社交媒體進行傳播。對這類手法,大多數用戶通常能夠辨識並避免。然而,在這個最新的案例中,釣魚網站連結被「巧妙地」嵌入到了空投教程中,這種新穎而隱密的欺詐手法,甚至有可能使那些對區塊鏈行業和「指哪打哪」操作較為熟悉的用戶也陷入其中。這再次強調了我們必須始終保持警惕,對任何可能的威脅都不能掉以輕心。
那麼我們應該如何避開此類事件呢?
- 不要隨意點擊搜索引擎的廣告連結以及不明網站,建議收藏常用網址,防止被釣魚網站欺詐。
- 不要輕易相信網絡上發佈的各種空投教程及其提供的連結,與不知名合約進行交互後,應立即取消相關授權。
- 在投資之前進行充分調研,並根據自身實力和風險承受能力進行理性的投資決策。
imToken 一直在行動
安全提醒|警惕 eth_sign 盲簽騙局
近期,eth_sign 簽名釣魚騙局猖獗,騙子通過搜索引擎、郵件或社交媒體進行傳播釣魚網站,以 WalletConnect 等形式誘導用戶進行 eth_sign 簽名,由於簽名者並不知道自己正在簽署什麼內容,因此存在被釣魚的潛在風險。一旦簽名完成,騙子就可以無限制地窺取你的代幣。那麼這些詐騙到底是如何發生的呢?點擊查看安全提醒|警惕 eth_sign 盲簽騙局。
針對此類詐騙行為,imToken 新版本進行了風控系統升級。在用戶訪問第三方 DApp 調用 eth_sign 進行消息簽名時, imToken 將提供風險警告彈窗,提示用戶當前訪問的網站可能存在潛在風險,並啟動 15 秒的冷卻倒計時。這樣的設置旨在給用戶足夠的時間來評估簽名操作的必要性和安全性。
安全風控
四月份,imToken 共標記風險代幣 489 個;封禁風險 DApp 網站 362 個;標記風險地址 21657 個。
詳見風控數據。
另外,如果你發現了疑似風險的代幣或者 DApp,請及時反饋給我們:support@token.im,幫助更多用戶避免代幣損失。
最後
空投吸引了許多新用戶接觸並參與到區塊鏈行業,但同時也為釣魚詐騙騙局等非法犯罪活動創造了機會。這些詐騙不僅給用戶帶來了損失,也對整個行業造成了巨大的傷害。因此,我們希望能夠持續做一件事——用時間和堅持來抹平宣傳渠道的局限性。
imToken 一直以來都非常關注用戶的代幣安全,並持續更新錢包安全月報。如果你在錢包安全方面有任何案例或素材,我們非常歡迎你發送到 support@token.im,與我們一起構建一個更安全的錢包社區。
讓我們共同努力,保護用戶的代幣安全,為整個區塊鏈行業的發展貢獻力量。