5天钓到40枚以太币

百家 作者:余弦 2018-02-24 10:38:34

区块链世界的安全问题真有趣,我们已经研究了不少案例,除了一些经典的安全事件、地下黑客风向标,还有相关漏洞、防御等。


昨晚我们跟进发现的这起以太币钓鱼事件挺有趣的,也大跌眼镜。



上面这张截图是我昨晚发“灰袍技能”圈子里的内容,当时在浏览推特时发现了这个,就跟进研究了下。逻辑在这,简单解读下:V神(以太坊创始人)发了推文吐槽并告诉大家别上当送币的钓鱼。推文下面的评论来了个假V神说:朋友们,我会送出 5000 枚以太币,你只要在下面地址给我发送 0.4-2 枚以太币,我就给你 4-20 枚以太币...然后一群水军账号在下面评论:啊,收到啦,太好啦,真的啊...

就这样,短短几天,钓到了 40 枚以太币...想想,去年席卷全球的 WannaCry 蠕虫,勒索收比特币的,也没这么快的收益...


大家仔细琢磨下,这个以太币钓鱼为什么会轻易发生?推特对真实身份有加V认证,但是缺少更完备的风控机制,比如对于钓鱼账号,这都过去一天了,没任何实际风控动作,这种“麻木”是非常可怕的,还有那些浏览器,你们吹牛的威胁情报共享在哪?钓鱼地址为什么没及时提醒恶意?Google 曾经辉煌的恶意网址提醒不知不觉没落了?

在这种滞后的安全机制完善之前,钱真他娘的好钓...


当然,也不得不说,缺失安全意识的人还是很普遍存在的。钓鱼手法变幻莫测,如果来个高级钓鱼,即使那些自诩专业的人士也会中招。


安全生态总是滞后发展,这很正常。但对于区块链世界来说,大家有点过热了,忙着把疯狂赚钱放到第一位的时候,想想安全该怎么办?安全不仅是保护好自己的平台,还应该影响好你的用户,共同促进安全生态的发展。


最后送大家一个彩蛋:

https://twitter.com/VitalikButerin/status/967032359953428480


这个链接肉眼仔细看确实是V神的推文链接,但是如果你用浏览器打开后会发现它跳转到了这:

https://twitter.com/evilcos/status/967032359953428480


内容如图:


这种跳转你也可以轻易构造,自己试试?如果我们把这种跳转拿来做一次钓鱼攻击会如何?可以脑洞了...




黑客与区块链系列文章:

从狗币谈起

深入研究的套路之黑客与区块链

杂谈地下黑客的匿名对抗一
...


如果你觉得这篇文章对你有启发,可以打赏:

狗币地址:

9zdJzhm8oTLFMhzF4rFa2igJDnfoRGj8mV


-----------------

微信公众号「Lazy-Thought

几个黑客在维护,都很懒,都想改变点什么

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接