本文深入探讨了Web3领域的复杂加密诈骗,包括最大可提取价值(MEV)攻击、SIM卡交换及DNS攻击,并提供了实际的安全防护建议。文章从诈骗原理出发,详细解读各种攻击形式,以及针对每种攻击给出了切实可行的防范措施,旨在提升用户的网络安全意识。
探索更高级的 Web3 诈骗,如 MEV 攻击、SIM 交换和 DNS 妥协,并提供可操作的 OPSEC 提示,以保护你的资产和避免成为受害者。
在 第一部分 中,我们了解了代币保管、恶意软件、审批钓鱼、鱼叉式钓鱼、排水器和地址投毒战术。
在这部分中,我们剖析了更复杂的诈骗攻击,如 SIM 交换、DNS 妥协和恶意 MEV 机器人。在整篇文章中,我们将为用户和项目提供操作安全(OPSEC)的解药,以避免成为另一个警示故事。
让我们首先看看加密剥削的一种更高级和隐秘的形式。
MEV 攻击 是恶意 MEV 机器人以用户交易为代价生成有利交易的结果。
MEV 机器人 是自动搜索者,查看公共 待处理交易池(mempools),寻找执行攻击的机会。当发现有利交易时,支付被发送给区块构建者,以在当前区块中以相对于目标用户交易的最有利位置包含它。
令人恐惧的是,MEV 攻击不要求你的 智能合约 或地址是知名或热门的。它们只要求交易在公共待处理交易池中是可见的。例如, 观看这里 Patrick 的例子,他在与新部署的合约交互时被诈骗直播。
任何一个允许区块构建者在最终区块生产期间识别交易的公共待处理交易池的区块链都有可能受到恶意 MEV 活动的影响。
有各种 MEV 攻击,但我们来探讨一下最流行的类型。
三明治攻击涉及 MEV 机器人构建两个交易:一个前运行交易和一个后运行交易。
在目标用户交易之前的交易称为 前运行(frontrun),而在目标用户交易之后发生的交易称为 后运行(backrun)。
MEV 机器人向区块构建者支付额外费用,以组织“夹层”,使得用户交易在前运行和后运行之间执行。
这些攻击通常针对在去中心化交易所(DEX)上交易代币的人,并几乎每分钟都会发生。要了解这些攻击的情况,你可以在这个 实时信息流 中观看它们发生。
当你在公开待处理交易池的 DEX 上执行交易时,MEV 机器人会嗅探你的交易,以查看是否可以被夹层攻击。
因此,一个简单的攻击看起来像这样:
jaredfromsubway.eth 是一个臭名昭著的三明治机器人,自 2023 年 4 月成立以来, siphoned 超过 2000 万美元。它在 2024 年 8 月被一个 升级版本 替代,该版本在运营的头三个月内产生了超过 200 万美元的利润。
同样,在 Solana 上,一个名为 2Fast 的恶意 MEV 机器人在一笔交易中通过对一个价值 900 万美元的买单进行三明治攻击,获得了超过 18000 SOL (当时价值超过 400 万美元)。
那么我们可以做些什么来保护自己呢?
从区块链级别的威胁转移下来,让我们探讨一种更加个人化和定向的攻击。
在 SIM 交换诈骗中,你的移动运营商被欺骗,将你的电话号码转移到攻击者控制的新 SIM 卡上。诈骗者可能使用伪造文件或说服的方式成功执行攻击。
一旦执行,攻击者可以拦截基于 SMS(短信)的双因素身份验证(2FA)代码并重置密码,以访问与你的手机相关联的金融账户。
从个人攻击转向,让我们探讨一些最隐秘和危险的威胁。
也许最令人恐惧的攻击是 DNS 妥协。这些发生在攻击者直接控制某个网站的 DNS 时,允许他们将用户重定向到恶意服务器。
与钓鱼攻击不同,在这种情况下,已妥协的网站 URL 保持 相同。攻击完全在后台发生,当 DNS 服务器将网站域名解析为恶意 IP 地址。例如,在浏览器中输入 “website.com” 实际上将你发送到 “attackwebsite.com”。
此外,如果一个公司的服务器直接被公司内部人员劫持,也可以发生内部妥协,从而允许他们在合法网站上发布恶意软件。
虽然许多 DNS 攻击针对注册商和 DNS 托管服务提供商,但网站管理员可以通过定期检查其 DNS 记录来减少未授权更改的攻击。
让我们看看一些值得注意的最新示例,以了解 DNS 妥协的影响。
在 2023 年,一次域名注册商妥协使得 多个域名 的劫持成为可能,包括热门 crypto 网站 Compound 和 Pendle。
这些域名最初归 Google 所有,后来被出售并迁移到 Squarespace。在迁移过程中,2FA 被移除,电子邮件验证流程被绕过。这使得攻击者能够在合法拥有人之前,为迁移的域名创建新账户。
控制这些域名后,攻击者修改了 DNS 记录,将用户重定向到恶意服务器,同时保持原始 URL 不变。
现在,让我们深入探讨一种更加心理和操控性质的诈骗。
犯罪分子数百年来一直利用虚假的商业机会来欺骗脆弱的个人。采用猪肉屠宰策略的罪犯会建立长期关系以获取受害者的信任。信任建立后,目标是通过看似合法的投资机会从目标中榨取资金。这一攻击完全依赖于受害人自愿基于虚假承诺向罪犯交付资金。
攻击者可能会创建看起来是真的个人资料和网站,以展示初始投资的虚假利润,有时甚至允许小额提款。一旦攻击者榨取到足够的资金,他们将会毫无预警地消失。
除了个人诈骗之外,了解整个恶意项目带来的风险也很重要,这些项目旨在欺骗和剥削用户。
并非所有项目都是出于良好意图。市值较小和知名度较低的代币通常承载更高的诈骗风险。
Rug Pulls(拔地而起的骗局) 或 Rugs 是一种诈骗项目,窃取用户的所有流动性,使代币毫无价值。
最常见的例子是在 DEX 中移除所有流动性。在这种情况下,创建初始流动性池的人(一个促进交易的代币储备)赎回所有流动性提供者(LP)代币。这完全耗尽了池的流动性,使所有其他用户的代币变得毫无价值,因为它们无法再被出售。
为了防止通过拔地而起的骗局,代币创建者选择“锁定”流动性,以诚信防止流动性被移除。流动性的锁定发生在所有 LP 代币被发送到销毁地址时,拒绝通过赎回 LP 代币进行流动性拔地而起。
泵和倾倒(Pump-and-dump)诈骗 产生的结果与拔地而起的骗局类似。内鬼首先人为抬高(泵)代币的价格以诱使买家。当代币价格足够上涨时,内鬼将所有代币以抬高后的价格出售(倾倒),从中提取利润并导致价格崩溃。
复杂的诈骗可能持续数月或数年,然后再进行最终的撤退,通常在此过程中使用合法的营销手段和社区建设。
另一方面,蜜罐(Honeypots) 是为从好奇用户那里窃取资金而设的诱人陷阱。
最后,名人币诈骗 包括由名人推广或推出的代币。在最近的一轮中,许多人看到价格因内部抛售或直接被拔地而起而跌幅超过 98%。一个恶意行为者 Sahil Arora,利用他的名气说服多位名人允许他不当管理他们的项目。
以下是保护自己免受这些欺诈计划的实用步骤。
从针对个人和项目的诈骗转移开,让我们考察一个复杂的团体,利用 web3 生态系统。
来自 BlockThreat 的图片,由 Peter Kacherginsky 提供。
大量臭名昭著的 web3 黑客攻击来自北韩的高级持续性威胁(APT)组,如 Lazarus、Kimsuky 和 Bluenoroff。
他们的主要战术涉及复杂的社交工程诈骗和鱼叉式钓鱼技术,以剥削协议和用户。然而,他们偶尔也利用零日漏洞和传统的 智能合约漏洞。
让我们看看一些例子。
在 2023 年和 2024 年,北韩的 APT 继续进行其钓鱼活动,比如 DEV#POPPER 来分发恶意软件如 KandyKorn。
他们创建假个人资料,展示令人印象深刻的简历和无法抗拒的报价,包括在 Discord、Telegram、Skype、GitHub、WhatsApp、LinkedIn 和其他论坛。
他们可能表现得像是寻找工作的高级开发者,或者像是想要聘用远程工作人员的成功公司。
他们的目标是通过 PDF、ZIP 文件、伪造的节点包管理器(NPM)存储库以及其他方式,在假面试或项目展示期间不经意间分发间谍软件或 RAT。
综上所述,我们看到的所有事情都表明,协议和开发者必须采用健全的项目管理实践,以确保长期的韧性和安全性。
在部署期间及之后保证你的项目安全至关重要。以下检查列表可以帮助防御常见漏洞:
至此,我们已经走到了这系列关于在 Web3 中保持安全的结尾。
当你在加密空间中导航时,请记得保持适度的步伐,并追随指导我们的北极星:“不要信任。验证。”
- 原文链接: cyfrin.io/blog/how-to-av...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!