区块链安全公司SlowMist指出,第二季度加密用户遭遇“心理操控”类攻击数量上升,黑客持续探索更高级且更具创意的方式窃取加密资产。

SlowMist运营主管Lisa在公司发布的第二季度MistTrack被盗资金分析报告中表示,虽然黑客技术本身未有大幅提升,但诈骗手段愈加复杂,虚假浏览器扩展、篡改硬件钱包以及社交工程攻击均显著增加。

“回顾第二季度,有一项趋势尤为突出:攻击者在技术层面或许没有提升,但心理操控性显著增强。”

“我们清楚看到,攻击已从单一链上攻击转向更多链下入口——浏览器扩展、社交媒体账号、身份验证流程以及用户行为都成为常见攻击面。”Lisa补充道。

恶意浏览器扩展伪装为安全插件

讽刺的是,近期出现的一种攻击路径是浏览器扩展伪装成安全插件。例如“Osiris”Chrome扩展,自称能够检测钓鱼链接和可疑网站。

实际上,该扩展会拦截所有.exe、.dmg及.zip文件的下载,并将其替换为恶意程序。

“更隐蔽的是,攻击者还会引导用户访问Notion或Zoom等广泛使用的知名网站。”Lisa指出。

“当用户尝试在这些官网上下载软件时,实际收到的却是被恶意篡改的文件——而浏览器依旧显示文件来自正规渠道,用户几乎无法察觉异常。”

这些恶意程序会收集用户电脑上的敏感信息,包括Chrome浏览器数据和macOS钥匙串凭据,使攻击者能够获取助记词、私钥或登录信息。

受害者电脑中的敏感信息被上传至攻击者服务器。来源:SlowMist

攻击利用加密用户焦虑

SlowMist还表示,另一种常见攻击方式是诱导加密投资者使用被篡改的硬件钱包。

在部分案例中,黑客会将已作手脚的冷钱包邮寄给用户,并谎称其中奖获得免费设备,或以现有设备已被攻破为由要求用户转移资产。

Lisa透露,第二季度曾有一位受害者因在TikTok上购买被篡改的冷钱包,损失高达650万美元。

来源:Intelligence on Chain

还有攻击者出售已预先激活的硬件钱包,受害者将加密资产转入后,黑客便可立即转移全部资金。

利用假冒撤销网站实施社交工程攻击

慢雾科技表示,第二季度曾接到一名用户求助,称其无法撤销钱包中的“高风险授权”。

经调查,慢雾科技发现,该用户尝试撤销智能合约权限所用的网站“几乎完全复制了知名Revoke Cash的界面”,并诱导用户输入私钥以“检测高风险签名”。

“通过分析前端代码,我们确认该钓鱼网站使用EmailJS将用户输入的内容——包括私钥和地址——发送至攻击者邮箱。”

慢雾科技发现,钓鱼攻击、诈骗和私钥泄露是第二季度资金被盗的主要原因。来源:慢雾科技

“这些社交工程攻击从技术层面来看并不复杂,但却能够极大地利用用户的紧迫感和信任心理。”Lisa说道。

“攻击者深知‘检测到高风险签名’等提示极易引发用户恐慌,促使其鲁莽行事。一旦情绪被调动,用户就更容易被操控去点击链接或泄露敏感信息,这些都是他们平时绝不会做的事情。”

攻击手法涵盖Pectra升级与微信好友

其他案例还包括攻击者利用以太坊最新Pectra升级中EIP-7702的钓鱼手法,以及通过获取多名微信用户账号实施攻击。

Cointelegraph Magazine近期报道称,攻击者通过微信的账号找回机制取得账户控制权,冒充真实账号持有人,以折扣价USDT诱骗其联系人。

慢雾科技第二季度数据源自该公司本季度收到的429起资金被盗报告。

公司称,第二季度已为11位报告数字资产被盗的受害者冻结并追回了约1200万美元资产。

相关推荐:FATF的加密货币清单暗示下一轮监管打击