网络钓鱼狂潮：学童正在窃取数百万美元的 NFT——用于购买 Roblox 皮肤

有时候怀疑记者是件好事。

以 Orbiter Finance 为例。上个月，一名自称来自加密新闻网站的记者联系了其中一位 Discord 版主，并要求他们填写一份表格。版主没有意识到这个简单的行为会交出他们的 Discord 服务器的控制权。

一旦进入，犯罪者就会冻结其他管理员对服务器的控制，并限制社区成员发送消息的能力。他们发布了一个虚假空投公告，将所有人发送到一个旨在窃取他们的 NFT 的钓鱼网站。有效。他们一共偷走了价值百万美元的 NFT 和代币，而团队只能眼睁睁地看着。

“我们非常担心，”Orbiter Finance 的业务发展经理格温说，他在接受采访时讲述了发生的事情。 “如果我们对 [我们的社区成员] 造成任何损害，我们就会失去他们的信任。”

Orbiter 攻击只是一长串涉及 NFT drainers 和受损的 Discord 服务器或 Twitter 帐户的攻击中的一个最近的例子。被称为 OKHotshot 的 NFT 分析师和安全专家收集的数据显示，自 2021 年 12 月以来，至少有 900 台 Discord 服务器因进行网络钓鱼攻击而受到损害——在过去三个月中呈显着上升趋势。

根据 PeckShield 和多个仪表板 在 Scam Sniffer 和其他人的 Dune Analytics 上。攻击者总共窃取了总价值 7300 万美元的 NFT 和代币。

攻击背后的面孔

这些计划通常涉及在新兴的黑市中兜售和交易 drainer 代码。

网络钓鱼攻击的策划者首先前往 Telegram 和 Discord，在那里他们可以找到由众多不同类型的 drainer 开发人员运行的频道。他们联系开发人员并购买 drainer，它采用一组可以集成到网站中的代码的形式，同时通常同意将 20-30% 的收益提供给开发人员。然后他们将使用他们自己的方法——一个是上面描述的假新闻网站的例子——来破坏 Discord 服务器或 Twitter 帐户，并宣传一个包含 NFT drainer 代码的假网站，以窃取 NFT 和他们可以得到的任何东西。

也就是说，当他们不忙于作业时。

“其中 95% 是 18 岁以下的孩子，他们还在上高中，”一位名叫 Plum 的匿名安全研究员说道，他在 NFT 市场 OpenSea 的信任和安全团队工作，并补充说这就是为什么暑假期间，袭击事件呈上升趋势。

“我个人已经和他们中的很多人谈过，知道他们还在上学，”Plum 说。 “我在他们的学校看过他们中的许多人的照片和视频。他们谈论他们的老师，他们如何不及格或他们如何需要做家庭作业。”

这些孩子似乎很少努力隐藏他们新发现的财富。

“他们会购买笔记本电脑、一些手机、鞋子，并在 Roblox 上花费大量金钱。他们大部分时间都在玩 Roblox。所以他们会为他们的 Roblox 头像、视频游戏、皮肤等购买最酷的装备，”Plum 说。

Plum 补充说，他们还经常在礼品卡市场 Bitrefill 上购买带有加密货币的礼品卡，在 Uber Eats 上花费数千美元，购买名牌服装，花钱请人为他们做家庭作业，甚至购买他们还不会开车的汽车。他们也赌博。

“他们会在在线扑克游戏中每次下注 40,000 美元，并在 Discord 电话中将其流式传输给所有其他击球手。每个人都会看到这个人玩这个扑克游戏，”他们说。

Plum 说，这些剥削者试图通过向低收入国家/地区的人们支付费用，让他们使用他们的个人详细信息在交易所进行注册来掩盖他们的踪迹，从而在他们兑现时混淆踪迹。但他们表示，至少其中一些人现在应该已经被抓获，因为他们留下了充分的证据证明他们的行为——如果不是因为执法部门对抓捕他们缺乏兴趣的话。

至于为什么肇事者认为他们可以摆脱这种攻击，普拉姆推测，“他们觉得自己是无敌的，他们有上帝模式——没有人能碰他们。”

虽然像朝鲜这样的国家也参与其中 Plum 表示，在针对 NFT 的网络钓鱼攻击中，他们通常使用自己的 drainers，并且较少参与出售 drainers。至于那些创建 NFT drainers 的人——他们在某些情况下使用他们自己的技术进行攻击——他们更难以捉摸，但他们的假名档案仍然留下了明显的痕迹。

NFT drainers的兴起

最早的 NFT drainers 之一 Monkey 在 8 月建立了他们的 Telegram 频道。但直到 10 月，它才真正开始活跃起来。据 PeckShield 称，在接下来的几个月里，他们的技术被用来窃取 2,200 个 NFT，价值 930 万美元，以及额外的 700 万美元代币。

2 月 28 日，孙悟空决定挂掉他们的帽子。它的开发者在告别消息中说，“所有年轻的网络罪犯都不应该在追求轻松赚钱的过程中迷失自我。”他们告诉他们的客户使用一种名为 Venom 的竞争对手排水器。

毒液是一个有价值的竞争者。这是另一个最早的沥水器，随着时间的推移，它是曾经偷过 来自 15,000 多名受害者的 2,000 多个 NFT。 drainer的客户利用530个钓鱼站点进行攻击定位 Arbitrum、Circle 和 Blur 等加密项目——通过 NFT、以太币和各种代币共获得 2900 万美元。

安全专家指出，虽然 Venom 是首批采用多链技术的 NFT drainers 之一，但他们并没有很好地实现这一目标。但他们是第一个用于在 NFT 市场 Blur 上窃取 NFT 的 drainer。

其他竞争对手包括用于从 11,000 名受害者那里窃取 950 万美元的 Inferno 和用于从 3,000 名受害者那里窃取 1400 万美元的 Pussy。起源于俄罗斯黑客论坛的 Angel 的客户使用它以 NFT 和各种代币的形式从 500 多名受害者那里窃取了 100 万美元——最近一次妥协 加密钱包 Zerion 的 Twitter 帐户。

然后是粉色。

粉红色的奇怪案例

10 月 25 日，安全专家兼加密安全公司 BlockMage 的联合创始人 Fantasy 正在挖掘 Discord 服务器的 Wallet Guard，这是一种旨在防止网络钓鱼攻击的加密产品。正是在这里，他们遇到了另一个名为 BlockDev 的账户，该账户自称是一名安全研究员，并运营着一个名为 Chainthreats 的 Twitter 账户，他们会在该账户上发布有关漏洞利用的安全信息。

虽然 Fantasy 和 BlockDev 在第一次见面时有一些分歧，但随着时间的推移，他们开始定期交谈。然后 BlockDev 想出了一个主意：利用 Venom drainer 开发者拥有的加密热钱包——使用它自己的 API 来对抗它。 BlockDev 解释了他们的计划，然后实施了攻击，从 Venom 的开发者那里窃取了价值 14,000 美元的加密货币。 Fantasy 目睹了整个事情的发生，并记下了 BlockDev 用来执行攻击的钱包。

今年年初，一个名为 Pink 的新 NFT drainer 出现了。这个似乎比它的前辈更先进。它迅速流行起来，并被用来在一连串的攻击中窃取 NFT。只有当 Fantasy 进行调查时，他们才将用于设置 drainer 的资金来源追溯到 BlockDev 的钱包——表明他们是同一个人。

“我回顾了最初的资金来源以及两个钱包之间的一般活动——它们有着相似的活动。我和他对质，他对此不太高兴，”Fantasy 说。 “作为一个人，他对我很失望。他认为他可以信任我，我觉得这很有趣。”

此时，所谓的研究人员，现在被称为 Pink，删除了他们的 Discord 和 Twitter 帐户，并切断了与 Fantasy 和 Plum 等安全研究人员的联系。

在 5 月和 6 月期间，Pink drainer 继续用于更大的攻击，包括 Orbiter Finance、LiFi、Flare 和 Evmos 的 Discord，以及 Steve Aoki 的 Twitter 帐户等。

攻击者再次采用冒充记者进行采访的策略，并经常告诉 Discord 版主或他们的目标是什么人，将某个网页添加为书签。根据诈骗嗅探器 ，这个关键步骤是他们如何最终渗透服务器。

Plum 和 Fantasy 指出，Pink drainer 设法逃避了保护措施，例如旨在防止此类盗窃的钱包扩展。他们表示，Pink 在绕过钱包扩展 Pocket Universe 和 Wallet Guard 方面取得了成功。他们还在 Blur 上实施了一种同时窃取代币和 NFT 的方法，他们称这是一项重大进展。

至于可以采取什么措施来防止此类攻击，Plum 表示，以安全为中心的钱包扩展总体上仍然有利于保护钱包。他们指出，使用多个钱包并将大量资金存储在冷钱包中是一种很好的做法，并补充说，撤销批准也很好——当钱包允许区块链允许与某个代币交互时——如果有问题的代币没有被积极使用。

“不要让自己陷入错误的境地——如果你被孩子的尖叫分心了——它会让你失去你拥有的一切，”Plum 说。