女巫攻击:利用多个虚假身份扰乱去中心化系统,尤其是治理或空投资格。
与代币、DeFi 项目或 NFT 相关的骗局。
-
Rug 骗局:项目创始人在筹集资金后消失,留下毫无价值的代币。
-
虚假项目:虚假 NFT 合集诱使用户进行诈骗或签署有害交易。
-
粉尘攻击:利用微小的代币转账来使钱包匿名化,并识别网络钓鱼或诈骗目标。
利用用户所依赖的前端或 DNS 级基础设施。
-
前端劫持 /DNS 欺骗:攻击者将用户重定向到恶意接口,以窃取凭证或触发不安全的交易。
-
跨链桥漏洞:在跨链桥传输过程中窃取用户资金。
物理威胁
现实世界中的风险,包括胁迫、盗窃或监视。
-
人身攻击:受害者被胁迫转移资金或泄露助记词。
-
物理盗窃:窃取设备或备份(例如硬件钱包、笔记本)以获取访问权限。
-
肩窥:在公共或私人场合观察或拍摄用户输入敏感数据。
虽然用户被黑的方式有很多种,但有些漏洞更常见。以下是持有或使用加密货币的个人最应该了解的三种漏洞攻击,以及如何预防它们。
网络钓鱼(包括假钱包和空投)
网络钓鱼比加密货币早诞生几十年,该术语出现于 20 世纪 90 年代,用来描述攻击者通过虚假电子邮件和网站「钓鱼」获取敏感信息(通常是登录凭据)。随着加密货币作为一种平行金融系统出现,网络钓鱼自然而然地演变为以助记词、私钥和钱包授权为目标。
加密货币网络钓鱼尤其危险,因为它没有追索权:没有退款,没有欺诈保护,也没有可以撤销交易的客服。一旦你的密钥被盗,你的资金就等于没了。同样重要的是要记住,网络钓鱼有时只是更大范围攻击的第一步,真正的风险并非最初的损失,而是随之而来的一系列损害,例如,被盗用的凭证可以让攻击者冒充受害者并欺骗他人。
网络钓鱼是如何运作的?
网络钓鱼的核心是利用人类的信任,通过呈现虚假的可信界面或冒充权威人士来诱骗用户自愿交出敏感信息或批准恶意操作。主要的传播途径有以下几种:
-
网络钓鱼网站
-
钱包(例如 MetaMask、Phantom)、交易所(例如 Binance)或 dApp 的虚假版本
-
通常通过 Google 广告推广或通过 Discord/X 群组分享,旨在使其看起来与真实网站一致
-
用户可能会被提示「导入钱包」或「恢复资金」,从而窃取他们的助记词或私钥
-
钓鱼邮件和消息