WEB3安全系列|| 窃取数字资产的方法，看看你有没有上当？

随着web3领域各种应用的陆续发展，安全问题也变得突出。 近期，钓鱼诈骗攻击事件频发，各种钓鱼攻击手段层出不穷。 这时候，如何更清楚地认识钓鱼攻击； 如何避免被钓鱼尤为重要。

本系列文章从 web3 安全出发，持续跟进 web3 安全趋势。 以下是窃取数字资产的方法。 看看你是不是被骗了？

Telegram群钓鱼APP案例

Telegram群搜索钱包关键词会出现很多所谓的官方钱包群，其中不乏骗子伪装的群，如下图

这些看似正常钱包官网的消息通知，其实是社工钓鱼链接，选取其中一个进行分析。

下图为正版官网

下图是一个钓鱼网站。 不仔细辨认域名，就好像这是一个正常的官网。

下载钓鱼网站Apk文件进行分析。

下图比较了两个版本的区别。 图中上半部分为官方APP，下半部分为钓鱼APP。 在这里无法区分真假应用程序。

安装假钱包后，所有的恶意行为都是在用户不知情的情况下进行的。 此行为包括劫持种子（助记）短语。

种子短语对于每个加密钱包都是唯一的，以防止第三方访问，就像主密码一样。 一旦攻击者获得种子短语，他们将能够访问和窃取存储在加密货币钱包中的加密货币。 现有和新创建的钱包都面临风险。

恶意APP被反编译，下图是用于窃取助记词并将其发送到攻击者远程服务器的代码片段。

下图显示了用于窃取用户名和密码并将其发送到攻击者的远程服务器的代码片段。

社会工程学钓鱼攻击的分类：

钱包升级

攻击者通过社会工程学收集用户的邮箱地址，确定用户经常使用的钱包APP，并以此为目标，发送虚假的官方APP升级邮件。 下载后使用与官方APP相同，但会收集用户信息和私钥助记词。 词等

密码泄露

攻击者通过社会工程学伪造官方密码/私钥向用户泄露邮件、让用户修改密码转移资产等方式，进入其网站进行登录转账流程，攻击者抢先一步将您的资金转移。

假空投

攻击者利用免费空投的宣传噱头制作海报或链接在社区进行宣传。 用户扫码识别并打开网址并授权（登录）后，执行Airgrab授权并接收空投。 授权后，诈骗者就得到了他们的授权码。 币的权限，从而转移用户的资产。

近期假usdt制作方法，还出现了一种新型的空投骗局。 用户通过查看交易记录获得空投代币。 当他们点击查看时，他们会在备忘录中找到一个链接，并提示空投代币可以兑换其他币种。 当用户打开链接使用空投代币兑换其他代币时，此时需要授权，这种授权属于恶意行为。 一旦授权，所有钱包资产将被移除。

假二维码

伪造二维码诈骗是指诈骗分子利用伪造的二维码让用户进行授权等操作。 通常情况下，用户在扫码后打开转账界面或其他钓鱼页面，而这个转账操作实际上是一个授权过程。 如果用户授权，则欺诈者将获得转移资产的权限，从而造成资产损失。

此外，一些带有虚假空投信息的海报也会附上虚假的二维码。 空投代币作为诱饵，吸引用户扫码识别。 授权代币的转移。

假令牌

伪造知名代币，使用相似的代币合约名称和简称进行诈骗。 这类诈骗的主要受害者多为新用户，因为熟悉区块链行业的用户可以通过查看代币的合约地址来判断代币的真伪，比如常见的USDT、ETH、BTC等。骗子会说自己有一些代币可以急着卖，开出非常诱人的价格，而新手用户想低价买入收到转出的代币，却发现无法交易，没有价值。

因此，转账前需要一一核对代币合约等信息。 以代币官方信息为准，不易信任第三方。

假客服

在日常使用过程中，总会遇到一些需要解决的问题。 大多数人首先会想到联系客服解决问题。 在每个社区添加用户假usdt制作方法，解决问题时索取用户私钥或助记词进行诈骗。

假预售

攻击者利用论坛、暗网等渠道购买使用长期、粉丝多、活跃的社交媒体账号，包括推特等，攻击者会通过预售发布预售活动，用户可以购买相应的产品价格低于官方价格。 NFT，当预售达到一定数量时，项目方可能会选择跑路。

假应用

骗子会开发出与真钱包高度相似的APP，让用户在创建或导入钱包时，骗子的后台服务器会悄悄记录并同步到他们的特定服务器上，让用户后续操作更有信心。 最大的风险是被骗子偷走。

电报群诈骗

诈骗者使用电报群私聊、钓鱼链接和非常诱人的脚本文件。 用户只要点击钓鱼链接，就可能在毫无戒心的情况下进行转移或授权。 同样，当电脑打开一个恶意文件时，就会植入病毒来获取你的密码和私钥等。

安全建议