Axie Infinity补偿因黑客攻击而损失资金的用户
发布于 11月 3日, 2021, 10:19 AM
作者 Eli Rabadon
翻译 chalin
社会工程学是操纵人们使他们愿意放弃机密信息并采取行动的艺术。这是网络犯罪分子用来使受害者泄露敏感信息的最有效技术之一,这些信息可用于获取额外的个人数据并最终从受害者那里窃取。这种技术被用来对付 Axie Infinity 的一名人员,他被骗分享了他的屏幕。只需点击几下,骗子就可以访问员工的帐户。
(社会工程攻击是一种利用”社会工程学”来实施的网络攻击行为。社会工程学,准确来说,不是一门科学,而是一门艺术和窍门的方术。社会工程学利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一些方法、一门艺术与学问。说它不是科学,因为它不是总能重复和成功,而且在信息充分多的情况下,会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。社会工程学是一种利用人的弱点如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。)
![图片[1]-2021年11月2日Axie Infinity Discord官方被黑事件报道-阿蟹中文网](http://axiecn.cn/wp-content/uploads/2021/11/hacked.jpg)
Axie被黑了!
然后,攻击者创建了一个假的 Axie Infinity 官方网页,并在 Axie Infinity 的所有 Discord 公告频道上发布了该链接,宣布独家销售。 155 名玩家点击链接并试图购买 Axies,这是一个骗局。
智能合约的设计方式很简单:
![图片[2]-2021年11月2日Axie Infinity Discord官方被黑事件报道-阿蟹中文网](http://axiecn.cn/wp-content/uploads/2021/11/smart-contract.jpg)
当用户点击恶意链接时,智能合约将打开。
智能合约是一种计算机程序或交易协议,旨在根据合同或协议的条款自动执行、控制或记录法律相关的事件和行为。
Axie Infinity 还提醒“那些与智能合约交互的人丢失了他们发送的钱。他们的种子短语没有受到损害。尽管如此,我们建议与智能合约交互的每个人都访问 https://etherscan.io/tokenapprovalchecker 并立即撤销对该站点的访问权限。”
Axie Infinity 向用户保证,公司非常重视安全,并致力于:
- 补偿因本公告而丢失资金的所有人。如果您丢失资金,无需报告 – 我们正在直接扫描区块链。
- 减少可以在 Discord 服务器上标记每个人的人数。
- 联系 Discord 并协助他们解决此安全漏洞。
- 与所有团队成员一起审查安全实践。
这是@0xInuarashi 在他的 Twitter 帐户中解释的 Axie Infinity 声明中发生的事情。
1)首先,骗子将使用一个新的帐户(小号burner account)(或者我猜他们可能是一个现有帐户)加入服务器,并栽赃你为骗子。他们会发送你的Discord ID 来让版主(mod)禁掉,结果你被禁掉,而不是骗子!
2) 然后,一旦您被禁止使用服务器(因为他们对版主进行了社会工程攻击),他们将使用冒充版主(mod)的账户与你联系。他们会与您联系为了解除您的禁令,要求你向他们证明你是无辜的。
3) 接下来,为了证明你是无辜的。他们会要求您远程桌面或屏幕共享。他们会让你 CTRL+SHIFT+I 查看控制台,然后在 Discord 的控制台上向他们展示你的身份验证令牌。
4)如果您发送给他们,基本上您的Discord帐户已被盗用,他们可以随意使用您的帐户,包括:使用您的帐户欺骗您自己的社区。
5) 小心并注意安全,切勿让任何人打开您的 Discord 控制台。
原文链接:Axie Infinity to reimburse users who lost funds due to the hack
暂无评论内容