假記者，真駭客：揭秘Crypto Twitter 詐騙新伎倆

近幾個月來，知名意見領袖成為了社交工程攻擊的主要目標，專案官方Twitter 也頻繁發生帳號被盜事件。

撰文：Luccy、律動小工，BlockBeats

在幣圈，作為主要社群媒體的推特是資訊交流的重要平台，但同時也揭露了許多安全隱患。近幾個月來，一種新的被盜趨勢浮現出水面：知名意見領袖(KOL) 成為了社交工程攻擊的主要目標，項目官方的社交媒體平台X（原twitter）頻繁發生帳號被盜事件。

這些精心策劃的攻擊不僅侵犯了個人隱私，更威脅了整個數位資產的安全。 BlockBeats 將探討近期發生的幾起針對知名KOL 的社交工程攻擊案例，揭示攻擊者如何利用精心設計的詐騙手段，以及KOL 和普通用戶如何提高警惕，防範這類日益猖獗的網路威脅。

偽裝的假記者，針對KOL 的社工攻擊

根據BlockBeats 不完全統計，最初遭遇社工攻擊的人是美國主流媒體《富比士》主編。冒牌者與加密Kol@0xmasiwei 就friend.tech 及其他仿盤SocialFi 專案進行交流後，對其發送friend.tech「身份驗證」連結。經慢霧安全人員驗證，該連結為釣魚連結。

此外，慢霧創始人餘弦確定friend.tech 的一體化自訂工具FrenTechPro 為釣魚騙局，用戶在點擊ACTIVATE NOW 後會有駭客不斷嘗試盜取錢包相關資產。

兩個月後，派盾PeckShield 再次監測類似事件。

12 月18 日，加密資料研究員、DeFiLlama 貢獻者Kofi（@0xKofi）在社群媒體平台發文指出DefiLama 的合約和dApp 存在漏洞影響，要求用戶點擊推文中附帶的連結驗證資產安全。這是社工攻擊典型例子，詐騙集團利用了用戶對漏洞的恐懼心理，讓他們降低詐騙連結的防範。

昨天凌晨2 點，@0xcryptowizard 遭遇社工攻擊再次引發加密圈的討論。 @0xcryptowizard 在社交媒體平台上用“機翻”中文為Arbitrum 銘文宣傳，並附上了mint 鏈接。據社群成員反應，剛點入連結錢包瞬間就被清空。

對此，@0xcryptowizard 發文表示，騙子正是抓住了自己休息時間才趁機發布釣魚連結。隨後，@0xcryptowizard 在推特簡介中附上提醒，「未來不會發任何鏈接；推文中出現鏈接，請不要點。」

至於被盜原因，@0xcryptowizard 表示這是一次精心策劃的網路詐騙。攻擊者@xinchen_eth 偽裝成知名加密貨幣媒體Cointelegraph 的記者，並以預約採訪為由接觸目標。攻擊者誘使點擊一個看似正常的預約鏈接，該鏈接偽裝成了Calendly（一個常用的日程安排工具）的預約頁面。然而，這實際上是一個偽裝的頁面，其真實目的是完成對@xinchen_eth 推特帳戶的授權，從而獲取其推特權限。

在這個過程中，即便對連結有所懷疑，頁面的設計和呈現方式仍然讓他誤以為是一個正常的Calendly 預約介面。事實上，頁面並沒有顯示出任何Twitter 授權的介面，只展示了預約時間的介面，這使得他陷入了誤解。回想起來，@0xcryptowizard 認為駭客可能對頁面進行了巧妙的偽裝。

最後，@0xcryptowizard 提醒其他知名意見領袖（KOL）要格外小心，不要輕易點擊不明鏈接，即使它們看起來像是正常的服務頁面。這種詐騙手段的高度隱藏性和欺騙性是一個嚴重的安全隱患。

在@0xcryptowizard 後，NextDAO 聯合發起人@_0xSea_也經歷了社工攻擊，一個自稱來自知名加密媒體公司Decrypt 的騙子私訊約其進行採訪，旨在面向華語用戶傳播一些理念。

但有前車之鑑，@_0xSea_細心的注意到對方發送的Calendly .com 授權的頁面中，“授權Calendlỵ 訪問你的帳號”這句話裡的字符是“ỵ”，不是字母“y”，這與上次假sats 的情況類似，末尾字符其實是“ʦ”而不是“ts”。由此判斷這是一個冒充的假帳號。

訓練有素的加密駭客團體Pink Drainer

在@0xcryptowizard 遭遇攻擊事件中，慢霧餘弦指出詐騙集團Pink Drainer。據悉，Pink Drainer 是一款惡意軟體即服務（Malware-as-a-Service，MaaS），能夠讓使用者快速建立惡意網站，並透過該惡意軟體取得非法資產。

根據區塊鏈安全公司Beosin 指出，該釣魚網址使用加密錢包竊取工具，誘使用戶簽署請求。一旦請求被簽署，攻擊者將能夠從受害者的錢包中轉移NFT 和ERC-20 代幣。 「Pink Drainer」會向用戶收取被盜資產作為費用，據報道可能高達被盜資產的30%。

Pink Drainer 團隊因Twitter 和Discord 等平台上的高調攻擊而臭名昭著，涉及Evomos、Pika Protocol 和Orbiter Finance 等事件。

去年6 月2 日，駭客利用Pink Drainer 侵入OpenAI 技術長Mira Murati 的推特發布假消息，聲稱OpenAI 即將推出“OPENAI 代幣”，基於AI 語言模型推動，並貼上鏈接告知網友前去查看自己的以太坊錢包地址是否有領取空投資格。為了防止其他人在留言區揭穿騙局，駭客也特別關閉留言公開回覆功能。

儘管這則假消息在發布一小時後被刪除，但已經觸及超過80,000 名推特用戶。 Scam Sniffer 對此展示的數據表示，駭客在這起事件中獲得了約11 萬美元的非法收入。

去年年底，Pink Drainer 參與一起高度精密的網路釣魚詐騙，導致價值440 萬美元的Chainlink（LINK）代幣被盜。這起網路竊盜針對的是一個單獨的受害者，他們被欺騙簽署了與「增加授權」功能相關的交易。 Pink Drainer 利用了加密領域的標準程式「增加授權」功能，讓用戶設定其他錢包可轉帳代幣數量的限制。

在受害者不知情的情況下，這項行動使得275,700 個LINK 代幣在兩筆不同的交易中被未經授權地轉移。加密安全平台Scam Sniffer 的詳細資料顯示，最初，68,925 個LINK 代幣被轉移到了一個被Etherscan 標記為“PinkDrainer：Wallet 2”的錢包；其餘的206,775 個LINK 則被發送到以“E70e”結尾的另一個地址。

儘管目前尚不清楚他們是如何誘使受害者授權代幣轉移的。 Scam Sniffer 在被盜事件發生的過去24 小時內也發現了至少10 個與Pink Drainer 有關的新詐騙網站。

如今，Pink Drainer 的活動仍在上升趨勢，根據Dune 數據顯示，截至撰稿時，Pinkdrainer 已累積詐騙超過2,500 萬美元，總受害者達上萬人。

專案官推頻繁被盜

不僅如此，最近一個月以來，專案官推被盜事件頻傳：

12 月22 日，ARPG 暗黑刷寶類鏈遊《SERAPH: In the Darkness》官方X 平台帳號疑似被盜，請用戶暫時不要點擊該帳號發布的任何連結。

12 月25 日，去中心化金融協議Set Protocol 官推疑似被盜，並發布多條包含釣魚連結的推文。

12 月30 日，DeFi 借貸平台Compound 官員推疑似被盜，並發布包含釣魚連結的推文，但並未開放評論權限。 BlockBeats 提醒用戶注意資產安全，請勿點選釣魚連結。

甚至連安全公司也不能倖免。 1 月5 日，CertiK 的推特帳號帳號已被盜用。發布假消息稱發現Uniswap 路由器合約容易受到重入漏洞的攻擊。附帶RevokeCash 連結為釣魚連結。針對此次被盜事件，CertiK 在其社交平台表示，「一個知名媒體相關的經過驗證的帳戶聯繫了CertiK 的一名員工，然而該帳戶似乎已被盜用，導致我們的員工遭到網路釣魚攻擊。 CertiK 很快就發現了漏洞，並在幾分鐘內刪除了相關推文。調查表明這是一次大規模持續攻擊。據調查，此次事件並未造成重大損失。」

1 月6 日，根據社區反饋，Solana 生態NFT 借貸協議Sharky 官推已被黑客攻擊並發布釣魚鏈接，請用戶不要點擊該官推發布的任何鏈接。