1 月 5 日,區塊鏈安全和智能合約審計公司 CertiK 遭受網路攻擊。這起事件發生在該公司的官方 X(以前稱為 Twitter)帳戶上,在一名不良行為者侵入該協議的社交媒體資料後,該帳戶發布了一個網路釣魚連結。 CertiK 宣布,一個「與知名媒體相關的經過驗證的帳戶」成功侵入了其一名員工的 X 帳戶,導致發布了網路釣魚詐騙的連結。該公司在 14 分鐘內刪除了釣魚鏈接,迅速解決了該漏洞,並且該漏洞沒有造成重大損失。
網路釣魚攻擊最初是由於CertiK 員工收到的直接訊息而偵測到的,該訊息顯示出以下跡象:很危險。區塊鏈偵探 ZachXBT 強調,聯繫 CertiK 的帳戶自 2020 年 4 月以來就沒有發布過帖子,這表明該帳戶可能已洩露。 CertiK 對此事件做出回應,鼓勵受該漏洞影響的人與他們聯繫,並強調打擊利用人類信任和漏洞的網路釣魚攻擊所面臨的挑戰。
考慮到 CertiK 在區塊鏈安全中的作用,這個安全漏洞尤其值得注意。就在事件發生前一天,CertiK 發布了 2023 年 Hack3D 安全報告,其中強調加密貨幣損失下降了 50%,標誌著區塊鏈安全的一個重要里程碑。遭到入侵的 CertiK 帳戶發布了有關 Uniswap V3 智能合約程式碼中的虛假漏洞的推文,將用戶引導至冒充 Revoke.cash 的詐騙網站。 Revoke.cash 確認 Uniswap 並未受到損害,但這一事件引發了人們對 CertiK 自身安全實踐的質疑。
官方 CertiK Discord 網站也遭到駭客攻擊,取而代之的是宣傳網路釣魚連結的虛假 Discord。 CertiK 隨後重新控制了其帳戶並刪除了虛假推文。然而,這次外洩凸顯了加密貨幣產業對駭客的持續脆弱性,去年被竊資金超過 38 億美元。 CertiK 對此洩漏的調查顯示,這是透過調度應用程式 Calendly 使用社會工程進行的「大規模持續攻擊」的一部分。
最近,Web3 安全公司CertiK 的X 帳號遭到駭客攻擊,目的是推廣加密貨幣錢包排水器,這凸顯了這一點區塊鏈安全領域的一個顯著的諷刺和擔憂。這次洩漏是透過社會工程實現的,利用了與知名媒體機構相關的受感染帳戶。攻擊者冒充記者,透過偽裝成日程安排網站的網路釣魚連結引誘一名 CertiK 員工,最終損害了該公司的帳戶。這一事件凸顯了現代網路釣魚詐騙的複雜性,這種詐騙利用了人類的信任和漏洞,並對區塊鏈和加密相關公司內部安全措施的穩健性提出了關鍵問題。
這次攻擊中社交工程的使用反映了網絡世界日益增長的趨勢,甚至安全 -精明的個人和組織很容易受到傷害。考慮到 CertiK 在確保區塊鏈技術安全方面的作用,此次違規行為尤其引人注目。該事件不僅表明需要在 Web3 領域提高警覺並採用先進的安全協議,而且還提醒人們區塊鏈生態系統中網路威脅的無情和不斷演變的性質。諷刺的是,一家Web3 安全公司成為此類攻擊的受害者,凸顯了對複雜網路威脅的普遍敏感性,並強調了整個行業持續改進安全實踐的重要性