2024 年1 月10 日,CoinGecko ,一家領先的加密貨幣資料聚合器遭遇重大安全漏洞。該公司在一個主要社交媒體平台(以前稱為 Twitter)上的帳戶及其終端遭到入侵,導致未經授權的釣魚詐騙連結被發布。這一事件引起了人們對快速發展的加密貨幣行業網路安全的嚴重擔憂。
CoinGecko 的技術團隊對此洩漏事件做出了迅速回應,重新控制該帳戶並啟動調查。他們向用戶發出警告,建議他們不要與可疑內容互動或點擊任何可疑連結。該欺詐性帖子宣傳了不存在的 CoinGecko 代幣空投,這是網絡釣魚詐騙中的常見策略,旨在引誘毫無戒心的受害者洩露敏感信息或轉移資金。
這事件並不是孤立發生的。就在一天前,美國證券交易委員會(SEC)的社群媒體帳號也遭受了類似的攻擊。詐騙者發布了一條欺騙性訊息,聲稱 SEC 主席加里·根斯勒 (Gary Gensler) 已批准多項比特幣現貨交易所交易基金 (ETF) 申請。這一說法很快就被揭穿,貼文也被刪除,但它強調了這種策略在造成暫時混亂和潛在傷害方面的有效性。
這兩起事件都凸顯了即使是高字體的脆弱性- 分析網路攻擊的組織,特別是那些涉及社會工程的組織。這些漏洞中使用的方法並不是複雜的技術駭客攻擊,而是依賴利用人為因素,例如缺乏雙重認證 (2FA) 以及操縱電信服務來執行 SIM 卡交換攻擊的能力。
SIM 卡交換攻擊的興起在Web3社區中尤其令人不安。這些攻擊涉及詐欺者冒充合法帳戶持有者以取得對其電話服務的控制權。一旦實現,他們就可以存取與該電話號碼關聯的各種帳戶,包括社交媒體和加密貨幣錢包。加密貨幣社群已經發生了多起此類事件,包括 2023 年 9 月對以太坊聯合創始人 Vitalik Buterin 帳戶的一次著名攻擊。
為了回應這些威脅,專家們該領域強調強而有力的安全措施的重要性。雙重認證 (2FA) 現在被視為基本必需品,而不是可選的附加元件。也建議用戶對可疑連結和優惠格外謹慎,尤其是那些承諾免費代幣或其他好得令人難以置信的機會的連結和優惠。