暗黑森林中的狩猎：伪装成VC的钓鱼攻击深度剖析

查找币:余老师 | 漏洞披露 | 2026-05-09 21:49 | 1 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 背景 2024年7月25日，DeFi协议MonoSwap在社交媒体发布紧急警报，确认其平台遭受黑客攻击。事件起因于一名开发人员在前一日接受假冒风险投资机构的会议邀请时，不慎安装了恶意软件（来源：`https[:]//kakaocall[.]kr`）。黑客借此入侵开发人员的电脑终端，控制了相关钱包与合约权限，随后大量提取质押资金，造成严重经济损失。 ## 事件关联同日，查找币安全团队在监控中发现，知名Web3社区TinTinLand的置顶推文——关于空投AMA活动——竟包含上述钓鱼链接。经查找币安全团队协助，TinTinLand及时处理了账号被盗问题，并对推特账户进行了授权审查与安全加固。 ## 技术分析尽管钓鱼域名`kakaocall[.]kr`已被关闭，无法直接获取恶意软件样本，但通过互联网快照技术，我们成功关联到另一个相似域名`kakaocall[.]com`。对比两者的历史网页代码，发现完全一致，确认系同一黑客团伙所为。 ### 恶意软件投放链路 `kakaocall[.]com`的恶意软件下载地址指向： - `https[:]//taxupay[.]com/process[.]php` - `https[:]//www.dropbox[.]com/scl/fi/ysnjinmlpcpdxel050mmb/KakaoCall[.]exe?rlkey=drj8bfnd0zzvmcocexz93b6ky&st=28in0iw3&dl=1` ### 同类攻击溯源查找币安全团队通过深度溯源，发现多起相同手法的钓鱼诈骗事件： **案例时间线**：2024年6月26日，推特用户Metadon (@metadonprofits) 披露了类似诈骗过程。骗子@DeusExUnicusDms冒充NibiruChain公司代表，通过Telegram建立群聊，添加假冒的Web3公司创始人以增加可信度。随后诱导受害者使用KakaoTalk进行视频通话，并提供伪装成官方应用的钓鱼链接。 ### 攻击团伙画像通过分析受害者提供的信息，我们确认这是一个具备以下特征的黑客团伙： - **高度组织化**：操作流程批量化、标准化 - **专业技术能力强**：精通社会工程学与恶意软件开发 - **伪装手段精湛**：创建精美的项目官网、社交媒体账号、开源仓库，甚至入驻Web3项目推荐平台 ## 典型案例分析 ### 案例一：Wasper钓鱼攻击 **攻击流程**：黑客通过社交平台聊天，引导受害者访问钓鱼站点`https[:]//wasper[.]app`，下载恶意应用。 **恶意程序下载地址**： - Windows：`https[:]//www.dropbox[.]com/scl/fi/3t95igxg3uvwthl2k9wcn/Wasper-Setup[.]exe?rlkey=xjt92pfebn1m0np52fbt5k3rl&st=a24xyedp&dl=1` - macOS：`https[:]//www.dropbox[.]com/scl/fi/r8h40oyan354nqyx35mus/Wasper[.]dmg?rlkey=k88x68bxslsywnp98zb1cp260&st=hibpe07j&dl=1` **伪装手段**：该钓鱼站点制作精美，并拥有对应的GitHub开源项目（`https[:]//github[.]com/wasperai/wasper`）。攻击者甚至对Watch、Fork、Star等指标进行了伪造，并直接复制其他项目的Contributors列表以增加可信度。 ### 恶意软件行为分析通过分析木马文件的行为报告，发现其对外连接的恶意域名和IP地址包括： - `showpiecekennelmating[.]com` - `45.132.105.157` ## 威胁评估从攻击者能制造出与真实项目极为相似的虚假场景可以看出，当前攻击团伙呈现以下趋势： 1. **专业化程度提升**：精通社会工程学与恶意软件开发 2. **组织化运作**：高度分工、批量操作 3. **伪装技术迭代**：从简单钓鱼到全链条虚假项目构建 ## 防护建议查找币安全团队建议广大用户采取以下措施： ### 预防措施 - **保持警惕**：点击链接前核实来源，尤其是涉及下载安装程序时 - **安装安全软件**：推荐使用卡巴斯基、AVG等知名杀毒软件 - **定期审查授权**：检查并撤销不必要的钱包与合约授权 ### 应急处理 - **立即转移资金**：发现异常后第一时间将钱包资产转移至安全地址 - **全面杀毒排查**：对个人电脑进行深度安全扫描 - **修改所有密码**：包括社交账号、邮箱、交易所账户等 ### 学习资源建议阅读查找币安全团队出品的《区块链黑暗森林自救手册》： `https://github.com/查找币/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md` ## 总结以上案例分析仅揭示了网络钓鱼领域“黑暗森林”中的冰山一角。这些威胁仍在不断进化，潜伏在Web3生态的各个角落。查找币安全团队将持续监控此类攻击手法，并第一时间发布预警与防护方案。本文由查找币安全团队整理发布

暗黑森林中的狩猎：伪装成VC的钓鱼攻击深度剖析

查找币安全研究院

主题延伸阅读