今天分享的是:慢雾科技SlowMist:2025年Web3钓鱼手法解析报告
报告共计:67页
《2025年Web3钓鱼手法解析报告》由慢雾科技发布,聚焦Web3领域钓鱼攻击,详细剖析其手法、危害及相关案例,为用户防范提供参考。
- Web3钓鱼概述与攻击意图:Web3领域发展迅速,安全问题随之而来,钓鱼攻击频发。攻击者常以空投、虚假项目消息为诱饵,利用域名仿冒、社交平台伪装等手段吸引用户。其主要目的是盗取用户资产或权限,进而获取经济利益。
- 钓鱼攻击常用途径:社交APP如X、Telegram、Discord,搜索引擎如Google、百度,APP商城如Google Play、App Store等,都成为攻击者传播钓鱼信息的渠道。他们发布诱人的Token空投活动、虚假项目广告,诱导用户点击链接、下载假APP或导入私钥,导致用户资产被盗。
- 钓鱼攻击技术手段:攻击者借助多种技术工具实施钓鱼攻击,像Gophish、Evilginx等。他们通过仿冒知名项目网站,使用与官方相似的域名,让用户误以为是正规平台。还会利用智能合约的漏洞,如通过Approve、Transfer等函数,在用户不知情的情况下转移资产。
- 典型案例分析:文档列举诸多真实案例,例如有人在使用GMGN solana bot时,被界面内的钓鱼广告诱导,导入私钥后钱包被盗;还有黑客伪装推特账号,以开会为由发送虚假Zoom链接,诱使用户重新安装软件,最终导致推特和钱包被盗。
- 防范建议与相关工具:虽然文档未专门阐述防范建议,但提到了Scam Sniffer等反钓鱼工具,可帮助用户识别危险域名,一定程度上降低钓鱼攻击风险。
以下为报告节选内容
