随着web3领域各种应用程序的相继发展，安全问题也随之凸显。近期钓鱼诈骗攻击事件频发，各种钓鱼攻击手法层出不穷。此时，如何更清楚地了解钓鱼攻击；如何避免被钓鱼显得尤为重要。

本系列文章从web3安全出发，持续跟进web3安全动态。下文是攻击者通过Discord软件，对用户进行钓鱼，诈骗等行为，下文查看具体攻击手法。

假冒Discord官方案例

情景一：下图为 BAYC 管理员账 被盗，攻击者伪造项目方发送钓鱼链接。

情景二：Opensea Discord服务器遭到攻击，黑客利用Opensea 与 Youtube 合作的骗局进行钓鱼攻击，目前钓鱼 站“http://youtubenft.art” 已无法访问。

情景三：HALONFTOFFICIAL 的Discord被黑了，攻击者通过在公告栏发布钓鱼 站，使用虚假 mint 盗取用户资金。

Discord私信钓鱼案例

1.某用户看到 X Rabbits Club NFT的推送，对项目好奇后加入官方Discord

2.在加入频道后收到了名为 X Rabbits Club 的账 私聊，同时还有Mint链接

3.用户访问 站发现其价格单个0.08 ETH，随后连接钱包进行了多次mint。

4.在过了一段时间之后用户没收到NFT，去官 等渠道查看发现该地址是骗子制作的钓鱼 站，下图为官 推特披露，目前该钓鱼 站已无法访问。

攻击类型

黑客攻击方式多样，以下列举几个使用的手法。

discord攻击手法1

1. 攻击者通过 工获取项目方成员的一个discord权限账
2. 攻击者利用项目方的账 在频道发布了新公告，公告内容为攻击者制造的假的官 站，并宣布可以独家购买部分东西
3. 受害者访问该 站点击链接并试图购买，授权后会转账eth到攻击者钱包

discord攻击手法2

1. 攻击者使用新账户or模仿受害者的账户加入discord，然后说你是诈骗犯，然后把你的id提供给服务器禁止受害者账
2. 然后攻击者伪装成管理员，与受害者联系以解除封禁，但是需要受害者证明自己是无辜的
3. 攻击者要求远程桌面or屏幕共享，以表明你是无辜的，他们会让你Ctrl+Shirt+I查看控制台，在discord控制台会显示身份验证令牌
4. 拿到令牌后，攻击者即可接管账户。

discord攻击手法3

1. 由于nft特性，会有部分用户点对点交易nft，sudoswap，Nfttrader等交易平台鼓励用户私下交换彼此nft
2. 攻击者会通过仿造交易平台，会生成一个订单确认的 站，双方确认后，智能合约自动进行。
3. 沟通时攻击者会和受害者商议交换那些nft，等到交易的时候，攻击者提出修改数据，后向受害者发送诈骗链接。
4. 双方确认后，钱包中nft会转移至攻击者钱包中。

discord攻击手法4

1. 攻击者通过discord服务器，向不同 区批量私信成员，或冒充管理员以解决问题为由等理由，骗取钱包私钥，或发送虚假的钓鱼 站称可以免费领取nft。
2. 用户一旦授权给虚假 站，账 内的nft等就会被盗走。

discord攻击手法5

1. 在一些成熟的nft项目中，经常隔一段时间会发布合集，并且预告，攻击者会在其他 站制作好类似的合集，利用官 的话语，在discord 区等 站发送购买链接，真正的nft没有上线的时候会优先搜索名字接近的nft，有些攻击者为了效果，会提前制造几笔交易。
2. 为了节省平台和项目方的抽成， 区成员之间进行私下交易，这个时候用户往往忽略了nft的真实性。

如何保护你的discord

对于普通用户

对于服务器所有者