新型钓鱼攻击瞄准加密货币用户
知名区块链安全机构SlowMist于近日发布紧急安全警报。其先进的MistEye安全监测系统成功捕获并分析了一场针对TRON网络用户的精密钓鱼攻击活动。攻击的核心载体是一款伪装成官方工具的恶意Chrome浏览器扩展程序。
攻击手法揭秘:双重伪装与数据窃取
这款恶意扩展程序采用了狡猾的伪装技术:
- Unicode混淆与品牌仿冒: 攻击者利用Unicode字符混淆扩展名称,使其在视觉上高度模仿知名钱包的官方插件,极具迷惑性。
- 双层钓鱼策略: 用户安装后,扩展会优先加载一个远程控制的iframe弹窗页面。这个页面被精心设计成钱包登录或安全验证界面。
- 诱导输入敏感信息: 页面会诱导毫无戒心的用户输入最核心的资产控制凭证,包括:助记词、私钥、密钥库文件及其密码。
- 隐蔽的数据外传: 窃取到的数据并非存储在本地,而是通过同源接口实时发送至攻击者控制的Telegram机器人(Bot),完成窃取链条。
已识别的恶意基础设施
SlowMist在报告中公布了此次攻击相关的部分基础设施,提醒用户和网络安全厂商进行屏蔽:
- 恶意域名:tronfind-api[.]tronfindexplorer[.]com 与 trx-scan-explorer[.]org
- 恶意扩展ID:ekjidonhjmneoompmjbjofpjmhklpjdd(用户可在Chrome的扩展管理页面中核对此ID)
紧急应对措施与安全建议
如果您是TRON或其他加密货币钱包用户,请立即采取以下行动:
- 检查并卸载: 立刻前往Chrome浏览器的“扩展程序”管理页面,查找并彻底移除上述ID的扩展。
- 评估风险: 如果您曾在该扩展的任何界面中输入过助记词、私钥或密码,应视为最高风险事件。
- 立即迁移资产: 对于高风险情况,唯一安全的做法是尽快使用一套全新的、未泄露的助记词创建新钱包,并将所有资产转移至新地址。
- 弃用原钱包: 资产转移完成后,永久不再使用可能已泄露的原钱包地址进行任何操作。
- 提高警惕: 仅从官方应用商店或项目官网下载插件,对索要核心私密信息的任何界面保持高度怀疑。
此次事件再次警示,在自主掌控资产的同时,保护私钥和助记词的安全永远是第一要务。任何细微的疏忽都可能造成不可挽回的财产损失。