在维基百科定义中，网络钓鱼（Phishing）是一种企图从电子通信中，透过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。

这些通信都声称（自己）来自于风行的社交网站（YouTube、Facebook、MySpace）、拍卖网站（eBay）、网络银行、电子支付网站（PayPal）、或网络管理者（雅虎、互联网服务提供商、公司机关），以此来诱骗受害人的轻信。

网钓通常是透过e-mail或者即时通信进行。它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人资料。就算使用强式加密的SSL服务器认证，要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例，它凭恃的是现行网络安全技术的低亲和度。

在web3世界中，网络钓鱼主要通过twitter、discord、网站伪造等一系列手段实现，通常在过程中伴随着假托、在线聊天、下饵、等价交换、同情心等社会工程学攻击（详见维基百科：社会工程学），让人防不胜防。

本文将揭露其中几种web3世界里常见的钓鱼方法，跟我们一起来看看吧。

Phishing

官方Discord被盗，发布钓鱼信息

2022年5月23日，MEE6官方Discord遭受攻击，导致账号被盗，官方discord群里发布mint的钓鱼网站信息。

2022年5月6日，NFT交易市场Opensea官方Discord遭受攻击，黑客利用机器人账号在频道内发布虚假链接，并声称“OpenSea与YouTube达成合作，点击链接可参与铸造限量100枚的mint pass NFT”。

近期，官方discord遭遇攻击的案例越来越多，经过成都链安安全团队分析，其原因可能有：

• 项目方员工遭受钓鱼攻击，导致账户被盗；

• 项目方下载恶意软件，导致账户被盗；

• 项目方未设置双因素认证且使用弱密码导致账户被盗；

• 项目方遭受钓鱼攻击，添加恶意书签从而绕过浏览器同源策略，导致项目方Discord token被盗。

防骗技巧

Phishing

周杰伦遭遇钓鱼攻击，价值百万NFT被盗

2022年4月1日愚人节，周杰伦在Instagram上发文称持有的BAYC#3738 NFT已被盗。

据了解，该 NFT 在今年1月由黄立成赠送。在成都链安安全团队的查看之后，发现周杰伦其0x71de2开头的钱包地址先去mint新项目后遭遇到钓鱼链接，随后在11点左右签名了授权（approve）交易，将NFT的权限授予了0xe34f0开头的攻击者钱包，可能这时候杰伦还没意识到自己的NFT，已经处于风险之中。

仅仅过去几分钟，攻击者就在11:07将无聊猿 BAYC #3738 NFT转移到自己的钱包地址中，随后在LooksRare和OpenSea上将盗取的NFT卖掉，获得约169.6 ETH。

防骗技巧：

Phishing

Google广告漏洞置顶的钓鱼网站

2022年5月10日，Discord和加密威胁缓解系统Sentinel创始人Serpent发推表示，NFT交易平台X2Y2在Google搜索页面的首个搜索结果是诈骗网站，它利用 Google 广告的漏洞，使真实网站和诈骗URL看起来完全相同，已经有约100 ETH被盗。

防骗技巧

Phishing

假机器人伪装成项目方私聊发送钓鱼网站

最近，笔者在关注某一新项目时，从项目官网加入到了官方discord社群，加群后按照国际惯例先进行官方机器人身份验证，然而这一条验证消息却是机器人私信发过来的，此时内心有些疑问，但是看到有“机器人”的提示标签后，也没多想。