最近越來(lái)越的朋友找我說(shuō)自己莫名其妙私鑰被盜，說(shuō)實(shí)話(huà)我是不信的。不過(guò)我們經(jīng)過(guò)多方面調(diào)查，發(fā)現(xiàn)他們其實(shí)有一個(gè)很明顯的特征，都是土狗玩家，經(jīng)過(guò)調(diào)查和總結(jié)，我們終于總結(jié)出來(lái)一套完整的流程鏈。希望對(duì)大家能有一些啟發(fā)。

1. 自動(dòng)撒網(wǎng)

隨著 Sol 的生態(tài)極速增長(zhǎng)，現(xiàn)在有非常多的自動(dòng)化監(jiān)控機(jī)器人做的非常完善，能獲取大量信息進(jìn)行分析，而攻擊者首先利用了這一點(diǎn)。

我們用一個(gè)例子展示。

注意看紅線標(biāo)記的地方，出現(xiàn)了一個(gè) Telegram 群組，這里恰好就是被盜的主要入口。

Sol 的代幣比較獨(dú)特，可以通過(guò)上傳 Metadata 來(lái)自動(dòng)設(shè)定很多數(shù)據(jù)，比如頭像，社交鏈接等。

可以看到，這里的數(shù)據(jù)剛好就是監(jiān)控機(jī)器人展示的數(shù)據(jù)，也就是說(shuō)，攻擊者利用了大家會(huì)相信監(jiān)控機(jī)器人這種可信度高的渠道，散播他們的釣魚(yú)鏈接。

而觸發(fā)這種監(jiān)控，只需要做一些機(jī)器人進(jìn)行拉盤(pán)即可，他們只需要把數(shù)據(jù)做的好看，很多人就很容易上當(dāng)。此時(shí)進(jìn)行下一步。

2.虛假驗(yàn)證

如果你不小心點(diǎn)了這個(gè) TG，想進(jìn)入這些 TG 群的時(shí)候，恭喜你，你離被盜更近了一步。得益于 TG 最新的小程序功能，攻擊者有了一個(gè)完美的以假亂真的辦法。當(dāng)你進(jìn)入這些群組的時(shí)候，會(huì)看到有一個(gè)驗(yàn)證請(qǐng)求，這很常見(jiàn)，因?yàn)楹芏?TG 群要防機(jī)器人，所以也是一個(gè)非常可信的需求。當(dāng)你點(diǎn)開(kāi)的時(shí)候，你就需要小心了。

此時(shí)，他會(huì)利用 TG 小程序彈出一個(gè)以假亂真的 TG 登陸窗口，此時(shí)只要你一個(gè)不小心掃了碼，很抱歉，你的 TG 已經(jīng)被攻擊者登陸控制了。

3.記錄掃描

這個(gè)階段，攻擊者會(huì)極快的掃描你的聊天記錄和你的各種 TG Bot，眾所周知，現(xiàn)在的 TG Bot 基本就是裸奔，攻擊者可以很輕松的從你的 Bot 里面拿走你的資產(chǎn)，而他們攻擊的目標(biāo)用戶(hù)恰好就是這些土狗玩家，屬于是目標(biāo)用戶(hù)明確。此時(shí)非常多高價(jià)值 meme 幣就成為黑客的盤(pán)中餐了。

到此，攻擊結(jié)束，為什么這個(gè)案例值得說(shuō)？因?yàn)楹芏嘤脩?hù)他甚至無(wú)法辨別這是黑客攻擊，在咨詢(xún)我們的時(shí)候，他們不會(huì)提供任何 TG 有關(guān)的信息，他們始終堅(jiān)信是有電腦木馬或者釣魚(yú)鏈接。整個(gè)流程在一般用戶(hù)看來(lái)非常可信，從可信的監(jiān)控 Bot，到可信的 TG 驗(yàn)證，其中沒(méi)有一個(gè)地方是具有可疑操作的。

挽救措施

當(dāng)你掃碼后，你的信息資料應(yīng)該會(huì)被立刻同步，我們推薦你做以下操作。

1. 立刻轉(zhuǎn)移所有 Bot 里面的資產(chǎn)，按照從大資金到小資金的順序。

2. 查看 TG 中已經(jīng)登陸的設(shè)備，立刻退出可疑設(shè)備。

3. 聯(lián)系 TG 常用人，聲明自己 TG 賬號(hào)已經(jīng)被盜，防止繼續(xù)可信傳播。