By: 山 & Liz

背景

近期慢雾安全团队陆续收到多起被盗求助，在分析被盗事件后，我们发现多数被盗原因竟然是：知名项目方推特下方的钓鱼留言导致！

随后慢雾安全团队做了针对性的分析统计：约有 80% 的知名项目方在发布推特后，评论区的第一条留言会被诈骗钓鱼账号所占据。鉴于钓鱼团伙的自动化程度之高、部分加密货币从业者安全意识较低，本文将解析知名项目方评论区钓鱼团伙的作案流程，给加密货币从业者以警示。

作案流程

1. 购买推特账号。我们发现 Telegram 中存在许多售卖推特账号的群，这些账号有粉丝量、有一定数量的帖子、注册时间也不一，买家可以根据需要挑选合适的账号。翻看群里的历史记录发现，该群里售卖的多为加密货币行业相关的号以及网红号。

除了 Telegram 上的卖号群外，还有专门卖推特账号的网站。这类网站上售卖各年份的推特账号，同时支持特定相似账号购买，如用户名与 Optimism（真账号）高度相似的 Optimlzm（假账号）。这类网站也接受加密货币付款。

(https://twitteraccseller.mysellix.io/)

2. 买到现成的账号后，钓鱼团伙会用推广工具买粉丝互动，增加账号可信度。这类推广工具同样支持加密货币付款，出售国外主流社交平台的点赞，转发，粉丝量等服务，买家输入要推广的链接和要求的数量即可购买。

(https://easyliker.ru/services)

据该平台客服所说，仅该平台就有超 130 万笔订单，已有两万人使用过他们的服务。

3. 经过以上的准备，钓鱼团伙就获得了一个有足够多的帖子、粉丝的推特账号，然后再将账号里面的信息照着项目方的账号去模仿，这时对于一部分人来说这两个账号就有些真假难辨了。接下来就到了钓鱼团伙实施钓鱼的关键步骤：

• 自动化机器人关注知名项目方动态；

• 项目方发布推特后，钓鱼团伙的机器人会自动化第一时间留言以确保占位第一条留言位置，蹭到高浏览量；

• 由于用户正在浏览的帖子的真实项目方发送的，且经过伪装后的钓鱼团伙账号和项目方的账号高度相似，这时只要用户放松警惕，点击假账号里空投等名义的钓鱼链接，然后授权、签名，便会损失资产。

实例

1 月 12 号，Optimism 的官方推特号发送了一条推文，在这条推文下面的第一条评论就是钓鱼团伙的发布的，这条评论有很高的互动量，且附上了官网的链接，然而其文字部分的链接却是个钓鱼链接，见下图。同日，慢雾 CISO @IM_23pds 在推特上发出警告，请广大用户警惕项目方评论区的高仿号钓鱼。

（https://twitter.com/IM_23pds/status/1745662404300788120）

钓鱼团伙利用了推特的改名机制，用户可以修改自己的推特显示名称（Display Name），但这不会改变其在推特上的唯一标识，即推特的用户名（Handle），通常以 @ 符号开头。这个假账号的显示名称改成了和官方号一样的，都叫 Optimism，但是仔细看就会发现高仿号的用户名和官方号有细微差别，假账号将官方号的用户名中的“is”换成了“lz”，这种钓鱼手法在黑手册中已有介绍。

MistTrack 分析

使用链上追踪工具 MistTrack 查询在 Telegram 上售卖推特账号的人的地址 0xd02c75102ed941b26e318c0896c5b5aeb4ddc965，我们发现给这个地址转账的地址均被 MistTrack 标记为与钓鱼、盗币等行为相关的恶意地址，双击这些地址后，又追踪到更多恶意地址，可见这个黑市之大。

应对措施

1. 反钓鱼插件的优化。区块链行业 90% 的 NFT 钓鱼都跟虚假域名有关，有实时跟进钓鱼虚假域名的提醒是关键，如用户打开一个钓鱼页面，相关的插件、浏览器就能直接提示风险，这样就没有了后面骗签名的可能，把风险阻断在第一步。

2. 钱包所见即所签、交互安全识别的功能。如果钱包有骗签识别功能，能够不错的展示出用户要签名的详细信息，如授权什么、多少、给谁等人类可读数据，那么至少可以让用户一目了然的看到授权细节，建立最后一道屏障，拦住马上要掉入陷阱的用户。

3. 建立个人安全意识。任何的产品、文章、提醒都是辅助，建立自己的安全意识，在点击链接，授权、签名前都再三确认，才可以远离丢币、被骗的困扰。

总结

本文基于知名项目方推特评论区的钓鱼留言现象，解析钓鱼团伙的作案流程，希望帮助广大用户认识这一钓鱼手法，提高警惕，避免资产被盗。

最后，建议阅读慢雾出品的《区块链黑暗森林自救手册》：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md 以获取更多安全知识。