随着区块链技术和加密货币市场的快速发展,Solana作为热门公链之一,其生态系统中的钱包应用Phantom也迎来了大量用户。然而不法分子盯上了这一庞大的用户群,利用用户对安全更新的关注,推出了一系列假冒Phantom钱包安全更新的恶意活动,导致密码窃取及加密钱包被盗事件频发。这种通过空投假NFT并诱导用户下载安装恶意软件的手法,正在成为加密资产安全的新威胁。攻击者借助精心伪装的NFT通知,向Solana生态中的钱包持有者发送名为“PHANTOMUPDATE.COM”或“UPDATEPHANTOM.COM”的虚假安全更新警告。用户打开空投的NFT后,会看到提示称Phantom钱包发布了紧急更新,强烈建议用户点击内置链接或访问指定网站以完成更新,否则将面临资产被黑客盗取的风险。诸如此类恶意NFT信息具有极强的迷惑性,利用了用户对官方安全通知的信任心理,使得不少用户掉入陷阱。
访问钓鱼网站后,无论是桌面端还是手机端,系统均会自动下载一个名为Phantom_Update_2022-10-08.bat的Windows批处理文件,之前的攻击活动中也曾传播后缀为.exe的可执行文件。该批处理文件在执行时会探测当前运行权限,若未以管理员身份启动,将弹出Windows的用户账户控制提示,诱导用户给予权限。一旦用户同意,恶意批处理文件将运行PowerShell脚本,对后续命令进行解密并执行,从而在本地下载并启动一个名为windll32.exe的可疑文件。该文件通常存储在用户目录下的AppData\Local文件夹内,经过病毒检测工具确认其为密码窃取型恶意软件。该恶意软件能够收集用户浏览器的历史记录、Cookies、保存的密码,甚至包括SSH密钥和一些敏感的加密货币插件数据。虽然具体的恶意程序名称未必固定,但类似之前活跃的MarsStealer恶意软件,其能力远超一般密码窃取工具,专门针对加密货币钱包及相关二步验证插件进行信息截取。
这类攻击不仅会导致用户资金直接丢失,若攻击者获取了邮箱、交易所账户等密码,很可能造成更为严重的连锁反应,涉及其他重要金融资产和个人隐私。对于已经安装过该假冒更新的用户,首要建议是使用权威杀毒软件对计算机进行全面扫描,确保病毒完全清除。随后,应尽快将自己的加密资产从受感染的钱包转移到一个新的、未受侵害的钱包地址,同时修改与加密服务相关的所有密码,包括交易所账户、网络钱包、邮件账户等,避免黑客利用盗取的凭证展开更多攻击。在密码设置方面,强烈建议每个网站和服务均使用唯一且强度较高的密码,减少凭证泄露带来的连锁风险。同时,开启多因素认证,在可能的地方增加额外的身份验证保护,防止单一密码被破解后账户被轻易入侵。从更广泛的角度来看,此类攻击揭示了加密货币领域用户教育和安全意识的重要性。
用户在遇到任何所谓“官方通知”时,务必通过官方网站或官方社交媒体渠道确认信息真实性,切勿盲目点击来源不明的链接或下载未经验证的文件。此外,钱包开发者和平台也应增强安全设计,为用户提供更为直观且难以被伪造的更新服务提醒,甚至利用区块链的不可篡改特性来验证更新包的真伪。当前,网络犯罪分子不断升级攻击策略,类似假安全更新的社交工程手法也在其他加密钱包和服务中屡见不鲜。加密资产持有者除了保持高度警惕之外,还应定期关注安全资讯、升级系统及重要软件版本,同时备份关键数据,以防万一。综合来看,虚假Solana Phantom安全更新事件不仅暴露了用户对安全通知的过度依赖,也反映出加密货币生态中存在的巨大安全隐患。唯有通过用户、开发者与安全社区的共同努力,提升整体安全防护意识和技术水平,才能有效抵御日益隐蔽和复杂的恶意攻击,保障数字资产的安全和行业的健康发展。
。
