2025年10月1日,BNB Chain的官方X(前Twitter)账号遭劫持并被用来发布多个钓鱼链接,引发加密社群的高度警觉。币安创始人赵长鹏(CZ)在第一时间通过社交平台提醒用户不要点击或与这些恶意帖子互动,强调这些链接会以WalletConnect授权提示为诱饵,试图骗取用户连结钱包并签署交易。大型链条官方账号被入侵的事件再次将加密行业的社交媒体安全与钱包防护议题推上台面。事件经过与影响 事件发生后,BNB Chain团队迅速与社交平台X及安全合作伙伴沟通,提交了钓鱼站点下线请求,并在8:26 UTC左右成功夺回官方账号控制权。安全公司SlowMist的首席信息安全官23pds指出,攻击者使用域名字符替换的经典钓鱼手法,将字母"i"替换为相似字符"l",以便让钓鱼域名在肉眼上更接近真实域名,从而增加欺骗成功率。SlowMist还表示,这些域名与臭名昭著的Inferno Drainer群体有关。
根据BNB Chain团队提供的初步统计,共有10个恶意链接被发布,导致了约8000美元的损失,受影响用户将得到全额赔偿。官方声明中称,团队正在与安全伙伴调查根本原因,并在核实后会公布更多细节。为什么WalletConnect成为攻击目标 WalletConnect作为去中心化应用与钱包连接的通用协议,广泛用于Web3生态中。其便捷性也被不法分子利用:攻击者通过伪造的DApp界面或钓鱼站点诱导用户通过WalletConnect扫码或签署交易,从而窃取私钥控制的钱包内资产。与传统通过输入私钥的钓鱼不同,WalletConnect类钓鱼通常诱导用户签署恶意交易或批准合约提取权限,用户在不察觉的情况下便可能授权对方转移资产。Inferno Drainer与钓鱼即服务平台 Inferno Drainer自2022年兴起并在2023年声名狼藉,它提供"钓鱼即服务"的工具包,使攻击者可以快速部署高度相似的钓鱼页面,仿真程度高,易造成大量用户误判。
Inferno平台的优势对攻击者来说恰恰成为传播速度与效率的关键,因此当官方渠道被劫持用于推广这类钓鱼页面时,影响会被放大。域名混淆的手法、仿真UI以及即时发布的社交媒体流量相结合,形成了高效的攻击链条。社交媒体账号被劫持的常见途径 与官方账号有关的安全事件往往源自多种失误或漏洞的叠加。常见情况包括但不限于团队成员个人账号被入侵导致权限被滥用、账号登入凭据被泄露或弱口令问题、第三方管理工具或API密钥被滥用、内部流程或权限划分不严以及社交平台本身的认证或恢复机制存在时间差。在本次BNB Chain事件中,官方尚未公布确切的入侵细节,但SlowMist点出安全意识不足的可能性,提示项目方需要重审社交账号管理与权限控制。用户与项目方应如何防范此类钓鱼风险 对普通用户而言,识别与避免WalletConnect类钓鱼的首要原则是始终核验域名与签名请求细节。
不要通过陌生或不完全可信的链接连接钱包;即便链接来源看似来自官方或已验证账号,也要逐字核对域名,注意字符替换,例如将"i"换为"l"、使用相似的Unicode字符或在子域名中插入误导性字符串。签署任何交易或授权合约前,应仔细阅读签名请求显示的函数名称、参数与转账目标地址,若看到approve或setApprovalForAll等高权限调用而场景与操作不符则应立即拒绝并断开连接。使用硬件钱包可以显著提高安全性,因为硬件钱包在签名时会在设备屏幕上显示交易摘要,用户可在物理设备上确认细节,避免纯软件钱包被恶意页面误导。启用并优先使用硬件钱包进行高价值或频繁操作。对项目方与社区管理者的建议包括强化社交平台账号的多重保护措施,如强制使用企业级双因子认证(2FA)、将账号管理权限最小化并仅授予必要人员、定期更换并审计第三方API密钥与管理工具权限。建立明确的应急响应机制和沟通流程,在账号被异常访问时能迅速冻结发布权限并通过多个官方渠道发布澄清与安全提示,避免更多用户受害。
项目方还应定期接受第三方安全评估与入侵演练,包含社交工程测试与仿真钓鱼演练,以提高团队对社交媒体钓鱼攻击的识别与响应能力。平台方与行业层面的责任 社交平台在官方账号认证、异常检测与滥用快速处置方面有重要职责。平台应持续改进对高关注度账号的保护措施,提供更严格的企业认证路径、异常登录警报以及对敏感操作的多重验证流程。与此同时,平台需与区块链项目、交易所及安全公司建立更高效的沟通渠道,以便在发生账号被劫持时能尽快下线恶意链接并限制传播。行业层面也需要加强关于钓鱼域名与恶意合约的共享机制,安全厂商应将已知的Inferno Drainer及类似钓鱼模板库列入黑名单并与证书颁发机构和域名注册商协作加速恶意域名的处置。技术层面防护建议 与社交安全配合,技术手段也能减轻WalletConnect类钓鱼的风险。
例如在WalletConnect协议与钱包实现中增强对发起方域名的可视化与验证提示,强化签名请求的可读性与警示信息,可以降低用户在识别授权风险时的认知负担。钱包厂商可探索对高风险方法调用实行交互式提示或拒绝机制,对不寻常的合约授权请求提出更严格的二次确认流程。此外,推行交易签名的"白名单"功能,让用户为常用DApp设置可信列表,减少重复操作时的滑点风险。教育与意识提升是长期工作 技术和制度固然重要,但在面对变化迅速的钓鱼手段时,用户教育与持续的意识培训是关键防线。社区与项目方应经常发布识别钓鱼的指南,举办线上线下安全讲座,示范如何核对域名、如何查看交易签名详情以及如何使用硬件钱包和恢复助记词的安全存储方法。对于初学者而言,理解"不会在任何场景下被要求提供助记词"的基本规则、有意识地避免在社交媒体链接中直接连接钱包、以及练习在仿真环境中读取签名请求,都能显著降低上当受骗的概率。
受害后的补救步骤 若不幸与钓鱼站点交互并批准了恶意交易,受害者应立即断开钱包连接并转移未被控制但仍可操作的有价值资产到安全钱包,同时将受损钱包地址与可疑合约提交给安全厂商或白帽社区以进行快速分析。若发现合约授权被滥用,应优先通过区块链浏览器和钱包的"revoke"功能或通过治理工具撤销不必要的批准。项目方的赔偿承诺在本事件中对降低用户损失起到了积极作用,但补偿并非万能且可能涉及复杂的核验流程,因此预防始终优先于事后补救。法律与监管视角 随着加密行业的成熟,监管机构也在关注社交媒体欺诈与网络安全事件的影响。账号被劫持导致大规模经济损失的案例,可能促使监管对数字资产平台、项目方及社交平台施加更严格的安全合规要求。这或将推动行业标准化安全实践的建立,包括对高影响力账号的保护要求、违规处置时限以及信息披露义务。
结语 BNB Chain官方X账号遭劫持并传播WalletConnect钓鱼链接的事件,再次提醒整个加密生态在享受去中心化创新便利的同时,必须对中心化社交渠道与用户端的安全风险保持高度警惕。无论是普通用户、项目方,还是社交平台与监管机构,都需要共同承担起防护责任。通过强化社交账号管理、提高用户钓鱼识别能力、在钱包客户端和协议层面加强签名与域名验证、以及建立更快速的跨平台处置机制,可以在未来减少类似事件的发生频率与影响范围。在快速变化的网络环境中,安全不是一次性的投入,而是持续的实践与迭代。面对钓鱼与Social Engineering威胁,最可靠的防线来自于技术手段与人类判断的双重协作。 。
