近年加密社区与开源生态频繁成为钓鱼与社工攻击目标。最近一次引发广泛关注的事件,围绕名为 Paradigm 或 PD25 的"公告"邮件与 GitHub 通知,导致大量用户收到仿冒通知并被诱导访问恶意链接。尽管许多接收者并未直接与该组织互动,但通知的传播速度和持续骚扰暴露了平台通知机制与用户警觉性之间的薄弱环节。本文将从事件回顾、技术原理、风险评估、预防策略以及被攻击后应采取的补救措施等方面,系统介绍如何面对类似的 GitHub 与 Paradigm PD25 诈骗。 事件回顾与传播路径 受害者普遍报告收到一封伪装成 Paradigm 或与 PD25 相关的"公告"邮件,邮件中带有指向 grants.paradigm.xyz 或其他变种域名的链接,内容似乎与加密项目资助或空投相关。这类信息利用受信任品牌的名义,提高打开率与点击率。
许多用户在未认真核实的情况下点击了链接,进入一个看起来正常的网页,页面往往鼓励用户通过 MetaMask、WalletConnect 等第三方钱包"连接钱包"或签署"授权/同意"。真正的危害往往来自于签名请求,而不是简单的连接。 社交传播进一步扩大影响。受影响用户在 GitHub 社区讨论区、通知列表或邮件中相互提醒,导致大量@提及与重复警告充斥社区讨论,这虽然有助于提醒他人,但也造成了通知泛滥与误报。事件中还暴露出另一个问题:即使 GitHub 删除了恶意组织或仓库,已经发送的通知仍可能在用户界面或邮件中残留,部分用户无法通过常规 UI 清除这些通知,从而进一步引发困扰。 技术原理与风险解释 所谓"连接钱包"与"签名"的区别至关重要。
连接钱包通常只是建立前端与钱包的通信通道,允许网页读取公开地址与查询链上数据。签名请求则可能包含两类:一种是数据签名(非交易签名),通常用于登录或验证身份;另一种是交易或合约交互签名,可能授予智能合约以代币转移或花费权限。攻击者最狡猾的做法是将恶意操作隐藏在貌似正常的签名提示中,诱导用户批准一个"签名以获取空投"或"同意协议"的请求,而签名本身包含的实际授权可能允许合约代表用户转移代币或批准代币授权。 钱包如 MetaMask 会在签名提示中展示合约地址与方法,但普通用户往往忽略这些细节。许多攻击利用了用户对"签名"语义的不理解以及对知名品牌的盲目信任。通过拥有恶意合约地址的交易签名,攻击者能够授权合约调用 ERC-20 的 approve 方法,从而让合约有权将受害者账户中的代币转移到攻击者地址。
一旦授权生效,攻击者可以在链上执行转移,受害者很难追回资金。 如何识别与验证可疑通知或邮件 首先核实邮件与网站域名。合法组织的公告通常来自品牌官方域名,不应存在拼写错误或变体域名。若邮件中链接与展示的域名不一致,或跳转到非官方域名,应立即停止交互。查看邮件头与发件人信息,警惕仿冒发件地址或看似官方的次级域。 其次,对任何要求连接钱包或签名的页面保持高度怀疑。
确认请求的目的与签名文本。签名提示中若出现 approve、setApprovalForAll、permit 或包含大量十六进制数据,需谨慎处理。常见的钩子内容包括授权合约对代币的花费权限、签署任意消息以更改链上状态、或调用转账相关的方法。 再次核实在社交媒体或社区看到的"官方"信息是否来自品牌官方账号。攻击者常用伪造页面或仿冒邮箱伪装官方通知,同时利用社交工程制造紧迫感,如限定时间或名额,促使用户忽视安全检查。 预防措施与安全习惯 养成在任何钱包签名前阅读提示的习惯。
即便提示难以理解,也要注意是否包含授权代币转移、是否为交易类型签名与目标合约地址。不要在公共或不受信任的 Wi-Fi 网络上进行钱包操作。将高价值资金分散到不同钱包,并为日常小额操作准备冷钱包或热钱包隔离。 使用硬件钱包大幅降低被动签名攻击的风险。硬件钱包在签名时会在设备屏幕上显示交易或签名详情,用户可在离线环境下确认每笔操作。养成仅在经过验证的网站或通过官方渠道授权的合约签名的习惯。
不要通过陌生链接导入助记词或私钥,任何要求导入助记词的页面几乎可确定是诈骗。 定期检查并收回已授权的合约权限。链上代币授权可以在 Etherscan 的 Token Approval 页面、或者第三方工具如 revoke.cash、wallet.privacytools.io 等平台上查看并撤销。对已授权但不再使用的合约进行权限撤销,将减少后续被动被清空的风险。保持钱包软件与浏览器插件更新,避免已知漏洞被利用。 如何处理已点击恶意链接或误签名的情况 如果你只是点击了链接但未连接钱包或签名,一般不会直接丢失资产,但仍应提高警惕,并避免在该设备上继续使用钱包登录或导入密钥。
清理浏览器缓存与扩展,确保没有留下恶意扩展或后门。如果你已连接钱包但未签名,断开连接并在钱包权限页面撤销任何可疑的站点访问权限。 若不幸签署了可能授权代币转移的请求,应立即在链上查询是否有 approve 或授权记录。通过 Etherscan 或链上浏览器查看账户的内部交易和合约授权。若发现恶意授权,优先撤销该合约的权限,撤销后再将剩余资产转移到一个新地址,并尽可能使用硬件钱包和多重签名来保护新地址。 如果任何资金被转走,应及时向交易所、托管方或相关服务报告并提供链上交易证据。
尽管链上交易不可逆,但有时可协助追踪资金流向并在某些交易所处置可疑资金时提供线索。向社区和平台报告也是重要步骤,以便其他用户及时获知风险并减少事件扩散。 GitHub 上的通知残留与清理方法 事件中许多人遇到的问题并非直接资金损失,而是 GitHub 通知残留,造成长期烦扰。GitHub 的通知系统有时会在组织或仓库被删除后继续显示历史通知,某些情况下无法通过标准 UI 清除。技术上可以使用 GitHub CLI 或 API 来批量标记和删除通知。使用 gh(GitHub CLI)可执行如下命令将所有通知标记为已读:gh api --method PUT /notifications。
若需删除特定通知线程,可先用 gh api /notifications 获取通知列表并找到目标线程 ID,然后执行 gh api --method DELETE /notifications/threads/{notification_id} 来将其从侧栏与界面中移除。另一个方法是使用 gh api /notifications?all=true 来列出所有通知并进行更精细的筛选与删除。 如果不熟悉命令行,可在 GitHub 的帮助中心或社区讨论中查找 GUI 解决方案,或联系 GitHub 支持请求协助清理。对于普通用户,避免在收到可疑通知时频繁在讨论区大范围@提及,因过度提醒可能导致通知泛滥并干扰他人。 社区与平台应对措施建议 平台需改进对大规模钓鱼通知的识别与拦截机制,增强对发件域名与邮件内容的自动验证,同时为用户提供更便捷的清理工具。GitHub 等平台可以在检测到大规模仿冒或钓鱼事件时主动向受影响用户发送后续安全说明与操作建议,而不是仅在事件发生后留下混乱。
对于品牌方与大型加密基金,建议公开渠道发布多处验证信息(官网公告、社交媒体蓝勾账号、镜像链接),并在遇到诈骗时第一时间通过官方渠道澄清,减少误导。 作为开发者和加密用户,需要把安全意识嵌入常规流程。从团队层面建立规范,例如使用受信任的合约审计、对外发起活动时通过多个验证渠道公布详情、在官方邮件中使用 DKIM/SPF 等邮件安全措施以防止仿冒。定期在团队内部和社区开展安全教育,教会成员识别常见骗局,提高整体免疫力。 结语 Paradigm PD25 等诈骗事件提醒我们,名气与权威并不能自动带来安全,攻击者会利用用户对权威品牌的信任与人性的急于得利来设计陷阱。对技术有基本认识的开发者也会犯错,关键在于建立多层防护:从个人操作习惯、钱包管理、合约权限审查,到平台的系统防御与事件响应。
遇到可疑邮件和通知时,第一反应应当是核实与中止,而不是盲目点击与签名。若不幸受损,及时采取链上撤销、资金转移与向平台报备等补救措施,既能尽量挽回损失,也能帮助社区尽早识别与应对新的攻击手法。 持续关注官方渠道发布的安全通告,养成定期检查合约授权与使用硬件钱包的习惯,可以在数字资产管理中起到决定性保护作用。面对 GitHub 与 Paradigm PD25 这类跨平台的钓鱼活动,冷静、谨慎与快速响应是最有效的防线。 。
