上个月,加密货币用户和NFT艺术家Princess Hypio向粉丝透露,她因一名诈骗者诱骗其在Steam平台共同游戏,损失了价值17万美元的加密货币及非同质化代币。
她在“无意识状态下”与诈骗者游戏期间,对方暗中窃取其资金并入侵了她的Discord账户。她在8月21日发布的X推文中表示,同样的手法也被用于针对她的三位朋友。
图片来源:Princess Hypio
事实上,这类被称为“试玩我的游戏”的诈骗手段已存在多时,多年来用户以不同形式持续报告此类事件。
Kraken首席安全官Nick Percoco在接受Cointelegraph采访时指出,这类攻击方式正变得越来越普遍。
“试玩我的游戏”骗局——运作机制解析
这类加密货币骗局通常包括黑客潜入Discord社群,长期潜伏以掌握用户交流方式,再利用这些信息建立信任。
随后,黑客会以看似友好的方式询问用户是否持有加密货币或NFT,借机评估其数字资产价值。例如,Princess Hypio因持有一枚Milady NFT而成为目标。
在确定目标后,黑客会邀请受害者试玩游戏,并通过发送带有木马病毒的服务器链接,获取用户设备权限,进而盗取个人信息并清空关联钱包。
Princess Hypio遭遇的骗局中,对方以赠送Steam游戏为诱饵,诱使她下载游戏。虽然游戏本身是正规的,但托管游戏的服务器却藏有恶意程序。
她表示,这次攻击导致其损失高达17万美元。
事件发生仅隔数日,Discord刚发布其反欺诈政策说明,明确禁止在平台上进行金融诈骗行为。
“这类骗局并非利用技术漏洞,而是利用信任。攻击者冒充好友,并通过施压使用户做出非理性行为,”Percoco强调。
“加密货币领域最大的漏洞并非代码,而是人与人之间的信任。诈骗者正是利用社区精神与用户的好奇心实施欺诈。”
他进一步解释,攻击者往往会深入社群内部,模仿可信成员的行为模式,再发起精准攻击。
网络安全公司Halborn首席信息安全官Gabi Urrutia向Cointelegraph表示,此类骗局结合了社会工程学与恶意软件,虽技术层面不算极高明,但因“滥用社群成员间的信任”而极具隐蔽性。
“尽管在规模上不及传统钓鱼攻击,但这类骗局在Web3和游戏社群中日渐猖獗,这些社群普遍存在点对点信任机制与高价值资产流通,”他补充道。
“关键在于心理操控:攻击者通过融入社群、学习俚语,并伪装成‘朋友的朋友’以获取信任。”
诈骗策略已超越加密货币领域
今年2月,一位名为RaeTheRaven的用户在Malwarebytes论坛发帖称,自己因点击“好友”发来的链接,成为同类“知名骗局”的受害者。7月,Reddit论坛上也出现多起针对游戏玩家的类似诈骗警告。
另一名用户于7月遭遇同类诈骗,最终导致勒索软件攻击。图片来源:Malwarebytes
Percoco指出,尽管加密货币行业常率先遭遇这类诈骗,相同策略已开始向其他领域蔓延。
他建议用户保持“健康的怀疑态度”,通过多渠道验证对方身份,避免运行来源不明的软件,并谨记“不行动比冒风险更安全”。
“若某件事显得匆忙、过于慷慨或好得不真实,它很可能就是骗局。不要轻信,务必验证。”
Urrutia则认为,防御此类诈骗需培养具体安全习惯,例如签署任何内容前保持警惕、最小化系统权限、避免在同一设备上进行游戏和钱包管理。
“社群也需共同努力:限制陌生人私信、严格审核新成员、加强安全文化建设。归根结底,最大挑战并非技术问题,而是文化认知,”他总结道。
虚假招聘诈骗更为猖獗
然而Percoco还提到,尽管Discord诈骗正在增加,目前加密货币领域更广泛的威胁来源于虚假招聘活动。
在6月的一起事件中,与朝鲜有关的黑客组织通过虚假招聘诱饵,向加密货币求职者发送恶意软件,意图窃取钱包和密码管理器信息。
“Discord冒充诈骗虽然增长迅速,但我们目前监测到最广泛的趋势仍是虚假招聘——受害者被高薪职位吸引,误点击钓鱼链接,”Percoco表示。
与此同时,Urrutia透露Halborn观察到最多举报的诈骗涉及盲签名、授权钓鱼等手法,但它们本质是“同一核心的演变:不是强行盗取密钥,而是诱使用户主动交出其权限”。
“近期Bybit遭攻击事件即为典型,黑客通过盲签名和权限管理的漏洞清空了用户资产。”
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/37238.html
