一位名为Princess Hypio的X用户表示，她因一名渗透Discord服务器并假装有共同朋友的诈骗者损失了17万美元的加密货币和NFT。

上个月，加密货币用户和NFT艺术家Princess Hypio告知她的粉丝们，因一名诈骗者成功说服她在Steam上与他们玩游戏，她损失了17万美元的加密货币和非同质化代币。

在与诈骗者“无意识”地玩游戏时，他们秘密窃取了她的资金，并入侵了她的Discord账户。她在8月21日的X帖子中提到，同样的策略也对她的另外三个朋友产生了影响。

这一策略实际上已经存在一段时间，被一些人称为“试玩我的游戏”诈骗，用户多年来以不同形式报告了这种诈骗案例。

Kraken首席安全官Nick Percoco在接受Cointelegraph采访时指出，这种方法已经变得越来越常见。

“试玩我的游戏”黑客攻击——工作原理

这种诈骗的加密货币版本涉及黑客加入Discord服务器或群组，潜伏以了解用户之间的交流方式，然后利用这些信息来获得信任。

黑客会询问用户是否拥有加密货币或NFT，通常伪装出有兴趣的样子，评估他们可能持有什么数字资产。在Princess Hypio的案例中，她持有一个Milady NFT，这使她成为了目标。

一旦识别出拥有加密货币的目标，黑客便会邀请受害者玩游戏，发送一个带有木马恶意软件的服务器链接，这种恶意软件允许他们获得用户设备的访问权限，从而窃取个人信息并清空任何连接的钱包。

在Princess Hypio的案例中，这一策略通过提供游戏购买的方式说服她在Steam上下载游戏。游戏本身是安全的，但托管游戏的服务器是恶意设计的。

她表示，这次攻击让她损失了17万美元的加密货币和NFT。

这一事件发生在Discord发布其欺骗性做法政策解释器的几天后，警告在社交平台上推广或实施金融诈骗是违反使用条款的行为。

“这些诈骗不是利用代码；它们利用信任。攻击者冒充朋友并施加压力，让人们采取通常不会采取的行动。”Percoco表示。

“加密货币中最大的漏洞不是代码，而是信任。诈骗者利用社区精神和好奇心来利用善意。”

他说，攻击者进入社区，学习其文化，模仿可信任的朋友，随后发起攻击。

网络安全公司Halborn的首席信息安全官Gabi Urrutia告诉Cointelegraph，这种诈骗结合了社会工程学和恶意软件，虽然不是“非常复杂”，但因其“滥用社区成员之间的信任”而显得具有潜伏性。

“这种攻击的数量不如传统钓鱼攻击那么多，但在Web3和游戏社区中愈发频繁，正是因为这些社区中存在点对点的信任以及高价值资产的混合。”他说。

“关键在于心理操纵：攻击者开始成为社区的一部分，学习俚语并伪装成朋友的朋友。”

诈骗者策略超越加密货币

今年2月，一位用户名为RaeTheRaven的用户在Malwarebytes论坛上发帖称，在他们认为是朋友的人发送链接后，他们成为了这种“臭名昭著的诈骗”的受害者。7月开始的Reddit论坛也对针对游戏玩家的诈骗进行了警告。

Percoco告诉Cointelegraph，虽然加密货币行业往往是这些诈骗的首要目标，但这种策略的影响正在扩展到各个行业。

他说，避免上当的最好方法是保持“健康的怀疑态度”，通过其他途径确认身份，避免运行未知软件，并牢记“什么都不做比采取有风险的步骤要安全。”

“如果某件事感觉匆忙、慷慨或好得令人难以置信，几乎总是会如此。不要轻信，务必验证。”

Urrutia指出，防范这种诈骗涉及一些具体的习惯，比如在签署任何东西之前先冷静思考，将权限保持在最低限度，并避免使用同一设备进行游戏和管理钱包。

“在社区方面，也有许多工作要做：限制陌生人的直接消息，验证新成员，增强安全文化。最终，最大的问题并不是技术而是文化。”他补充道。

虚假招聘活动甚至更糟

然而，Percoco还表示，虽然Discord诈骗正在上升，但目前加密货币更广泛的趋势涉及虚假招聘者。

在最近的6月案例中，与朝鲜有联系的威胁行为者针对加密货币行业的求职者，传播旨在窃取加密货币钱包和密码管理器密码的恶意软件。

“Discord冒充行为正在迅速增加，但我们当前追踪的最为普遍的趋势是虚假招聘活动，受害者被诱骗参与工作机会并点击钓鱼链接，”Percoco表示。

与此同时，Urrutia指出，Halborn监测到的最大数量的诈骗涉及盲签名、批准钓鱼和类似的攻击，但这些都是“同一理念的演进：不是通过暴力窃取秘钥，而是让用户自愿交出秘钥。”

“最近一个备受关注的案例是Bybit攻击，攻击者利用盲签名和糟糕的权限管理来清空资金。”

相关推荐：印度法院在比特币（BTC）勒索案中判处14人终身监禁