Pudgy World 被仿冒!Malwarebytes 警告釣魚網站竊取錢包密碼
網路安全公司 Malwarebytes Labs 週二發出緊急警告,一個以「pudgypengu-gamegifts[.]live」為域名的虛假網站,正在冒充 3 月 10 日剛上線的 Pudgy World 瀏覽器遊戲,試圖竊取加密貨幣錢包密碼。
釣魚攻擊的精密手法:複製 11 款錢包介面
Malwarebytes 高級惡意軟體研究工程師 Stefan Dasic 在報告中詳細說明了此次攻擊的設計邏輯。Pudgy World 的部分功能(如驗證 NFT 物品所有權或解鎖遊戲內容)需要玩家連接加密錢包,攻擊者正是針對這一合理步驟展開欺騙:
「釣魚網站就是在利用這一操作流程。當訪客在假網站上選擇自己的錢包時,頁面會顯示一個看似是該錢包自身解鎖介面的畫面。對用戶而言,它看起來完全就像他們已熟悉、已信任的真實加密錢包軟體。」
Dasic 還指出,此次攻擊在技術資源上相當驚人——攻擊者製作了針對 11 款不同錢包的 UI 仿製介面,幾乎沒有任何錢包是攻擊盲點。無論用戶持有的是以太坊(Ethereum)、Solana 還是多鏈資產,都能收到高度逼真的偽造錢包解鎖介面。他認為,製作 11 套錢包 UI 偽造程序「並非易事」,這表明背後可能是「資源充足的威脅行為者」,或者是重複使用了專為此類攻擊設計的商業釣魚工具包。
Pudgy World 的品牌背景與安全風險交叉
Pudgy World 是基於 Pudgy Penguins NFT 品牌推出的免費瀏覽器遊戲,玩家可以探索虛擬世界、自訂企鵝頭像並完成任務。自 2022 年 CEO Luca Netz 收購以來,Pudgy Penguins 已從單純的 NFT 收藏系列擴展為涵蓋零售產品、手機遊戲和網頁遊戲的消費品牌。
然而,Pudgy Penguins 此前便已遭受類似攻擊。2024 年 12 月,區塊鏈安全公司 Scam Sniffer 警告,攻擊者曾利用惡意 Google 廣告冒充 Pudgy Penguins 平台,誘騙用戶連接錢包。研究人員指出,這類攻擊通常伴隨著高知名度 NFT 項目的重大事件而出現,新用戶的湧入提供了最有利的攻擊時機。
防護建議:如何避免成為受害者
Malwarebytes 針對 Pudgy World 用戶提出了以下具體防護措施:
僅透過書籤訪問官方網站:避免透過搜尋引擎或社交媒體連結進入遊戲
警惕錢包密碼提示的出現位置:合法的錢包密碼提示永遠不會出現在網頁內容中;若頁面要求在瀏覽器內輸入錢包密碼,應立即停止操作
不點擊私訊或社群媒體中的連結:加密項目的官方連結應從官方 Twitter/X 或 Discord 的置頂信息取得
已輸入憑證的緊急應對:若在可疑網站輸入了錢包憑證,應立即更改錢包密碼;若懷疑錢包已遭盜用,應考慮將資產轉移至全新的錢包地址
常見問題
如何確認自己訪問的是正版 Pudgy World,而非假冒網站?
核實方法包括:對比域名與 Pudgy Penguins 官方網站的域名是否完全一致(注意任何多餘字符或連字符);從官方 Twitter/X 或 Discord 渠道直接取得遊戲連結;以及使用書籤收藏已確認的官方地址,而非每次透過搜尋引擎重新查找。
為什麼攻擊者選擇在新遊戲上線後立即行動?
Malwarebytes 的 Stefan Dasic 指出,攻擊時機是蓄意設計的——新遊戲上線期間會吸引大量剛接觸加密錢包的新用戶,他們對「遊戲要求連接錢包」這一操作尚不熟悉,更容易放鬆警覺。同時,新遊戲的搜索量激增也使得假冒網站更容易出現在搜索結果的前列。
FBI 數據顯示 2024 年釣魚詐騙損失超過 7,000 萬美元,加密貨幣用戶有多大風險?
FBI 網路犯罪投訴中心(IC3)統計,2024 年共收到 193,407 起釣魚和欺騙詐騙投訴,通報損失超過 7,000 萬美元,這還不包括大量未被舉報的案例。加密貨幣用戶因資產的匿名性和不可逆性,往往面臨更高的風險——一旦資產被轉移至攻擊者控制的地址,幾乎沒有任何途徑可以追回。
相關文章