近期，多个加密项目的社交媒体账号频遭受黑客攻击，尤其是 Discord 社区和 X（原 Twitter）账号，这些平台作为项目与用户沟通的重要渠道，成为黑客的主要目标。受害项目包括 1inch、Orderly Network、Sei、Avalanche、 ZKsync 以及 Polygon 等。此外，黑客还攻击了特朗普家族成员、足球明星姆巴佩和 NBA 球星 Jaylen Brown 的社交媒体账号。

这些攻击带来严重影响，如 Polygon 官方 Discord 遭入侵后，一名用户损失了高达 15 万美元的 ETH。为有效防范此类攻击并保护资产，本文将分析常见攻击手段并提供防护措施。

黑客常见攻击手段及高发时段

黑客通常利用钓鱼攻击、软件漏洞和社会工程学手段获取账号控制权。获取控制权后，黑客通常会冒充官方账号发布虚假公告，声称正在进行空投活动，诱导用户点击恶意链接或下载伪造应用，以及向用户发送欺诈信息。

尤其是在项目主网启动、代币发行或空投临近等关键时期，黑客活动频率激增。这些时期，用户急于参与，容易忽略信息的真实性，从而上当受骗。如果用户不慎点击恶意链接并在钱包中签名授权，可能会授予黑客转移代币的权限，甚至面临设备被植入恶意程序的风险。

典型案例

1. Avalanche：首席运营官 Luigi D'Onorio DeMeo 被钓鱼攻击

8 月 19 日，Avalanche 的开发公司 Ava Labs 首席运营官 Luigi D'Onorio DeMeo 因误点了伪造的密码更改链接，导致其 X 账户被盗。随后，黑客利用该账户发布了名为 $PIKA 的虚假代币发行信息。

2. Discord 连环攻击

在 Polygon Discord 被攻击后不到 48 小时，Avalanche 和 ZKsync 的 Discord 服务器在短时间内也相继遭遇类似攻击。黑客发布了虚假的 $ZK 的第二轮空投领取链接，诱骗用户点击。

项目团队的安全建议

对于项目团队来说，保护自己官方账户的安全至关重要。为此，项目团队可以采取以下措施预防攻击：

• 实施强密码策略并定期更改密码。
• 启用双因素身份验证（2FA）。
• 限制账户访问权限，确保只有核心团队成员管理账户。
• 定期审查和更新使用的第三方应用和集成，防止潜在漏洞。
• 制定应急响应计划，在发生攻击时能迅速采取行动，并及时通知社区。

用户的安全建议

对于用户来说，保持警惕至关重要。以下是保护资产安全的一些关键措施：

• 信息验证：对所有来自官方渠道的公告保持警惕，尤其是涉及空投或要求立即行动的信息。建议通过多个官方渠道（如官网、X、Medium 等）交叉验证信息，而不是仅依赖单一渠道。
• 操作安全：点击链接前应仔细检查 URL 确保来源可靠，避免在不明链接上进行钱包授权。不要下载来源不明的应用程序，定期更新软件和系统，防范已知的安全漏洞。
• 资产管理：建议采用软件钱包和硬件钱包结合的方式存放资产。imToken 等去中心化钱包由用户自行管理助记词和私钥，可以提供额外的安全保障。
• 保持冷静：诈骗者常利用人们的恐惧和贪婪心理，如果某个提议过于诱人，很可能就是骗局。

在加密货币领域，用户是自身资产安全的第一责任人。保持警惕，多方验证，是避免成为网络攻击受害者的关键。鉴于攻击手段的不断进步，持续学习安全知识也同样重要。