伪装成「a16z Crypto Podcast」邀请的骗局，缘何未能攻破 Cobo 防线

February 06, 2025

Blog

Developer

Blog

Developer

shareToTwitter shareToLinkedin shareToTelegram shareToCopy

一场看似与 a16z 合作的机会，迅速演变为一次精心设计的网络钓鱼攻击——幕后主谋竟是完全虚构出来的「Chris Crouser」。

网络犯罪分子手段不断翻新，网络钓鱼已成为他们惯用的伎俩，即使是最注重安全的组织也难以幸免。这些骗局通过利用知名品牌的公信力和人类心理弱点，变得越来越难以察觉，同时带来的影响也愈发深远，尤其是在像加密货币这样高风险的行业。

近日，Cobo 成功阻止了一次伪装成「a16z Crypto Podcast」邀请的网络钓鱼攻击。这起事件的意义远超一家组织的范围，也为整个 Web3 生态敲响了警钟——安全至上，刻不容缓。

了解 a16z 在加密领域的声誉

Andreessen Horowitz（简称 a16z）是 Web3 领域最具知名度的机构之一，其投资涵盖了 Uniswap 和 OpenSea 等知名项目，并通过其播客邀请了以太坊创始人 Vitalik Buterin 和 Solana 创始人 Anatoly Yakovenko 等行业领袖参与。

这种良好的声誉使 a16z 成为网络钓鱼攻击的理想掩护。打着 a16z 旗号的邮件不仅看似可信，更是一种策略，利用了加密行业内的信任机制。

这一事件凸显了 Web3 领域更为广泛的安全漏洞。随着行业的快速增长，托管机构、交易所和区块链项目需要从被动的安全措施转向主动防御的安全策略。在 Cobo，安全是全公司上下共同的努力，每个人都通过提高安全意识、加强协作和保持警惕，为保护资产安全贡献力量。

网络钓鱼攻击的过程解析

第一步：初始邀请

这次网络钓鱼攻击始于一封来自「Chris Crouser」的电子邮件，此人声称代表 a16z Crypto Podcast。邮件内容精心编排，极具说服力，不仅提及了过往的播客节目，还提出了一个极具诱惑的邀请——成为节目嘉宾。

攻击者策略经过精心设计：

借势权威：a16z 的名号瞬间就营造出了信任感。
投其所好：邀请对方登上知名播客，正好迎合了人们的自尊心和职业抱负
制造真实性：发件人的网络形象看似可信，甚至还有活跃的 Twitter 账号和一定数量的关注者。
模仿专业性和熟悉感：钓鱼邮件附上了 Calendly 预约链接和真实的 a16z 网站，层层伪装，以打消收件人疑虑。

这种高水平的精细化操作在网络钓鱼活动中正变得越来越普遍，攻击者细致地模仿受信任机构的口吻和专业性，以提升其骗局的成功率。

第二步：可疑的平台切换

就在预定的 Google Meet 开始前几分钟，「Chris」突然提出将会议平台切换至一个名为 Otox 的工具——这是我们团队此前从未听说过的平台。尽管在节奏快速的行业中，临时更改平台并不罕见，但这种执意更换的举动立刻引起了警觉。

当我们团队对此提出质疑时，「Chris」声称 Otox 是他们唯一可用的选项。这种坚持，加上该平台的陌生性，使我们对其意图产生了进一步的怀疑。

第三步：对 Otox 的调查

我们的安全团队立即对 Otox 展开调查，发现了多个可疑之处：

初看似乎可信：钓鱼邮件来自域名 a16zpodcast.com，这一域名与真实的 a16z 品牌极为相似，但实际上与官方 a16z 域名没有任何关联。为增强可信度，Otox 还运营了一个注册于 2021 年 2 月的 Twitter 账号，拥有近 8 万粉丝，营造出一种可信度高且运营已久的假象。
表面可信度被戳穿：尽管 Otox 在社交媒体上看似正规，但进一步调查发现，其域名是近期注册的，在网络上没有任何过往记录或既定的线上影响力。
虚假互动：Otox 的社交媒体活动十分表面化，内容大多为通用的转发帖子，几乎没有真实的用户互动，这进一步削弱了其可信性。
被威胁情报标记：安全平台将 Otox 软件标记为潜在恶意软件，增加了更多的安全隐患。

尽管该平台乍看正规，但我们团队保持警觉，坚守安全原则，最终发现了这些破绽。调查结果证实了我们的怀疑：Otox 是恶意攻击的工具。

第四步：迅速应对

尽管我们早早察觉可疑迹象，没有落入骗子的圈套，但仍秉持谨慎原则，严格遵循安全规程：

停止沟通：我们立即中断了与发件人的所有联系，并拒绝使用 Otox 平台。
设备隔离：将员工的笔记本电脑隔离，以确保在交互过程中未被下载任何恶意软件。
事件记录：将此次钓鱼攻击记录在案，用于内部警示和安全培训。

最终，没有数据或资产受损。

钓鱼攻击的风险不仅限于盗取凭证，它常常是勒索软件攻击的前奏，可能带来更高的代价。在高价值的加密行业中，加强教育和实施强有力的预防措施，对于保护资产安全与用户信任至关重要。

网络钓鱼与勒索软件之间的隐藏联系

网络钓鱼攻击的目标不只是获取用户凭证，它们还为勒索软件打开了方便之门。勒索软件堪称网络犯罪分子手中最具 “吸金” 能力的工具之一。2023 年，由网络钓鱼活动引发的勒索软件攻击共勒索了超过 10 亿美元的加密货币支付，凸显了这类相互关联的威胁所带来的毁灭性影响。

网络钓鱼如何助推勒索软件攻击

网络钓鱼通过社会工程学手段，诱使个人泄露凭证或点击恶意链接，为勒索软件的入侵创造条件。一旦勒索软件被安装，后果可能包括：

文件和系统被锁定：攻击者会加密关键数据，使其在没有解密密钥的情况下无法访问。
采用双重勒索策略：攻击者可能窃取敏感数据，并威胁若不支付额外赎金，就将数据泄露出去。

网络钓鱼在加密行业中的深远影响

1. 加密企业为何成为网络钓鱼的首要目标？

加密货币行业的结构和运营特性，为网络钓鱼攻击者提供了独特的机会：

高价值资产：加密公司管理着数万亿美元的资产，仅 2024 年，网络钓鱼攻击就导致超过 10 亿美元的资产被盗。
匿名性：区块链系统的匿名性质使黑客更容易隐藏身份，并通过复杂手段洗白被盗资金，加大了追回被盗资产的难度。

这些因素为网络钓鱼攻击者提供了肥沃的土壤，他们通过攻击人性的弱点而非技术漏洞，绕过传统的安全措施。

2. 网络钓鱼与技术漏洞攻击的对比

与技术漏洞攻击需要高昂的资源投入相比，网络钓鱼利用低成本且可大规模实施的心理操控，因而成效显著。

最新数据显示，网络钓鱼在加密行业中日益占据主导地位：

高昂代价：根据 CertiK 数据，2024 年加密相关犯罪总损失高达 23.6 亿美元，其中近一半由网络钓鱼造成，成为加密行业最昂贵的攻击手段。
攻击手段复杂：《Chainalysis 2024 年加密货币犯罪报告》显示，仅授权网络钓鱼诈骗在 2023 年就造成了 3.74 亿美元的资金被盗，这表明此类社会工程学在利用人们信任方面十分有效。
Wallet Drainer 攻击：这种网络钓鱼策略通过伪造或遭篡改的网站模仿可信平台，诱骗用户暴露私钥或签署恶意交易。2024 年，此类攻击从 30 多万个钱包地址盗走了 4.94 亿美元。
影响范围更广：FBI 报告指出，2023 年与加密相关的诈骗造成的损失激增 45%，全球总计超过 56 亿美元。这些诈骗手段包括庞氏骗局、虚假代币发行以及针对投资者的网络钓鱼活动。

保护数字资产免受网络钓鱼和勒索软件威胁

对于交易所和数字资产管理机构来说，一次针对员工的网络钓鱼攻击可能导致数字资产被未授权访问，危及公司的生存。不过，诸如钱包即服务（WaaS）和 MPC 等先进的托管解决方案，可以通过以下措施，有效防御这些不断演变的风险：

消除单点故障：MPC 将私钥分割成多个分片，分发给不同的参与方，确保任何一处都不存在完整的私钥。这种架构大幅降低了未经授权访问的风险，即便某一方遭到攻击也无妨。
抗网络钓鱼架构：MPC 确保完整的私钥不会在单个位置重构，使针对个体员工的网络钓鱼攻击无法得逞。
精细化风险控制：WaaS 实施基于角色的权限设置、交易策略以及多层审批流程，杜绝未经授权的操作。
强化身份验证机制：WaaS 集成了生物识别、基于时间的访问控制等高级验证方法，进一步强化安全性。
持续监控与警报：实时监控和异常检测能够在可疑活动升级前识别并阻止它们。
合规与报告：WaaS 确保符合行业标准，并提供审计记录，将风险降至最低并满足监管要求。

通过综合运用这些措施，WaaS 和 MPC 不仅能解决当下的安全隐患，还能助力打造一个更具韧性、更值得信赖的加密生态系统。

应对不断演变威胁的主动措施

此次网络钓鱼攻击再次凸显了采用多层安全防护策略的重要性。对于组织，尤其是管理大量资产与交易的托管平台而言，以下关键策略有助于在日益复杂的威胁面前保持领先：