黑客正采用“ClickFix”攻击手法冒充风险投资公司进行加密货币诈骗 | 加密百科深度分析

加密百科独家解读

这件事本质上是一场“心理+技术”的组合拳骗局，专门针对加密货币领域的新手和老手。我们可以把它拆解成三个关键部分来理解：

第一层：披着“贵人”外衣的钓鱼

黑客不再广撒网发垃圾邮件，而是进行了精准伪装。他们冒充SolidBit这类知名的风险投资公司，在LinkedIn这样的职业社交平台上寻找目标。想象一下，一个看似专业的投资人主动联系你，讨论项目或投资机会，这会让很多人放松警惕。这种利用权威身份和职业平台进行的诈骗，成功率远高于普通垃圾邮件。

第二层：“ClickFix”攻击——让你自己动手装病毒

这是本次攻击最阴险的技术核心。骗子不会直接给你发一个可疑的.exe文件（那种很容易被防病毒软件拦截），而是发一个会议链接（比如假冒的Zoom、Teams链接）。当你点击后，页面会指导你“修复”一个所谓的“软件问题”或“为了顺利加入会议”，要求你在电脑上复制粘贴一段特定的代码（命令）并执行。

这段代码就是恶意指令。关键点在于：是你自己亲手在电脑上运行了它。 这就巧妙地绕过了大多数安全软件的自动防护，因为你的操作被系统视为“用户主动行为”。这就像骗子骗你亲手把家里的门锁拆掉，而不是他们自己来撬锁。

第三层：扩展程序被“策反”，钱包直接暴露

攻击的另一个重点是Chrome浏览器扩展程序“QuickLens”。这种工具本身可能是合法的（例如用于截图、识别等），但被黑客通过恶意代码劫持了。一旦被劫持，它就变成了一个潜伏的间谍。当你在浏览器中访问加密货币钱包（如MetaMask）或输入助记词（种子短语）时，这个被“策反”的扩展程序就会悄悄记录下你所有的敏感数据，并发送给黑客。这意味着，即使你的电脑没有直接中毒，只是通过浏览器操作，资产也可能不翼而飞。

给普通用户的直接提醒：

1. 对突如其来的“机遇”保持警惕：无论是LinkedIn、Telegram还是其他平台，对任何自称是投资机构、官方客服的陌生主动联系，都要先打问号。

2. 永远不要执行陌生指令：无论是会议链接里要求的，还是任何人文字发给你的，都不要在你的电脑终端（命令行）里复制粘贴和执行你不理解的命令。这是底线。

3. 审查你的浏览器扩展：定期检查并清理不必要或很少使用的浏览器插件。只从官方商店安装，并注意其权限要求。

4. 使用硬件钱包：对于重要的加密资产，使用硬件钱包（冷钱包）进行存储。这样，即使电脑被入侵，私钥和助记词也不会通过被感染的浏览器扩展而泄露。

5. 隔离环境：考虑使用一台专用设备或虚拟机进行重要的加密资产操作，与日常上网、社交的环节分开。

这种攻击手法自2024年出现以来不断进化，它利用了人性中对权威的信任和对技术指导的盲从。在当前的网络环境下，保护资产安全的第一道防线，已经从单纯的防病毒软件，变成了使用者自身的警惕心和基本操作纪律。

背景资料 (原快讯)

注：以上背景资料自公开行业资讯，加密百科网仅作科普解读。