追回超过 10 万美元——钱包访问权限已恢复（广告案例）

由 Mux 主办的 DEV 全球展示挑战赛：展示你的项目！

一次精心策划的“广告交易”导致了钱包被盗。资金已被转移。我们恢复了访问权限，并将攻击者接收钱包的控制权重新分配给了受害团队。之后有人悬赏缉凶，但我们没有私吞——剩余款项捐给了@_SEAL_Org。我们始终保持独立。

你需要知道

• 钱包已被盗用，资金已被转移。
• 我们恢复了访问权限，并确保超过 10 万美元的资金没有落入攻击者手中。
• 该项目提供奖励，但我们没有保留。剩余款项已捐赠给@_SEAL_Org。
• 我们独立完成这项工作。这不是我们的工作，而是我们的爱好。

骗局的运作方式（简单而真实）

**

• 受害者被介绍与一家加密货币游戏公司合作/投放广告。
• 它看起来很可信：一个看似合理的网站，一个相当大的 X（Twitter）个人资料，以及专业的视频通话。
• 在通话中，他们要求安装一个“工作场所查看器”来访问资料。
• 那个“查看器”其实是窃取信息的恶意软件。
• 攻击者提取了资金，在一条链上交换了代币，然后转移了目标。
• 将资产转移到另一条链上的用户自己的接收钱包。

我们做了什么（仅陈述事实）

1. 确认了妥协方案，并停止了进一步行动。
2. 已恢复合法所有者的钱包访问权限。
3. 已确保攻击者接收钱包的控制权并重新分配给受害团队。
4. 协调后续步骤以降低残余风险

结果：恢复访问权限 • 恢复控制权 • 攻击者被拒之门外。

事故后加固（我们实际完成的工作）

• 防止再次入侵。我们提供了分步指导，帮助您安全地处理受感染的设备，防止其再次窃取资金（网络隔离、会话撤销、凭证/密钥轮换以及彻底重建计划）。
• 干净的操作环境。我们帮助配置了一台全新的、干净的专用于钱包操作的工作站（全新操作系统、仅从供应商下载软件、硬件钱包、最少的扩展程序、独立的浏览器配置文件、双因素身份验证）。
• 已做好取证准备。我们讲解了如何创建磁盘快照和收集系统/应用程序日志，以便团队能够在调查人员采取法律行动时提供适当的证据。

更多关键步骤：完整可操作的清单 → https://phishdestroy.io/critical-action

方法：“广告”

广告是一种商业化的社会工程攻击。犯罪分子模仿正常的流程（广告购买、合作、公关），诱使你安装“必要的客户端/浏览器”。这个“客户端”就是他们的恶意代码。

广告窃取方法的
常见破绽

• “安装我们的广告管理工具/助手，以同步广告素材。”
• “请使用我们定制的 Zoom/Telegram 客户端进行通话。”
• “请通过安全查看器打开我们的媒体资料包/保密协议。”

经验法则

如果陌生人提供的流程需要特殊的客户端/查看器/更新程序，则默认将其视为恶意程序。仅使用官方供应商提供的下载文件。

金钱、所提供的奖励以及我们拒绝的原因

• 项目恢复后，由于总恢复金额超过了最初的损失，因此提供了奖励。
• 我们没有保留它。
• 我们将全部剩余物资交给了我们信任并与之合作的团队：@_SEAL_Org。
• 我们不会将此转化为资金来源。独立性是不可妥协的原则。

我们的原则

• 完全独立。没有预算，没有附加条件。这不是我们的工作，而是我们的爱好。
• 结果胜于空谈。权限已恢复，资金已退回。其他一切都是噪音。
• 没有“特殊客户”。如果有人强行安装自定义查看器/更新程序，就假定对方怀有敌意。
• 明智地分享信息。我们只披露对受害者有帮助的信息，绝不会披露对犯罪者有利的信息。
• 让骗子们尝尝苦头。合法有效地向他们的基础设施施压。带着恰到好处的讽刺。

实用建议（从今天开始）

适用于项目和团队

• 切勿从未经核实的第三方安装任何“工作场所查看器/客户端/更新程序”——即使通话看起来很专业。
• 请仅从官方供应商网站获取 Zoom/Telegram。
• 避免点击钱包/桥接器/空投的赞助链接——直接访问。
• 优先使用硬件钱包；将助记词离线保存；如有任何可疑之处，立即轮换密钥。
• 如果系统遭到入侵：撤销会话、转移资金、轮换密钥、重新发布密钥并迅速寻求帮助——时间至关重要。为了社区

举报可疑活动：https://t.me/PhishDestroy_bot
加入我们：https://phishdestroy.io/ •
如果您的账户被盗 - https://phishdestroy.io/critical-action

结束

资金已经转移。我们恢复了访问权限，并确保超过10万美元的资金没有落入攻击者手中。有人悬赏缉凶，但我们拒绝接受，并将剩余资金用于帮助他人。我们将继续以这种方式——独立、快速、高效地开展工作。