码农亲述：如何在24小时之内从Slack盗走价值十几万美元的以太币

Slack创立的初衷是作为组织中团队的协作辅助。在团队的概念中，信任构建算是最基础的前提。

因此，这就导致Slack自带“诈骗属性”。

有大量的加密货币项目都用Slack进行沟通。以太坊参照其众售模式推出了ICO（Initial Coin Offering）的概念，在项目完成之前通过发行代币来募集资金。

回报率高达96,560%，以太坊众售对于那些坚定的持有者来说应该是相当OK了。

如果你不太了解加密货币，你可能会认为以太坊的高回报率只是个例。为了让你更加了解FOMO现象为什么发生，这里列出了几个项目的回报率排名。

这么高的回报率是前所未有的，更不用说受众是普通人了。这就让他们愿意去相信那些不可思议的事。即以下所有特点的结合体：

– 不受监管
– 不能索偿
– 直接的通道
– FOMO
– 破天荒的高回报
– 以及骗子的天堂

攻击方法1——私信

如果有未读的私信，Slack会给用户发邮件并进行告知。因此骗子就开始直接给用户发私信。这种方式能够躲过防邮件诈骗的筛选，因为发送给用户的邮件都直接来自no-reply@slack.com。

在ICO进行过程中，有大量的信息都是通过一系列公开渠道进行沟通的。一些官方声明就成为了骗子骗人的真实模板。

我想要百分百的回报……说起来好像谁不想要似的？

区块链的透明性能够让我们查到被骗的具体金额。

etherscan.io能方便查询区块链中特定地址的交易。我们可以看到参与骗局的下列地址涉及106笔交易，余额还有102,680.35美元。

一条来自安全团队的警告:

除了更改了My Ether Wallet URL之外，其他的信息看起来很合理……

这里提供的网址是myethwallet.eu，而不是www.myetherwallet.com。

另外，通过谷歌搜索邮件发送方信息还可以知道Golem项目的CTO并不是Pedro。

这条私信的可信度是很难辨认的，因为我们并不熟悉钱包细节。

要想杜绝这类骗局，项目方可以直接把骗子踢出Slack群组。这样就能删除骗子发过的所有私信。

攻击方法2——Slackbot任务

骗子可以通过Slackbot为每位用户设置任务。就算骗子被移出Slack群组也不能删除任务。最终Slackbot还是能够发送私信。

这在大型群组中是行得通的，就算参与者离开了也还是需要完成任务。在公开的群组中，要想清理骗子造成的烂摊子是很难的。

攻击方法3——谷歌广告

交易渠道存在很多FUD（恐惧、不确定和怀疑）。抛开各种谣言不谈，这的确是ICO支付的最佳方式。直接点击Slack上面的链接不是什么好主意，所以就谷歌对吗？假如我听很多人都提起Red Pulse和Kyber（最近很火的ICO），而我又想了解更多信息，然后我去谷歌搜索了一下：

点击排名最靠前的广告你就进入了这个网站。

同样排名靠前的广告会引导你进入一个非常相似的网站。

山寨其他网站实在太容易了，因此很难辨认一个网站的真实性。在上述例子中，提示注册流程已关闭的网站才是真实的官方网站（即第二张图）。

总结

如果你选择进入加密货币领域并且使用这些社区沟通渠道，你必须记住，一些听起来好到令人难以置信的条件一般都是骗局。一定要选择官方渠道核实所有信息。

永远心存怀疑。

官方通道也可能被攻击。Enigma项目的ICO账户就曾遭到攻击，最终造成了50万美元的损失。

不要相信任何人。

你也许感兴趣的：

• 为什么我们能从电脑游戏中获得快乐？
• 以太币(Ethereum)里的“gas”是什么？设计原理是怎么样的？
• 【外评】电脑从哪里获取时间？
• 【外评】为什么 Stack Overflow 正在消失？
• Android 全力押注 Rust，Linux 却在原地踏步？谷歌：用 Rust 重写固件太简单了！
• 【外评】哪些开源项目被广泛使用，但仅由少数人维护？
• 【外评】好的重构与不好的重构
• C 语言老将从中作梗，Rust for Linux 项目内讧升级！核心维护者愤然离职：不受尊重、热情被消耗光
• 【外评】代码审查反模式
• 我受够了维护 AI 生成的代码