資安公司 Malwarebytes Labs 警告,一個假網站冒充 Pudgy Penguins 新推出的 Pudgy World 瀏覽器遊戲,企圖竊取加密貨幣錢包密碼。 在一份報告中,Malwarebytes 表示,該釣魚行動 pudgypengu-gamegifts[.]live 使用高度逼真的加密貨幣錢包界面仿製品來欺騙用戶。“某些功能與存放在加密貨幣錢包中的數位收藏品和遊戲內物品相關聯。也就是說,官方遊戲有時會要求玩家連接加密貨幣錢包,以驗證物品所有權或解鎖額外功能,”資安研究工程師兼報告作者 Stefan Dasic 說。
冒充新推出的 Pudgy World 瀏覽器遊戲的釣魚網站竊取加密密碼。https://t.co/9Z1CsYdFhu
— Malwarebytes (@Malwarebytes) 2026年3月18日
“該釣魚網站濫用這個步驟:當訪客在此假網站選擇他們的錢包時,會顯示看似該錢包的解鎖畫面。對用戶來說,這看起來就像是他們已經信任的真實加密貨幣錢包軟體一樣。” 釣魚仍是最普遍的網路犯罪形式之一。根據 FBI 的網路犯罪投訴中心(IC3),2024 年釣魚和偽造詐騙案件共計 193,407 件,報告損失超過 7000 萬美元。目前尚不清楚是否有人受害於此特定網站。 什麼是 Pudgy World? 此警告發布於 Pudgy World 上線一週後,該遊戲是一款免費的瀏覽器遊戲,與 Pudgy Penguins NFT 品牌相關聯。該遊戲於 3 月 10 日上線,允許玩家探索虛擬世界、定制企鵝化身並完成任務,其中一些功能需要用戶連接加密貨幣錢包。 自 2022 年由 CEO Luca Netz 收購以來,Pudgy Penguins 迅速成長,從一個 NFT 收藏品擴展為更廣泛的消費者品牌,推出零售商品、手機遊戲,現在又有瀏覽器遊戲。根據 CoinGecko,該系列的底價為 4.25 ETH(約 9500 美元),遠低於 2024 年 12 月的高點 36.33 ETH,跌幅達 88.3%。
Dasic 表示,此次攻擊活動的時機似乎是刻意安排的,與遊戲上線及大量新用戶加入(對加密錢包安全措施不熟悉)同步。 “被攻擊的錢包範圍也很廣。這次活動幾乎沒有錢包盲點,”他說。“不論受害者持有以太坊、Solana 或多鏈資產,都有一個令人信服的偽造版本等待他們。” “建立 11 個針對不同錢包的界面仿製品並非易事,”Dasic 補充,這暗示要麼是“資源豐富的威脅行為者”,要麼是重複使用為此類攻擊打造的商業釣魚套件。 這類手法在加密貨幣相關詐騙中很常見,攻擊者會註冊與合法域名相似的域名,或操縱搜尋廣告以顯得真實。例如,詐騙者可能會發送看似官方的電子郵件,使用帶有“.qov”而非“.gov”的域名,希望人們不會注意到微小的差異。 Pudgy Penguins 之前也曾遭遇假網站的攻擊。2024 年 12 月,區塊鏈安全公司 Scam Sniffer 警告,攻擊者利用惡意 Google 廣告冒充 Pudgy Penguins 平台,誘騙用戶連接錢包。 建議用戶僅通過可信的書籤訪問官方網站,避免點擊社交媒體或直接訊息中的連結,並記住合法的錢包密碼提示不會出現在網頁內容中。Malwarebytes 也建議,如果在可疑網站輸入了帳號資訊,應立即更改錢包密碼,並在懷疑帳號遭到入侵時考慮將資金轉移到新錢包。
Pudgy Penguins 已就此事回應。
