攻击者假冒账户持有人联系OVHcloud客服。支持人员被说服,直接移除硬件2FA。账户瞬间失守。攻击者删除旧凭证,添加新设备,DNS记录指向自家服务器。Steakhouse官网被克隆,嵌入钱包抽干工具。钓鱼页面断续活跃4小时。团队30分钟内发警报。浏览器如MetaMask、Phantom迅速标记风险。链上金库、智能合约独立运行。协议无管理员密钥触达用户存款。根据Steakhouse报告,无恶意交易确认,用户资金安全无虞。整个过程暴露离链环节软肋。
postmortem直指单一注册商成单点故障。Steakhouse承认,低估了客服电话就能废掉硬件保护的风险。社交工程加持,凭证泄露变全账户接管。攻击工具吻合“drainer-as-a-service”套件。加密圈钓鱼手常用此招。链上再硬,域名一劫,用户照样上钩。BTC现报$73,027(24h +1.56%),ETH报$2,248(24h +1.80%),市场情绪稳健,此事未搅动大局。报告强调,厂商安全审核缺位酿祸。离链基础设施隐患,行业痛点放大。
Steakhouse已换新注册商。加装持续DNS监控,转动凭证。域管升级硬件密钥强制,注册商级锁定。启动全链路厂商安审。事件敲醒一众项目。链上堡垒坚固,外围一松就漏风。开发者得盯紧这些隐形杀手。钓鱼不死,警惕永存。