网络安全公司 Malwarebytes Labs 警告称,一个假网站冒充 Pudgy Penguins 新推出的 Pudgy World 浏览器游戏,试图窃取加密货币钱包密码。
在一份报告中,Malwarebytes 表示,钓鱼行动 pudgypengu-gamegifts[.]live 使用高度逼真的加密钱包界面复制品来欺骗用户。“一些功能与存储在加密货币钱包中的数字收藏品和游戏内物品相关联。这意味着官方游戏有时会要求玩家连接加密钱包以验证物品所有权或解锁额外功能,”高级恶意软件研究工程师兼报告作者 Stefan Dasic 说。
一个冒充新推出的 Pudgy World 浏览器游戏的钓鱼网站窃取加密密码。https://t.co/9Z1CsYdFhu
— Malwarebytes (@Malwarebytes) 2026年3月18日
“这个钓鱼网站利用了这个步骤:当访客在这个假网站上选择他们的钱包时,它会显示看似该钱包的解锁界面。对用户来说,这看起来就像他们已经信任的真实加密钱包软件一样。”
钓鱼仍然是最普遍的网络犯罪形式之一。根据 FBI 的互联网犯罪投诉中心(IC3)数据,2024年钓鱼和伪造诈骗报告了193,407起,报告的损失超过7000万美元。目前尚不清楚是否有人成为该特定网站的受害者。
什么是 Pudgy World?
该警告发布于 Pudgy World 推出一周后,Pudgy World 是一款免费浏览器游戏,关联于 Pudgy Penguins NFT 品牌。该游戏于3月10日上线,允许玩家探索虚拟世界、定制企鹅头像并完成任务,其中一些功能需要用户连接加密货币钱包。
自2022年由 CEO Luca Netz 收购以来,Pudgy Penguins 迅速发展,从一个NFT收藏扩展为更广泛的消费品牌,拥有零售产品、移动游戏和基于浏览器的游戏。根据 CoinGecko 数据,该系列的底价为4.25 ETH(约9,500美元),远低于2024年12月的高点36.33 ETH,跌幅达88.3%。
Dasic 表示,这次攻击的时机似乎是刻意安排的,正值游戏上线和大量不熟悉加密钱包安全实践的新用户涌入之际。
“目标钱包的范围也非常广泛。这次行动几乎没有盲点,”他说。“无论受害者持有以太坊、索拉纳还是多链资产,都有一个令人信服的伪造版本在等待他们。”
“制作11个针对不同钱包的界面伪造并非易事,”Dasic 补充道,这表明攻击者可能是“资源丰富的威胁行为者”或使用了为此类攻击专门开发的商业钓鱼工具包。
此类策略在加密相关诈骗中很常见,攻击者会注册与合法域名极为相似的域名,或操控搜索广告以显得真实。例如,骗子可能会发送看似官方的电子邮件,使用带有“.qov”而非“.gov”的域名,希望人们不会注意到细微差别。
此前,Pudgy Penguins 也曾成为假网站的目标。2024年12月,区块链安全公司 Scam Sniffer 警告称,攻击者利用恶意 Google 广告冒充 Pudgy Penguins 平台,诱导用户连接钱包。
建议用户仅通过可信的书签访问官方站点,避免点击社交媒体或私信中的链接,并记住合法的钱包密码提示不会出现在网页内容中。如果在可疑网站输入了凭据,Malwarebytes 也建议立即更改钱包密码,并在怀疑被攻破时考虑将资金转移到新钱包。
Pudgy Penguins 已就此事寻求评论。
