Pudgy World 被仿冒！Malwarebytes 警告钓鱼网站窃取钱包密码

网络安全公司 Malwarebytes Labs 周二发出紧急警告，一个以「pudgypengu-gamegifts[.]live」为域名的虚假网站，正在冒充 3 月 10 日刚上线的 Pudgy World 浏览器游戏，试图窃取加密货币钱包密码。

钓鱼攻击的精密手法：复制11款钱包界面

Malwarebytes 高级恶意软件研究工程师 Stefan Dasic 在报告中详细说明了此次攻击的设计逻辑。Pudgy World 的部分功能（如验证 NFT 物品所有权或解锁游戏内容）需要玩家连接加密钱包，攻击者正是针对这一合理步骤展开欺骗：

「钓鱼网站就是在利用这一操作流程。当访客在假网站上选择自己的钱包时，页面会显示一个似乎是该钱包自身解锁界面的画面。对用户而言，它看起来完全就像他们已熟悉、已信任的真实加密钱包软件。」

Dasic 还指出，此次攻击在技术资源上相当惊人——攻击者制作了针对11款不同钱包的UI仿制界面，几乎没有任何钱包是攻击盲点。无论用户持有的是以太坊（Ethereum）、Solana 还是多链资产，都能收到高度逼真的伪造钱包解锁界面。他认为，制作11套钱包UI伪造程序「并非易事」，这表明背后可能是「资源充足的威胁行为者」，或者是重复使用了专为此类攻击设计的商业钓鱼工具包。

Pudgy World的品牌背景与安全风险交叉

Pudgy World 是基于 Pudgy Penguins NFT 品牌推出的免费浏览器游戏，玩家可以探索虚拟世界、自定义企鹅头像并完成任务。自2022年CEO Luca Netz收购以来，Pudgy Penguins 已从单纯的NFT收藏系列扩展为涵盖零售产品、手机游戏和网页游戏的消费品牌。

然而，Pudgy Penguins此前已遭受类似攻击。2024年12月，区块链安全公司 Scam Sniffer 警告，攻击者曾利用恶意Google广告冒充Pudgy Penguins平台，诱骗用户连接钱包。研究人员指出，这类攻击通常伴随着高知名度NFT项目的重大事件而出现，新用户的涌入提供了最有利的攻击时机。

防护建议：如何避免成为受害者

Malwarebytes针对Pudgy World用户提出了以下具体防护措施：

仅通过书签访问官方网站：避免通过搜索引擎或社交媒体链接进入游戏

警惕钱包密码提示的出现位置：合法的钱包密码提示永远不会出现在网页内容中；若页面要求在浏览器内输入钱包密码，应立即停止操作

不点击私信或社交媒体中的链接：加密项目的官方链接应从官方Twitter/X或Discord的置顶信息获取

已输入凭证的紧急应对：若在可疑网站输入了钱包凭证，应立即更改钱包密码；若怀疑钱包已被盗用，应考虑将资产转移至全新的钱包地址

常见问题

如何确认自己访问的是正版Pudgy World，而非假冒网站？

核实方法包括：对比域名与Pudgy Penguins官方网站的域名是否完全一致（注意任何多余字符或连字符）；从官方Twitter/X或Discord渠道直接获取游戏链接；以及使用书签收藏已确认的官方地址，而非每次通过搜索引擎重新查找。

为什么攻击者选择在新游戏上线后立即行动？

Malwarebytes的 Stefan Dasic 指出，攻击时机是蓄意设计的——新游戏上线期间会吸引大量刚接触加密钱包的新用户，他们对“游戏要求连接钱包”这一操作尚不熟悉，更容易放松警惕。同时，新游戏的搜索量激增也使得假冒网站更容易出现在搜索结果的前列。

FBI数据显示2024年钓鱼诈骗损失超过7000万美元，加密货币用户有多大风险？

FBI网络犯罪投诉中心（IC3）统计，2024年共收到193,407起钓鱼和欺骗诈骗投诉，通报损失超过7000万美元，这还不包括大量未被举报的案例。加密货币用户因资产的匿名性和不可逆性，往往面临更高的风险——一旦资产被转移至攻击者控制的地址，几乎没有任何途径可以追回。