Pudgy World 被仿冒！Malwarebytes 警告釣魚網站竊取錢包密碼

網路安全公司 Malwarebytes Labs 週二發出緊急警告，一個以「pudgypengu-gamegifts[.]live」為域名的虛假網站，正在冒充 3 月 10 日剛上線的 Pudgy World 瀏覽器遊戲，試圖竊取加密貨幣錢包密碼。

釣魚攻擊的精密手法：複製 11 款錢包介面

Malwarebytes 高級惡意軟體研究工程師 Stefan Dasic 在報告中詳細說明了此次攻擊的設計邏輯。Pudgy World 的部分功能（如驗證 NFT 物品所有權或解鎖遊戲內容）需要玩家連接加密錢包，攻擊者正是針對這一合理步驟展開欺騙：

「釣魚網站就是在利用這一操作流程。當訪客在假網站上選擇自己的錢包時，頁面會顯示一個看似是該錢包自身解鎖介面的畫面。對用戶而言，它看起來完全就像他們已熟悉、已信任的真實加密錢包軟體。」

Dasic 還指出，此次攻擊在技術資源上相當驚人——攻擊者製作了針對 11 款不同錢包的 UI 仿製介面，幾乎沒有任何錢包是攻擊盲點。無論用戶持有的是以太坊（Ethereum）、Solana 還是多鏈資產，都能收到高度逼真的偽造錢包解鎖介面。他認為，製作 11 套錢包 UI 偽造程序「並非易事」，這表明背後可能是「資源充足的威脅行為者」，或者是重複使用了專為此類攻擊設計的商業釣魚工具包。

Pudgy World 的品牌背景與安全風險交叉

Pudgy World 是基於 Pudgy Penguins NFT 品牌推出的免費瀏覽器遊戲，玩家可以探索虛擬世界、自訂企鵝頭像並完成任務。自 2022 年 CEO Luca Netz 收購以來，Pudgy Penguins 已從單純的 NFT 收藏系列擴展為涵蓋零售產品、手機遊戲和網頁遊戲的消費品牌。

然而，Pudgy Penguins 此前便已遭受類似攻擊。2024 年 12 月，區塊鏈安全公司 Scam Sniffer 警告，攻擊者曾利用惡意 Google 廣告冒充 Pudgy Penguins 平台，誘騙用戶連接錢包。研究人員指出，這類攻擊通常伴隨著高知名度 NFT 項目的重大事件而出現，新用戶的湧入提供了最有利的攻擊時機。

防護建議：如何避免成為受害者

Malwarebytes 針對 Pudgy World 用戶提出了以下具體防護措施：

僅透過書籤訪問官方網站：避免透過搜尋引擎或社交媒體連結進入遊戲

警惕錢包密碼提示的出現位置：合法的錢包密碼提示永遠不會出現在網頁內容中；若頁面要求在瀏覽器內輸入錢包密碼，應立即停止操作

不點擊私訊或社群媒體中的連結：加密項目的官方連結應從官方 Twitter/X 或 Discord 的置頂信息取得

已輸入憑證的緊急應對：若在可疑網站輸入了錢包憑證，應立即更改錢包密碼；若懷疑錢包已遭盜用，應考慮將資產轉移至全新的錢包地址

常見問題

如何確認自己訪問的是正版 Pudgy World，而非假冒網站？

核實方法包括：對比域名與 Pudgy Penguins 官方網站的域名是否完全一致（注意任何多餘字符或連字符）；從官方 Twitter/X 或 Discord 渠道直接取得遊戲連結；以及使用書籤收藏已確認的官方地址，而非每次透過搜尋引擎重新查找。

為什麼攻擊者選擇在新遊戲上線後立即行動？

Malwarebytes 的 Stefan Dasic 指出，攻擊時機是蓄意設計的——新遊戲上線期間會吸引大量剛接觸加密錢包的新用戶，他們對「遊戲要求連接錢包」這一操作尚不熟悉，更容易放鬆警覺。同時，新遊戲的搜索量激增也使得假冒網站更容易出現在搜索結果的前列。

FBI 數據顯示 2024 年釣魚詐騙損失超過 7,000 萬美元，加密貨幣用戶有多大風險？

FBI 網路犯罪投訴中心（IC3）統計，2024 年共收到 193,407 起釣魚和欺騙詐騙投訴，通報損失超過 7,000 萬美元，這還不包括大量未被舉報的案例。加密貨幣用戶因資產的匿名性和不可逆性，往往面臨更高的風險——一旦資產被轉移至攻擊者控制的地址，幾乎沒有任何途徑可以追回。