今天SeeDAO的小伙伴因为一个打着SeeDAO名义,募集了200Eth的项目炸了锅。
在此感谢PANews帮忙刊登SeeDAO的官方说明:
DAO内的小伙伴,在对对方的下作行为群情激奋的同时,我也试着展开了对对方的“社会工程”,于是催生了本文。
情报界主要的信息来源其实并非007电影中所描绘的那样谍影重重,相反75%-90%的情报都可以基于互联网、报刊等公开情报收集整理得到。Web3由于基于区块链技术:链上数据透明、可追溯、不可串改等特性,是公开情报收集的绝佳场景。
因此,基于此次“伪SeeDAO”项目,进行一次“社会工程学”工作可以起到:
1. 获得对方地址
在mirror募资的页面有以下位置可以获得对方地址:1.地址栏,是此mirror所有者的地址;2点击合约地址按钮,进入区块链浏览器页面,read contract,可以查看到合约收款人的地址,可见mirror所有人就是收款人,所以我们只用对一个地址进行分析:0xe47a3155c9e496dc8667deb47baebbd660a0e9b4
2. 掌握对方钱包情况
除了可以直接查看对方地址在区块链浏览器中的交易情况外,还可以进入OS去检索对方nft持仓情况(但可能有隐藏),利用Zerion查看(只支持以太坊),利用nansen查看(贵)等方式。此处我们以Zerion为例,发现该地址在21号将募集的资金从mirror提出,随后购买了猴子和变异猴子。
其中猴子编号为7914,变异猴子为22906
3. 追踪社交媒体
在获得了NFT的持仓信息后,我们可以利用inspect的检索功能直接找到对应的,使用过、正在使用该头像的用户信息
接下来可以使用whotwi等工具进一步分析其社交网络情况,判断是否是我们的目标
此处可以考虑反复对相关账号进行交叉分析
对于有些社交媒体页面进行过大改的账号,我们可以通过该网站,对账号页面的过往快照进行查看
另外像conium曾经也可以查看对应nft的社交媒体,但似乎因为被诟病隐私问题以及被取消这一功能,其原理是通过大家在注册时填入的推特账号来对应,曾经也是一个社会工程利器。
4. 其他工具
个人觉得,Google永远是情报人员第一选择的工具,尤其在掌握了高级检索技巧后,通过在谷歌图片中输入对应猴子图片的地址,我们可以对相关页面进行检索,随后在结果中加入site:twitter.com
即可只检索推特上与该图片有关的页面
相关句法可以参考该文
另外,如推特高级搜索
推特热词地图等工具都可以精准获得大量公开信息
以上工具的交叉使用,其实可以在完全不用涉及到zf机构内部数据,以及越过法律红线的情况下,挖掘出大量的情报信息。而一切只需要一点点时间、耐心和反复尝试。
但正如我在前文所述,本文仅出于学习目的,旨在增强大家的防范意识和对隐私问题的进一步思考。
另外,DAO的精髓是什么?