从“伪SeeDAO”项目,入门web3.0 “社会工程学”
0x597F
April 26th, 2022

今天SeeDAO的小伙伴因为一个打着SeeDAO名义,募集了200Eth的项目炸了锅。

在此感谢PANews帮忙刊登SeeDAO的官方说明:

DAO内的小伙伴,在对对方的下作行为群情激奋的同时,我也试着展开了对对方的“社会工程”,于是催生了本文。

提示披露

  1. 本文仅代表个人观点,是个人行为的记录,与SeeDAO及SeeDAO其他成员无任何关系
  2. 本文不赞同任何对非公开数据的窃取,以及对公开数据的不符合公序良俗的使用
  3. 本文所涉及的相关工具、方法仅做case study使用,与本人无任何相关利益关系

本文目的

情报界主要的信息来源其实并非007电影中所描绘的那样谍影重重,相反75%-90%的情报都可以基于互联网、报刊等公开情报收集整理得到。Web3由于基于区块链技术:链上数据透明、可追溯、不可串改等特性,是公开情报收集的绝佳场景。

因此,基于此次“伪SeeDAO”项目,进行一次“社会工程学”工作可以起到:

  1. 子不仁,我不义
  2. 不熟悉相关工作的小伙伴可以借此为例子,方便以后对项目方有更深入的了解
  3. 在此也是表达我对于web3隐私的忧思,倘若链上数据与链下打通,其带来的隐私灾难可能会是web3未来发展中极其重要的一个话题
  4. 由于链上数据的公开透明,其实传统web2的社交产品思路可能并不适合在web3领域直接照抄。被我们所诟病的web2数据平台搞围墙的问题其实为大家构建了一个个隔离的社交场景,而web3直接打通,反而可能造成社交场景崩塌。我认为这也是目前socialfi一直没跑出来的底层原因之一
谁也不想被亲朋好友看到一根根黑又大和龟苓膏吧...别骂了别骂了
谁也不想被亲朋好友看到一根根黑又大和龟苓膏吧...别骂了别骂了

Case Study

1. 获得对方地址

在mirror募资的页面有以下位置可以获得对方地址:1.地址栏,是此mirror所有者的地址;2点击合约地址按钮,进入区块链浏览器页面,read contract,可以查看到合约收款人的地址,可见mirror所有人就是收款人,所以我们只用对一个地址进行分析:0xe47a3155c9e496dc8667deb47baebbd660a0e9b4

2. 掌握对方钱包情况

除了可以直接查看对方地址在区块链浏览器中的交易情况外,还可以进入OS去检索对方nft持仓情况(但可能有隐藏),利用Zerion查看(只支持以太坊),利用nansen查看(贵)等方式。此处我们以Zerion为例,发现该地址在21号将募集的资金从mirror提出,随后购买了猴子和变异猴子。

其中猴子编号为7914,变异猴子为22906

3. 追踪社交媒体

在获得了NFT的持仓信息后,我们可以利用inspect的检索功能直接找到对应的,使用过、正在使用该头像的用户信息

接下来可以使用whotwi等工具进一步分析其社交网络情况,判断是否是我们的目标

此处可以考虑反复对相关账号进行交叉分析

对于有些社交媒体页面进行过大改的账号,我们可以通过该网站,对账号页面的过往快照进行查看

另外像conium曾经也可以查看对应nft的社交媒体,但似乎因为被诟病隐私问题以及被取消这一功能,其原理是通过大家在注册时填入的推特账号来对应,曾经也是一个社会工程利器。

4. 其他工具

个人觉得,Google永远是情报人员第一选择的工具,尤其在掌握了高级检索技巧后,通过在谷歌图片中输入对应猴子图片的地址,我们可以对相关页面进行检索,随后在结果中加入site:twitter.com

即可只检索推特上与该图片有关的页面

相关句法可以参考该文

另外,如推特高级搜索

推特热词地图等工具都可以精准获得大量公开信息

搜搜看东八区的热词,真的就emmm
搜搜看东八区的热词,真的就emmm

总结

以上工具的交叉使用,其实可以在完全不用涉及到zf机构内部数据,以及越过法律红线的情况下,挖掘出大量的情报信息。而一切只需要一点点时间、耐心和反复尝试。

但正如我在前文所述,本文仅出于学习目的,旨在增强大家的防范意识和对隐私问题的进一步思考

另外,DAO的精髓是什么?

Arweave TX
kD17OYpKH1Z_jQ-qvA9GyFCaCzZE5a8yqrjbE6BsAcU
Ethereum Address
0x597F0fDBb96485CD258777248052fF0e4781FE4C
Content Digest
MTM9xt2M4DKeMDGCM_AGyU-FuuA8zxJeJqRzaiJ_14w