如果你是开源开发者，尤其是在区块链领域，你很可能收到过来自 GitHub 的关于 issue 或通知的邮件。但最近，有一种狡猾的钓鱼诈骗在流传，伪装成来自 GitHub 与 Gitcoin 的合法资助机会。下面我们根据安全研究员 @m4rio_eth 的一条病毒式推文来分解事情经过，并告诉你如何保护自己。

骗局揭秘

一切看起来都像是官方的 GitHub 通知。一个冒充 "gitcoin-foundationdao" 的机器人账户在你的仓库里创建了一个 issue，宣布你有资格参与 "GitHub x Gitcoin Developer Fund 2025"。消息提到 quadratic funding、一个 15,000,000 USD 的配比池，并邀请你通过 Gitcoin Passport 验证你的 wallet。听起来很可信，对吧？毕竟 Gitcoin 是一个真实的为 web3 开源项目提供资助的平台。

但这里有个红旗：提供的链接——类似 grants.github.com/Apply-form ——实际上会重定向到一个假的网站 "github-fundation.com"（注意拼写错误："fundation" 而非 "foundation"）。一旦进入该站点，会提示你连接你的加密钱包，这是盗取资金或私钥的经典钓鱼手法。

@m4rio_eth，Cantina 的首席安全研究员，也是 Soldeer（第一个面向 Ethereum 智能合约的 Solidity 包管理器）的创建者，因为他在 Soldeer 上的工作被针对，发现了这次攻击。他分享了假邮件、伪造的 GitHub 账号和钓鱼网站的截图来警告社区。

在该推文串中，他解释道诈骗者在多个仓库中创建了 500 多个伪造 issue，使得这些邮件看起来真实可疑，因为它们直接来自 GitHub 的系统。那个伪造的机器人账号是新建的，这又是一个明显的诈骗迹象。

攻击原理

• ​伪造 issue 创建​​：诈骗者设置一个 GitHub 账号并在各个仓库中刷出带有资助通知的 issue。
• ​看起来合法的邮件​​：因为确实是 GitHub 的交互，邮件会以 [email protected] 发出，从而绕过垃圾邮件过滤。
• ​钓鱼重定向​​：嵌入的链接会引导到仿冒的站点，模仿官方的 GitHub 或 Gitcoin 页面。
• ​钱包连接​​：受害者会被要求为“验证”而连接钱包，从而可能导致资金被抽走。

这并非随机行为——目标是活跃的开源贡献者，尤其是那些在区块链领域的开发者，比如为 meme tokens 或 DeFi 项目开发工具的 Solidity 开发者。如果你在 Ethereum 或 Solana 上构建项目，你就在攻击目标之列。

社区回应与后续

@m4rio_eth 不仅仅是发出警告——他采取了行动，通过在这些伪造的 issues 下批量评论来提醒其他人，这样做有被 GitHub 封禁的风险。他回复了 500 个 issue，写着类似 “This is a scam!” 的信息以阻止更多受害者。幸运的是，推文串中的其他人也证实他们在他的提示下避免了点击链接。

有用户提到收到过这样的邮件但直接忽略了，另有人指出类似的钓鱼活动也利用 Lido 进行诈骗。这提醒我们 web3 的骗局会快速演化，常常借助像 Gitcoin 这样可信赖的名字来增加可信度，而 Gitcoin 确实通过 quadratic 模型为公共物品提供资助。

如何保持安全

在区块链和开源的世界里，保持警惕至关重要。你可以这样做：

• ​手动核对链接​​：总是直接输入 URL，不要点击可疑链接。留心诸如 "fundation" 与 "foundation" 之类的拼写错误。
• ​使用官方渠道​​：真正的 Gitcoin 资助会在 gitcoin.co 或官方 GitHub 页面上公布。除非你百分之百确定，否则不要连接你的 wallet。
• ​启用 2FA 和 hardware wallets​：尤其是当你持有 meme tokens 或其他加密资产时，用这些方式增加安全保障。
• ​举报可疑行为​​：在 X 上标记 @github 或直接在其平台上报告相关 issue。
• ​教育你的团队​​：如果你是开发者社区的一员，把这条推文分享出去，提高警惕。

这个骗局凸显了开源与 web3 漏洞的交汇。像 Soldeer 这样的工具确实让构建 meme tokens 更容易，但也会吸引不良分子。只要保持信息通晓，我们就能保护生态系统的安全。

如果你遇到过类似骗局或有相关建议，欢迎在下方留言分享。想了解更多区块链安全和 meme token 资讯，请继续关注 Meme Insider。