CertiK, firma zajmująca się bezpieczeństwem Blockchain, przypomniała społeczności kryptograficznej, aby była czujna na oszustwa typu „ice phishing” – unikalny rodzaj oszustwa phishingowego wymierzonego w użytkowników Web3 – po raz pierwszy zidentyfikowany przez Microsoft na początku tego roku.
W raporcie analitycznym z 20 grudnia CertiK opisane oszustwa typu ice phishing jako atak, który nakłania użytkowników Web3 do podpisania uprawnień, co ostatecznie pozwala oszustowi wydać tokeny.
Różni się to od tradycyjnych ataków typu phishing, które mają na celu uzyskanie dostępu do poufnych informacji, takich jak klucze prywatne lub hasła, takich jak tworzenie fałszywych stron internetowych, które rzekomo pomagają Inwestorzy FTX odzyskują środki przegrał na wymianie.
1/ Ice phishing jest poważnym zagrożeniem dla społeczności Web3
Zamiast uzyskać dostęp do klucza prywatnego, oszuści nakłaniają Cię do podpisania uprawnień do wydawania zasobów.
Poniżej opiszemy, na co należy zwrócić uwagę i jak się chronić!
— Alert CertiK (@CertiKAlert) 20 grudnia 2022 r.
Oszustwo z 17 grudnia, gdzie Skradziono 14 znudzonych małp jest przykładem skomplikowanego oszustwa typu ice phishing. Inwestor został przekonany do podpisania wniosku o transakcję udającego kontrakt filmowy, co ostatecznie umożliwiło oszustowi sprzedaż sobie wszystkich małp człekokształtnych użytkownika za znikomą kwotę.
Firma zauważyła, że tego rodzaju oszustwo było „znaczącym zagrożeniem” występującym tylko w świecie Web3, ponieważ inwestorzy często są zobowiązani do podpisania pozwoleń na protokoły zdecentralizowanych finansów (DeFi), z którymi wchodzą w interakcje, co można łatwo sfałszować.
„Haker musi tylko przekonać użytkownika, że złośliwy adres, któremu przyznaje zgodę, jest uzasadniony. Gdy użytkownik zatwierdzi uprawnienia oszusta do wydawania tokenów, aktywa są zagrożone wyczerpaniem”.
Gdy oszust uzyska zgodę, może przenieść aktywa na wybrany przez siebie adres.
Aby chronić się przed phishingiem lodowym, CertiK zalecił inwestorom cofnięcie uprawnień dla adresów, których nie rozpoznają w witrynach eksploratorów blockchain, takich jak Etherscan, za pomocą narzędzia do zatwierdzania tokenów.
Ponadto adresy, z którymi użytkownicy planują wchodzić w interakcje, należy sprawdzić w tych eksploratorach łańcucha bloków pod kątem podejrzanej aktywności. CertiK w swojej analizie wskazuje jako przykład podejrzanej aktywności adres, który został sfinansowany z wypłat Tornado Cash.
CertiK zasugerował również, aby użytkownicy wchodzili w interakcję tylko z oficjalnymi witrynami, które są w stanie zweryfikować, i aby szczególnie uważali na serwisy społecznościowe, takie jak Twitter, podając jako przykład fałszywe konto Optimism na Twitterze.
Firma poradziła również użytkownikom, aby poświęcili kilka minut na sprawdzenie zaufanej witryny, takiej jak CoinMarketCap lub Coingecko, użytkownicy mogliby zobaczyć, że adres URL, do którego prowadzi link, nie jest legalną witryną i należy go unikać.
Gigant technologiczny Microsoft był pierwszym, który zwrócił uwagę na tę praktykę na blogu z 16 lutego pisać, mówiąc wówczas, że podczas gdy phishing danych uwierzytelniających jest bardzo dominujący w świecie Web2, phishing lodowy daje indywidualnym oszustom możliwość kradzieży części branży kryptograficznej przy zachowaniu „prawie całkowitej anonimowości”.
Zalecili, aby projekty Web3 i dostawcy portfeli zwiększyli bezpieczeństwo swoich usług na poziomie oprogramowania, aby uniknąć przenoszenia ciężaru unikania ataków typu ice phishing wyłącznie na użytkownika końcowego.
Źródło: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik