Компания CertiK, занимающаяся безопасностью блокчейна, напомнила криптовалютному сообществу о необходимости быть настороже в отношении мошенничества с «ледяным фишингом» — уникального типа фишингового мошенничества, нацеленного на пользователей Web3, — впервые выявленного Microsoft ранее в этом году.
В аналитическом отчете от 20 декабря CertiK описал мошенничество с фишингом на льду как атаку, которая обманом заставляет пользователей Web3 подписывать разрешения, что в конечном итоге позволяет мошеннику тратить свои токены.
Это отличается от традиционных фишинговых атак, которые пытаются получить доступ к конфиденциальной информации, такой как закрытые ключи или пароли, например, поддельные веб-сайты, созданные, чтобы помочь инвесторам FTX вернуть средства, потерянные на бирже.
https://platform.twitter.com/widgets.js
Мошенничество 17 декабря, когда были украдены 14 Bored Apes, является примером изощренной ледовой фишинговой аферы. Инвестора убедили подписать запрос на транзакцию, замаскированный под контракт на фильм, что в конечном итоге позволило мошеннику продать себе всех обезьян пользователя за ничтожную сумму.
Фирма отметила, что этот тип мошенничества представляет собой «значительную угрозу», встречающуюся только в мире Web3, поскольку от инвесторов часто требуется подписывать разрешения на протоколы децентрализованного финансирования (DeFi), с которыми они взаимодействуют, что может быть легко подделано.
«Хакеру просто нужно заставить пользователя поверить в то, что вредоносный адрес, которому он дает разрешение, является законным. Как только пользователь разрешил мошеннику тратить токены, активы рискуют быть истощенными».
Как только мошенник получил одобрение, он может перевести активы на адрес по своему выбору.
Чтобы защитить себя от ледяного фишинга, CertiK рекомендовала инвесторам отозвать разрешения для адресов, которые они не распознают на сайтах обозревателя блокчейн, таких как Etherscan, с помощью инструмента утверждения токенов.
Связанный: соучредитель мошенничества OneCoin на 4 миллиарда долларов признал себя виновным, ему грозит 60 лет тюрьмы
Кроме того, адреса, с которыми пользователи планируют взаимодействовать, следует проверять в этих обозревателях блокчейн на наличие подозрительной активности. В своем анализе CertiK указывает на адрес, который финансировался за счет снятия Tornado Cash, как на пример подозрительной активности.
CertiK также предложил пользователям взаимодействовать только с официальными сайтами, которые они могут проверить, и проявлять особую осторожность в отношении сайтов социальных сетей, таких как Twitter, выделив в качестве примера поддельную учетную запись Optimism в Twitter.
Фирма также посоветовала пользователям потратить пару минут на проверку надежного сайта, такого как CoinMarketCap или Coingecko, пользователи могли бы увидеть, что связанный URL-адрес не является законным сайтом, и его следует избегать.
Технический гигант Microsoft был первым, кто обратил внимание на эту практику в своем блоге от 16 февраля, заявив, что в то время, как фишинг учетных данных очень распространен в мире Web2, ледяной фишинг дает отдельным мошенникам возможность украсть часть криптовалютной индустрии. при сохранении «практически полной анонимности».
Они рекомендовали проектам Web3 и провайдерам кошельков повысить безопасность своих услуг на уровне программного обеспечения, чтобы не допустить, чтобы бремя предотвращения ледяных фишинговых атак возлагалось исключительно на конечного пользователя.