By
Компания CertiK, занимающаяся безопасностью блокчейна, напомнила криптосообществу о том, что нужно быть настороже в отношении мошенничества с «ледяным фишингом» — уникальным типом мошенничества. фишинговая афера, нацеленная на пользователей Web3 который был впервые идентифицирован Microsoft ранее в этом году.
В аналитическом отчете от 20 декабря CertiK описал ледяной фишинг как атака, которая обманом заставляет пользователей Web3 подписывать разрешения, что в конечном итоге позволяет мошеннику тратить свои токены.
Это отличается от традиционных фишинговых атак, которые пытаются получить доступ к конфиденциальной информации, такой как закрытые ключи или пароли, с помощью таких методов, как поддельные веб-сайты, которые утверждают, что помогают Инвесторы FTX возвращают потерянные средства.
1/ Ледяной фишинг представляет собой серьезную угрозу для сообщества Web3
Вместо того, чтобы получить доступ к вашему закрытому ключу, мошенники обманом заставляют вас подписывать разрешения на использование ваших активов.
Ниже мы расскажем, на что следует обратить внимание и как защитить себя!
— Предупреждение CertiK (@CertiKAlert) 20 декабря 2022 г.
Мошенничество 17 декабря, когда 14 скучающих обезьян были украдены является примером тщательно продуманной фишинговой атаки. Инвестор был убежден подписать запрос на транзакцию, замаскированный под контракт на фильм, что в конечном итоге позволило мошеннику продать себе всех обезьян пользователя за ничтожную сумму.
Фирма отметила, что этот тип мошенничества представляет собой «серьезную угрозу» и встречается только в мире Web3, где от инвесторов часто требуется подписывать разрешения на протоколы децентрализованного финансирования (DeFi), которые можно легко подделать. Сертик писал(а):
«Хакеру просто нужно заставить пользователя поверить в то, что вредоносный адрес, которому он дает разрешение, является законным. Как только пользователь разрешил мошеннику тратить токены, активы рискуют быть истощенными».
Как только мошенник получил одобрение, он может перевести активы на адрес по своему выбору.
Чтобы защитить себя от ледяного фишинга, CertiK рекомендовала инвесторам использовать инструмент одобрения токенов и сайт обозревателя блокчейна, такой как Etherscan, для отзыва разрешений для адресов, которые они не узнают.
Связанный: Соучредитель аферы OneCoin на 4 миллиарда долларов признал себя виновным, ему грозит 60 лет тюрьмы
Кроме того, адреса, с которыми пользователи планируют взаимодействовать, следует проверять в этих обозревателях блокчейнов на наличие подозрительной активности. В своем анализе CertiK указывает на адрес, который финансировался за счет снятия Tornado Cash, как на пример подозрительной активности.
CertiK также предложил пользователям взаимодействовать только с официальными сайтами, которые они могут проверить, и с особой осторожностью относиться к сайтам социальных сетей, таким как Twitter, выделив в качестве примера поддельную учетную запись Optimism Twitter.
Фирма также посоветовала пользователям потратить пару минут на проверку надежного сайта, такого как CoinMarketCap или CoinGecko, чтобы убедиться, что URL-адрес ведет на законный сайт.
Технический гигант Microsoft был первым, кто выделять эта практика в сообщении в блоге от 16 февраля, в котором говорится, что, хотя фишинг учетных данных очень распространен в мире Web2, ледяной фишинг дает отдельным мошенникам возможность украсть часть криптоиндустрии, сохраняя при этом «почти полную анонимность».
Они рекомендовали проектам Web3 и поставщикам кошельков повысить свою безопасность на уровне программного обеспечения, чтобы не допустить, чтобы бремя предотвращения фишинговых атак возлагалось исключительно на конечного пользователя.
