Η εταιρεία ασφάλειας Blockchain CertiK υπενθύμισε στην κοινότητα κρυπτογράφησης να παραμείνει σε εγρήγορση σχετικά με τις απάτες «ψαρέματος πάγου» – ένας μοναδικός τύπος απάτης ηλεκτρονικού ψαρέματος που στοχεύει χρήστες του Web3 – που εντοπίστηκε για πρώτη φορά από τη Microsoft νωρίτερα φέτος.
Σε μια έκθεση ανάλυσης της 20ης Δεκεμβρίου, το CertiK περιγράφεται Απάτες ice phishing ως επίθεση που ξεγελά τους χρήστες του Web3 ώστε να υπογράψουν άδειες που καταλήγουν να επιτρέπουν σε έναν απατεώνα να ξοδεύει τα διακριτικά του.
Αυτό διαφέρει από τις παραδοσιακές επιθέσεις phishing που επιχειρούν να αποκτήσουν πρόσβαση σε εμπιστευτικές πληροφορίες, όπως ιδιωτικά κλειδιά ή κωδικούς πρόσβασης, όπως οι ψεύτικοι ιστότοποι που έχουν δημιουργηθεί και οι οποίοι ισχυρίζονται ότι βοηθούν Οι επενδυτές FTX ανακτούν κεφάλαια χαμένο στο ανταλλακτήριο.
1/ Το phishing στον πάγο είναι μια σημαντική απειλή για την κοινότητα του Web3
Αντί να αποκτήσουν πρόσβαση στο ιδιωτικό κλειδί σας, οι απατεώνες σας ξεγελούν για να υπογράψετε άδειες για να ξοδέψετε τα περιουσιακά σας στοιχεία.
Θα περιγράψουμε παρακάτω τι πρέπει να προσέξετε και πώς να προστατεύσετε τον εαυτό σας!
— Ειδοποίηση CertiK (@CertiKAlert) 20 Δεκεμβρίου 2022
Μια απάτη της 17ης Δεκεμβρίου όπου 14 Bored Apes κλάπηκαν είναι ένα παράδειγμα περίτεχνης απάτης phishing στον πάγο. Ένας επενδυτής πείστηκε να υπογράψει ένα αίτημα συναλλαγής μεταμφιεσμένο ως συμβόλαιο ταινίας, το οποίο τελικά επέτρεψε στον απατεώνα να πουλήσει όλους τους πιθήκους του χρήστη στον εαυτό του για ένα αμελητέο ποσό.
Η εταιρεία σημείωσε ότι αυτός ο τύπος απάτης ήταν μια «σημαντική απειλή» που συναντάται μόνο στον κόσμο του Web3, καθώς οι επενδυτές πρέπει συχνά να υπογράφουν άδειες σε πρωτόκολλα αποκεντρωμένης χρηματοδότησης (DeFi) με τα οποία αλληλεπιδρούν, τα οποία θα μπορούσαν εύκολα να παραποιηθούν.
«Ο χάκερ πρέπει απλώς να κάνει έναν χρήστη να πιστέψει ότι η κακόβουλη διεύθυνση στην οποία χορηγεί έγκριση είναι νόμιμη. Μόλις ένας χρήστης εγκρίνει τα δικαιώματα για τον απατεώνα να ξοδεύει μάρκες, τότε τα περιουσιακά στοιχεία κινδυνεύουν να εξαντληθούν.”
Μόλις ένας απατεώνας λάβει έγκριση, μπορεί να μεταφέρει περιουσιακά στοιχεία σε μια διεύθυνση της επιλογής του.
Για να προστατευθούν από το ψάρεμα στον πάγο, η CertiK συνέστησε στους επενδυτές να ανακαλούν τις άδειες για διευθύνσεις που δεν αναγνωρίζουν σε ιστότοπους εξερεύνησης blockchain όπως το Etherscan, χρησιμοποιώντας ένα εργαλείο έγκρισης διακριτικών.
Σχετίζεται με: Ο συνιδρυτής της απάτης του OneCoin $4 δις παραδέχεται την ενοχή του και αντιμετωπίζει 60 χρόνια φυλάκιση
Επιπλέον, οι διευθύνσεις με τις οποίες οι χρήστες σχεδιάζουν να αλληλεπιδράσουν θα πρέπει να αναζητηθούν σε αυτούς τους εξερευνητές blockchain για ύποπτη δραστηριότητα. Στην ανάλυσή του, το CertiK επισημαίνει μια διεύθυνση που χρηματοδοτήθηκε από αναλήψεις μετρητών Tornado ως παράδειγμα ύποπτης δραστηριότητας.
Το CertiK πρότεινε επίσης ότι οι χρήστες πρέπει να αλληλεπιδρούν μόνο με επίσημους ιστότοπους που μπορούν να επαληθεύσουν και να είναι ιδιαίτερα προσεκτικοί με ιστότοπους κοινωνικής δικτύωσης όπως το Twitter, επισημαίνοντας ως παράδειγμα έναν ψεύτικο λογαριασμό Twitter Optimism.
Η εταιρεία συμβούλεψε επίσης τους χρήστες να αφιερώσουν μερικά λεπτά για να ελέγξουν έναν αξιόπιστο ιστότοπο, όπως το CoinMarketCap ή το Coingecko, οι χρήστες θα μπορούσαν να δουν ότι η συνδεδεμένη διεύθυνση URL δεν ήταν νόμιμη τοποθεσία και θα έπρεπε να αποφευχθεί.
Ο τεχνολογικός γίγαντας Microsoft ήταν ο πρώτος που ανέδειξε αυτήν την πρακτική σε ένα ιστολόγιο της 16ης Φεβρουαρίου Θέσηλέγοντας εκείνη την εποχή ότι ενώ το phishing διαπιστευτηρίων είναι πολύ κυρίαρχο στον κόσμο του Web2, το ice phishing δίνει στους μεμονωμένους απατεώνες τη δυνατότητα να κλέψουν ένα κομμάτι της βιομηχανίας κρυπτογράφησης διατηρώντας «σχεδόν πλήρη ανωνυμία».
Συνέστησαν τα έργα Web3 και οι πάροχοι πορτοφολιών να αυξήσουν την ασφάλεια των υπηρεσιών τους σε επίπεδο λογισμικού, προκειμένου να αποφευχθεί το βάρος της αποφυγής επιθέσεων phishing αποκλειστικά στον τελικό χρήστη.