Компанія безпеки блокчейнів CertiK нагадала криптоспільноті бути пильними щодо шахрайства з «льодовим фішингом» — унікального типу фішингового шахрайства, націленого на користувачів Web3 — яке вперше виявила Microsoft на початку цього року.
У аналітичному звіті від 20 грудня CertiK описаний льодовий фішинг як атака, яка обманом змушує користувачів Web3 підписувати дозволи, що в кінцевому підсумку дозволяє шахраю витрачати їхні токени.
Це відрізняється від традиційних фішингових атак, які намагаються отримати доступ до конфіденційної інформації, такої як особисті ключі або паролі, наприклад створені підроблені веб-сайти, які нібито допомагають Інвестори FTX повертають кошти втрачено на обміні.
1/ Кривий фішинг є значною загрозою для спільноти Web3
Замість того, щоб отримати доступ до вашого закритого ключа, шахраї обманом змушують вас підписати дозвіл на використання ваших активів.
Нижче ми розповімо, на що слід звернути увагу та як захистити себе!
— Сповіщення CertiK (@CertiKAlert) 20 Грудня, 2022
Афера 17 грудня, де 14 Bored Apes були вкрадені є прикладом продуманого шахрайського фішингу. Інвестора переконали підписати запит на трансакцію, замаскований під контракт на фільм, що зрештою дозволило шахраю продати собі всіх мавп користувача за незначну суму.
Фірма зазначила, що цей тип шахрайства є «значною загрозою», яка зустрічається лише у світі Web3, оскільки від інвесторів часто вимагають підписувати дозволи на протоколи децентралізованого фінансування (DeFi), з якими вони взаємодіють, які можна легко підробити.
«Хакеру просто потрібно змусити користувача повірити, що шкідлива адреса, на яку вони надають дозвіл, є законною. Щойно користувач схвалить дозвіл шахраю на використання токенів, активи ризикують бути вичерпаними».
Отримавши схвалення, шахрай може перевести активи на вибрану ними адресу.
Щоб захистити себе від крижаного фішингу, CertiK рекомендував інвесторам відкликати дозволи на адреси, які вони не впізнають на сайтах дослідника блокчейнів, таких як Etherscan, використовуючи інструмент затвердження токенів.
Крім того, адреси, з якими користувачі планують взаємодіяти, слід шукати в цих дослідниках блокчейнів на наявність підозрілої активності. У своєму аналізі CertiK вказує на адресу, яка фінансувалася за рахунок зняття коштів Tornado Cash, як приклад підозрілої діяльності.
CertiK також припустив, що користувачі повинні взаємодіяти лише з офіційними сайтами, які вони можуть перевірити, і особливо остерігатися сайтів соціальних мереж, таких як Twitter, виділяючи підроблений обліковий запис у Twitter Optimism як приклад.
Фірма також порадила користувачам приділити кілька хвилин, щоб перевірити надійний сайт, такий як CoinMarketCap або Coingecko, користувачі могли б побачити, що посилання на URL-адресу не є законним сайтом і його слід уникати.
Технологічний гігант Microsoft був першим, хто висвітлив цю практику в блозі 16 лютого після, заявивши тоді, що, хоча фішинг облікових даних дуже домінує у світі Web2, льодовий фішинг дає окремим шахраям можливість вкрасти частину криптоіндустрії, зберігаючи при цьому «майже повну анонімність».
Вони рекомендували, щоб проекти Web3 і постачальники гаманців підвищили безпеку своїх послуг на рівні програмного забезпечення, щоб запобігти покладенню тягаря уникнення фішингових атак виключно на кінцевого користувача.
Джерело: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik