Læsetid: 6 minutter
I web3-verdenen kommer phishing-forsøg i en række forskellige former. Da teknologien stadig er under udvikling, kan der opstå nye former for angreb. Nogle angreb, såsom ice phishing, er specifikke for Web3, mens andre ligner de mere almindelige credential phishing-angreb på Web2.
Før vi ved, hvad et ice phishing-angreb præcist er, og hvordan det virker, lad os først forstå, hvordan transaktioner signeres i Blockchain, og hvad der er token-godkendelse.
Underskrivelse af en transaktion
Vi kan oprette forbindelse til decentrale applikationer ved hjælp af tegnebøger som Metamask til at udføre handlinger som udlån, lån, køb af NFT osv. Ondsindede brugere forsøger at udnytte det faktum, at brugere skal underskrive transaktioner ved hjælp af deres Metamask for at udføre disse handlinger.
Metamask-pop-op-vinduet vises og spørger brugeren, om de vil bekræfte eller annullere transaktionen, når en app skal udføre en on-chain-handling. Se nedenstående billede.
I ovenstående eksempel kan vi se, at metamask beder os om bekræftelse, når vi bytter ETH til UNI-tokens. Transaktionen vil blive udført, når vi bekræfter den. Som følge heraf kan det være sværere at forstå, hvilke aktiviteter du tillader i nogle transaktioner, især hvis vi tillader en række handlinger i stedet for en enkelt øjeblikkelig handling. Angribere søger at udnytte denne mangel på klarhed, når de går på is-phishing.
Tokengodtgørelse
En transaktion, hvor en token-ejer autoriserer en token-bruger til at bruge token-beløbet på token-ejerens vegne. En ejer kan give en symbolsk godtgørelse for ikke-fungible og fungible tokens. Ejeren er den konto, der ejer poletterne og giver brugeren godtgørelsen.
Hvad er Ice Phishing
I simple termer involverer Ice Phishing at narre en bruger til at underskrive en ondsindet transaktion, så angriberen kan få kontrol over kryptoaktiverne.
"Ice phishing"-metoden involverer ikke at stjæle en andens private nøgler. I stedet kræver det, at man forsøger at narre en bruger til at godkende en transaktion, der giver angriberen kontrol over brugerens tokens.
Godkendelser er en hyppig type transaktion, der tillader interaktioner mellem brugerne med DeFi-protokoller. Dette gør ice phishing til en betydelig trussel for Web3-investorer, da interaktion med DeFi-protokoller kræver, at du giver tilladelse til at interagere.
Hvordan virker angrebet?
Angriberen udfører dette angreb i to trin:
1. Narre offeret til at underskrive godkendelsestransaktioner:
Angribere konstruerer svigagtige websteder, der efterligner en DEX, såsom SushiSwap, eller som en hjælpeside til et kryptoprodukt.
Angriberen udsender normalt disse ondsindede links til salgsfremmende gaver og "eksklusive" NFT'er, phishing-e-mails, tweets, uenigheder osv., hvilket presser folk til at hoppe ind på disse ondsindede websteder ved at skabe en falsk følelse af uopsættelighed og fremkalde FOMO (frygt). af glip) blandt brugerne. Se eksemplet nedenfor:
Svindlere lykkes, når de kan narre brugere til at forbinde tegnebøger til deres ondsindede websteder og manipulere brugere til at underskrive godkendelser til at bruge deres aktiver.
2. Stjæle tokens fra brugernes tegnebøger:
Så snart brugeren godkender tokens til den ondsindede angribers adresse. Angriberen kalder transferFrom-funktionen og overfører alle tokens til sin tegnebog. Fidusen involverer normalt mindst to tegnebøger. I første omgang Ice Phishing-pungen, som brugerne havde givet deres godkendelse, og derefter Modtager-pungen, hvor angriberen overførte tokens.
Badger DAO Case Study
Badger er en DeFi-protokol, der gør det muligt at tjene renter på indskud. Den 2. december 2021 var BadgerDAO under et is-phishing-angreb. Badgers Cloudflare API-nøgle blev kompromitteret, hvilket gjorde det muligt for angriberen at overtage front-end-infrastrukturen.
Angriberen var således i stand til at injicere ondsindet script på frontenden. Nu forsøgte brugerne at oprette forbindelse til BadgerDAO og troede, at de indsatte tokens for at få et udbytte. Alligevel gav den faktiske transaktion, de underskrev, angriberne fuldstændig adgang til deres aktiver.
Angribere tog millioner fra ofrenes konti og valgte specifikt personer med højere saldo at målrette mod. De ændrede deres manuskript i løbet af dagen i et forsøg på at forblive uopdaget. Til sidst genkendte BadgerDAO angrebet og stoppede den smarte kontrakt, men udnytterne havde allerede stjålet omkring 121 millioner dollars fra 200 konti.
Sådan beskytter du dig selv
Klik ikke på mistænkelige links: For at undgå phishing-URL'er og domæne-squatters skal du kun bruge den verificerede URL til at få adgang til dApps og tjenester. Projektets URL er normalt tilgængelig på deres verificerede Twitter-konto, hvis du er i tvivl.
Bekræft transaktionen før underskrift: Det er vigtigt at læse transaktionens detaljer, før du logger på den i Metamask eller en anden tegnebog for at sikre, at de handlinger, du har til hensigt, bliver udført.
Administrer dine kryptoaktiver gennem flere tegnebøger: Distribuer dine cryptocurrency-beholdninger, gem langsigtede investeringer og værdifulde NFT'er i kølerum som hardware-punge, mens du beholder midler til almindelige transaktioner og mere aktive dApps i en anden hot wallet.
Gennemgå og tilbagekald periodisk godtgørelse: Periodisk gennemgå og tilbagekalde dine kvoter er altid en god idé, især for NFT-markedspladser, når du ikke aktivt bruger en dapp. Dette minimerer din chance for at tabe penge på udnyttelse eller angreb og reducerer virkningen af phishing-svindel. Du kan bruge Revoke.cash or Etherscan token godkendelseskontrol for det.
Bliv opdateret med svindel for at undgå dem: Hold øje med svindel og rapporter usædvanlig opførsel. Rapportering af svindel vil hjælpe sikkerhedspersonale og retshåndhævelse med at fange svindlere, før de forårsager for meget skade.
Konklusion
Is-phishing-angreb og andre cryptocurrency-svindel vil sandsynligvis vokse mere udbredt, efterhånden som kryptomarkedet fortsætter med at stige. Opmærksomhed og uddannelse er de bedste sikkerhedsforanstaltninger. Brugere bør være opmærksomme på, hvordan disse svindelnumre fungerer, så de kan tage de passende forholdsregler for at holde sig selv sikre. Det er altid umagen værd at bruge et ekstra øjeblik på at bekræfte, at den URL, du interagerer med, er blevet valideret både på kæden og af en pålidelig kilde.
Ofte Stillede Spørgsmål
Hvad skal jeg gøre, hvis jeg har mistanke om et isphishing-forsøg?
Tjek og tilbagekald dine godkendelser for adresser, der kan have kompromitteret din tegnebog. https://etherscan.io/tokenapprovalchecker. Overfør også alle dine penge til andre tegnebøger.
Hvordan kan jeg beskytte mig selv mod ice phishing?
For at beskytte dig selv mod is-phishing-angreb bør du være forsigtig med uopfordrede e-mails, beskeder og telefonopkald, selvom de ser ud til at være fra en velrenommeret kilde. Bekræft transaktionen, før du underskriver den.
Hvordan tilbagekalder man godkendelser af en adresse?
Du kan bruge Revoke.cash or Etherscan token godkendelseskontrol for at fjerne godkendelser til en adresse.
24 Views
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- I stand
- over
- adgang
- Konto
- Konti
- Handling
- aktioner
- aktiv
- aktivt
- aktiviteter
- handlinger
- adresse
- adresser
- Fordel
- Alle
- tillade
- tillader
- allerede
- altid
- blandt
- beløb
- ,
- api
- app
- vises
- applikationer
- passende
- godkendelse
- omkring
- Aktiver
- angribe
- Angreb
- Forsøg på
- opmærksomhed
- til rådighed
- saldi
- før
- jf. nedenstående
- blockchain
- låntagning
- Opkald
- tilfælde
- Kontanter
- Årsag
- forsigtig
- chance
- valgte
- klarhed
- CloudFlare
- Kølig opbevaring
- Kom
- Fælles
- fuldføre
- Kompromitteret
- Bekræfte
- Tilslut
- Tilslutning
- betydelig
- konstruere
- fortsætter
- kontrakt
- kontrol
- dæksel
- Oprettelse af
- KREDENTIAL
- krypto
- Crypto Market
- krypto-aktiver
- cryptocurrency
- DAO
- DAI
- DApps
- dag
- december
- decentral
- Decentraliserede applikationer
- Defi
- DEFI PROTOKOL
- DeFi-protokoller
- indskud
- detaljer
- udvikling
- Dex
- forskellige
- svært
- distribuere
- domæne
- tvivler
- tjene
- Uddannelse
- indsats
- Ellers
- emails
- håndhævelse
- sikre
- især
- væsentlig
- etc.
- ETH
- etherscan
- Endog
- til sidst
- præcist nok
- eksempel
- udføre
- Udfører
- Exploit
- exploits
- ekstra
- øje
- frygt
- Fornavn
- FOMO
- formularer
- svindlere
- svigagtig
- hyppig
- fra
- forsiden
- forreste ende
- funktion
- fonde
- ombyttelige
- Gevinst
- få
- få
- foræring
- given
- Go
- godt
- indrømme
- bevilget
- tilskud
- Grow
- Hardware
- Hardware lommebøger
- hjælpe
- højere
- Holdings
- HOT
- Varm tegnebog
- Hvordan
- How To
- HTTPS
- ICE
- idé
- billede
- umiddelbar
- KIMOs Succeshistorier
- in
- enkeltpersoner
- Infrastruktur
- i første omgang
- i stedet
- interagere
- interaktion
- interaktioner
- interesse
- Investeringer
- Investorer
- involvere
- IT
- hoppe
- Holde
- holde
- Nøgle
- nøgler
- Kendskab til
- Mangel
- Lov
- retshåndhævelse
- udlån
- links
- langsigtet
- leder
- miste
- maerker
- Marked
- markedspladser
- beskeder
- MetaMask
- metode
- million
- millioner
- mangler
- øjeblik
- penge
- mere
- flere
- Ny
- NFT
- NFT markedspladser
- NFT'er
- On-Chain
- ONE
- betjene
- drift
- Andet
- Andre
- ejer
- ejer
- især
- Mennesker
- Udfør
- tilladelse
- Phishing
- phishing-angreb
- phishing-angreb
- Phishing-svindel
- telefon
- telefonopkald
- plato
- Platon Data Intelligence
- PlatoData
- pop-up
- fremherskende
- private
- Private nøgler
- sandsynligvis
- Produkt
- professionelle partnere
- projekt
- salgsfremmende
- beskytte
- protokol
- protokoller
- give
- køb
- Pushing
- Quillhash
- Læs
- anerkendt
- reducerer
- fast
- pålidelig
- forblive
- fjernelse
- indberette
- Rapportering
- hæderlige
- Kræver
- resultere
- gennemgå
- Rise
- sikker
- Fup
- svindel
- sikkerhed
- forstand
- Series
- Tjenester
- bør
- underskrive
- underskrevet
- signering
- Simpelt
- siden
- enkelt
- Smart
- smart kontrakt
- So
- nogle
- Nogen
- Kilde
- specifikke
- specifikt
- tilbringe
- Steps
- Stadig
- stjålet
- opbevaring
- lykkes
- sådan
- sushiswap
- mistænksom
- Tag
- mål
- Teknologier
- vilkår
- deres
- selv
- Tænker
- trussel
- Gennem
- hele
- tid
- til
- token
- Tokens
- også
- transaktion
- Transaktioner
- overførsel
- overført
- overførsler
- sand
- tweets
- under
- forstå
- UNI
- uopfordret
- opdateret
- haster
- URL
- us
- brug
- Bruger
- brugere
- sædvanligvis
- valideret
- Værdifuld
- række
- verificeres
- verificere
- Victim
- tegnebog
- Punge
- Web2
- Web3
- Web3 verden
- websites
- Hvad
- hvorvidt
- som
- mens
- vilje
- virker
- world
- værd
- Udbytte
- Du
- Din
- dig selv
- zephyrnet