Ώρα ανάγνωσης: 6 πρακτικά
Στον κόσμο του web3, οι απόπειρες phishing έρχονται σε διάφορες μορφές. Δεδομένου ότι η τεχνολογία εξακολουθεί να αναπτύσσεται, μπορεί να προκύψουν νέα είδη επιθέσεων. Ορισμένες επιθέσεις, όπως το ice phishing, είναι συγκεκριμένες για το Web3, ενώ άλλες μοιάζουν με τις πιο κοινές επιθέσεις phishing διαπιστευτηρίων στο Web2.
Προτού μάθουμε τι ακριβώς είναι και πώς λειτουργεί μια επίθεση ψαρέματος πάγου, ας καταλάβουμε πρώτα πώς υπογράφονται οι συναλλαγές στο Blockchain και τι είναι το token επίδομα.
Υπογραφή Συναλλαγής
Μπορούμε να συνδεθούμε σε αποκεντρωμένες εφαρμογές χρησιμοποιώντας πορτοφόλια όπως π.χ Metamask για την εκτέλεση ενεργειών όπως δανεισμός, δανεισμός, αγορά NFT κ.λπ. Οι κακόβουλοι χρήστες προσπαθούν να εκμεταλλευτούν το γεγονός ότι οι χρήστες πρέπει να υπογράψουν συναλλαγές χρησιμοποιώντας το Metamask τους για να εκτελέσουν αυτές τις πράξεις.
Το αναδυόμενο παράθυρο Metamask θα εμφανιστεί και θα ρωτήσει τον χρήστη εάν θέλει να επιβεβαιώσει ή να ακυρώσει τη συναλλαγή όταν μια εφαρμογή πρέπει να εκτελέσει μια λειτουργία on-chain. Δείτε την παρακάτω εικόνα.
Στο παραπάνω παράδειγμα, μπορούμε να δούμε ότι η μεταμάσκα μας προτρέπει για επιβεβαίωση όταν ανταλλάσσουμε το ETH με διακριτικά UNI. Η συναλλαγή θα εκτελεστεί μόλις την επιβεβαιώσουμε. Ως αποτέλεσμα, μπορεί να είναι πιο δύσκολο να κατανοήσουμε ποιες δραστηριότητες επιτρέπετε σε ορισμένες συναλλαγές, ιδιαίτερα εάν επιτρέπουμε μια σειρά πράξεων και όχι μια μεμονωμένη άμεση ενέργεια. Οι επιτιθέμενοι προσπαθούν να εκμεταλλευτούν αυτήν την έλλειψη σαφήνειας όταν κάνουν phishing στον πάγο.
Token Allowance
Μια συναλλαγή κατά την οποία ένας κάτοχος διακριτικού εξουσιοδοτεί έναν καταναλωτή κουπονιού να δαπανήσει το ποσό κουπόνι για λογαριασμό του κατόχου του διακριτικού. Ένας ιδιοκτήτης μπορεί να παρέχει ένα συμβολικό επίδομα για μη ανταλλάξιμα και ανταλλάξιμα μάρκες. Ο ιδιοκτήτης είναι ο λογαριασμός που κατέχει τα διακριτικά και χορηγεί στον καταναλωτή το επίδομα.
Τι είναι το Ice Phishing
Με απλά λόγια, το Ice Phishing περιλαμβάνει την εξαπάτηση ενός χρήστη για να υπογράψει μια κακόβουλη συναλλαγή, ώστε ο εισβολέας να αποκτήσει τον έλεγχο των περιουσιακών στοιχείων κρυπτογράφησης.
Η μέθοδος «ψαρέματος πάγου» δεν περιλαμβάνει την κλοπή των ιδιωτικών κλειδιών κάποιου άλλου. Αντίθετα, απαιτεί προσπάθεια εξαπάτησης ενός χρήστη ώστε να εγκρίνει μια συναλλαγή που παρέχει στον εισβολέα τον έλεγχο των διακριτικών του χρήστη.
Οι εγκρίσεις είναι ένας συχνός τύπος συναλλαγής που επιτρέπει τις αλληλεπιδράσεις των χρηστών με τα Πρωτόκολλα DeFi. Αυτό καθιστά το ice phishing μια σημαντική απειλή για τους επενδυτές του Web3, καθώς η αλληλεπίδραση με τα πρωτόκολλα DeFi απαιτεί να χορηγήσετε άδεια αλληλεπίδρασης.
Πώς λειτουργεί η επίθεση;
Ο εισβολέας εκτελεί αυτήν την επίθεση σε δύο βήματα:
1. Εξαπάτηση του θύματος να υπογράψει Συναλλαγές Εγκρίσεων:
Οι εισβολείς κατασκευάζουν δόλιους ιστότοπους που πλαστοπροσωπούν ένα DEX, όπως το SushiSwap, ή ως σελίδα βοήθειας για ένα προϊόν κρυπτογράφησης.
Ο εισβολέας συνήθως στέλνει αυτούς τους κακόβουλους συνδέσμους σε διαφημιστικά δώρα και «αποκλειστικά» νομισματοκοπεία NFT, ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος, tweets, διαφωνίες κ.λπ., ωθώντας τους ανθρώπους να μεταβούν σε αυτούς τους κακόβουλους ιστότοπους δημιουργώντας μια ψευδή αίσθηση επείγοντος και προκαλώντας FOMO (φόβος της απώλειας) μεταξύ των χρηστών. Δείτε το Παράδειγμα παρακάτω:
Οι απατεώνες πετυχαίνουν όταν μπορούν να εξαπατήσουν τους χρήστες να συνδέσουν πορτοφόλια στους Κακόβουλους ιστότοπούς τους και να χειραγωγήσουν τους χρήστες ώστε να υπογράψουν εγκρίσεις για να ξοδέψουν τα περιουσιακά τους στοιχεία.
2. Κλοπή κουπονιών από πορτοφόλια χρηστών:
Μόλις ο χρήστης εγκρίνει τα διακριτικά στη διεύθυνση του κακόβουλου εισβολέα. Ο εισβολέας καλεί τη συνάρτηση transferFrom και μεταφέρει όλα τα διακριτικά στο πορτοφόλι του. Η απάτη συνήθως περιλαμβάνει τουλάχιστον δύο πορτοφόλια. Αρχικά, το πορτοφόλι Ice Phishing, το οποίο οι χρήστες είχαν δώσει την έγκρισή τους, και στη συνέχεια το πορτοφόλι Παραλήπτη, όπου ο εισβολέας μετέφερε τα διακριτικά.
Μελέτη περίπτωσης Badger DAO
Το Badger είναι ένα πρωτόκολλο DeFi που επιτρέπει σε κάποιον να κερδίσει τόκους από καταθέσεις. Στις 2 Δεκεμβρίου 2021, το BadgerDAO δέχθηκε επίθεση phishing στον πάγο. Το κλειδί API του Cloudflare του Badger παραβιάστηκε, επιτρέποντας στον εισβολέα να αναλάβει την υποδομή του front-end.
Ο εισβολέας μπόρεσε έτσι να εισάγει κακόβουλο σενάριο στο μπροστινό μέρος. Τώρα, οι χρήστες προσπάθησαν να συνδεθούν στο BadgerDAO, νομίζοντας ότι κατέθεταν μάρκες για να λάβουν απόδοση. Ωστόσο, η πραγματική συναλλαγή που υπέγραψαν παρείχε στους εισβολείς πλήρη πρόσβαση στα περιουσιακά τους στοιχεία.
Οι επιτιθέμενοι πήραν εκατομμύρια από τους λογαριασμούς των θυμάτων και επέλεξαν συγκεκριμένα άτομα με υψηλότερα υπόλοιπα για να στοχεύσουν. Άλλαξαν το σενάριό τους όλη την ημέρα σε μια προσπάθεια να παραμείνουν απαρατήρητοι. Τελικά, ο BadgerDAO αναγνώρισε την επίθεση και σταμάτησε το έξυπνο συμβόλαιο, αλλά οι εκμεταλλευτές είχαν ήδη κλέψει περίπου 121 εκατομμύρια δολάρια από 200 λογαριασμούς.
Πώς να προστατέψετε τον εαυτό σας
Μην κάνετε κλικ στους ύποπτους συνδέσμους: Για να αποφύγετε διευθύνσεις URL ηλεκτρονικού ψαρέματος και καταλήψεις τομέα, χρησιμοποιήστε μόνο την επαληθευμένη διεύθυνση URL για πρόσβαση σε εφαρμογές και υπηρεσίες dApps. Η διεύθυνση URL του έργου είναι συνήθως διαθέσιμη στον επαληθευμένο λογαριασμό τους στο Twitter εάν υπάρχει αμφιβολία.
Επαληθεύστε τη συναλλαγή πριν υπογράψετε: Είναι απαραίτητο να διαβάσετε τα στοιχεία της συναλλαγής πριν την υπογράψετε στο Metamask ή σε οποιοδήποτε άλλο πορτοφόλι για να διασφαλίσετε ότι οι ενέργειες που σκοπεύετε θα εκτελεστούν.
Διαχειριστείτε τα κρυπτογραφικά σας στοιχεία μέσω πολλαπλών πορτοφολιών: Διανείμετε τα αποθέματα κρυπτονομισμάτων σας, αποθηκεύοντας μακροπρόθεσμες επενδύσεις και πολύτιμα NFT σε ψυχρή αποθήκευση, όπως πορτοφόλια υλικού, διατηρώντας παράλληλα κεφάλαια για τακτικές συναλλαγές και πιο ενεργές εφαρμογές dApp σε ένα διαφορετικό καυτό πορτοφόλι.
Αναθεωρείτε και ανακαλείτε περιοδικά το Επίδομα: Ο περιοδικός έλεγχος και η ανάκληση των δικαιωμάτων σας είναι πάντα μια καλή ιδέα, ειδικά για αγορές NFT, όποτε δεν χρησιμοποιείτε ενεργά ένα dapp. Αυτό ελαχιστοποιεί την πιθανότητα να χάσετε χρήματα από εκμεταλλεύσεις ή επιθέσεις και μειώνει τον αντίκτυπο των απατών ηλεκτρονικού "ψαρέματος" (phishing). Μπορείς να χρησιμοποιήσεις Ανάκληση.μετρητά or Έλεγχος έγκρισης διακριτικού Etherscan για αυτό.
Ενημερωθείτε με τις απάτες για να τις αποφύγετε: Έχετε το νου σας για απάτες και αναφέρετε οποιαδήποτε ασυνήθιστη συμπεριφορά. Η αναφορά απατών θα βοηθήσει τους επαγγελματίες ασφαλείας και τις αρχές επιβολής του νόμου να συλλάβουν απατεώνες προτού προκαλέσουν υπερβολική ζημιά.
Συμπέρασμα
Οι επιθέσεις phishing στον πάγο και άλλες απάτες κρυπτονομισμάτων πιθανότατα θα γίνουν πιο διαδεδομένες καθώς η αγορά κρυπτονομισμάτων συνεχίζει να αυξάνεται. Η προσοχή και η εκπαίδευση είναι τα καλύτερα μέτρα ασφαλείας. Οι χρήστες θα πρέπει να γνωρίζουν πώς λειτουργούν αυτές οι απάτες, ώστε να μπορούν να λαμβάνουν τις κατάλληλες προφυλάξεις για να παραμείνουν ασφαλείς. Αξίζει πάντα να αφιερώνετε ένα επιπλέον λεπτό για να επιβεβαιώσετε ότι η διεύθυνση URL με την οποία αλληλεπιδράτε έχει επικυρωθεί τόσο στην αλυσίδα όσο και από μια αξιόπιστη πηγή.
FAQs
Τι πρέπει να κάνω εάν υποψιάζομαι μια απόπειρα phishing στον πάγο;
Ελέγξτε και ανακαλέστε τις εγκρίσεις σας για τυχόν διευθύνσεις που μπορεί να έχουν θέσει σε κίνδυνο το πορτοφόλι σας. https://etherscan.io/tokenapprovalchecker. Επίσης, μεταφέρετε όλα τα χρήματά σας σε άλλα πορτοφόλια.
Πώς μπορώ να προστατευτώ από το phishing στον πάγο;
Για να προστατευτείτε από επίθεση phishing στον πάγο, θα πρέπει να είστε προσεκτικοί με ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα και τηλεφωνικές κλήσεις, ακόμα κι αν φαίνεται ότι προέρχονται από αξιόπιστη πηγή. Επαληθεύστε τη συναλλαγή πριν την υπογράψετε.
Πώς να ανακαλέσετε εγκρίσεις για μια διεύθυνση;
Μπορείς να χρησιμοποιήσεις Ανάκληση.μετρητά or Έλεγχος έγκρισης διακριτικού Etherscan για την κατάργηση εγκρίσεων για μια διεύθυνση.
24 Προβολές
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- Ικανός
- πάνω από
- πρόσβαση
- Λογαριασμός
- Λογαριασμοί
- Ενέργειες
- ενεργειών
- ενεργός
- δραστήρια
- δραστηριοτήτων
- πράξεις
- διεύθυνση
- διευθύνσεις
- Πλεονέκτημα
- Όλα
- Επιτρέποντας
- επιτρέπει
- ήδη
- πάντοτε
- μεταξύ των
- ποσό
- και
- api
- app
- εμφανίζομαι
- εφαρμογές
- κατάλληλος
- έγκριση
- γύρω
- Ενεργητικό
- επίθεση
- Επιθέσεις
- Προσπάθειες
- προσοχή
- διαθέσιμος
- ισορροπίες
- πριν
- παρακάτω
- blockchain
- Δανεισμός
- κλήσεις
- περίπτωση
- Μετρητά
- Αιτία
- προσεκτικός
- ευκαιρία
- επέλεξε
- σαφήνεια
- Cloudflare
- Cold Storage
- Ελάτε
- Κοινός
- πλήρης
- Συμβιβασμένος
- Επιβεβαιώνω
- Connect
- Συνδετικός
- σημαντικός
- κατασκευάσει
- συνεχίζεται
- σύμβαση
- έλεγχος
- κάλυμμα
- δημιουργία
- ΠΙΣΤΟΠΟΙΗΤΙΚΟ
- κρυπτο
- Crypto Market
- crypto-περιουσιακά στοιχεία
- cryptocurrency
- DAO
- dapp
- dapps
- ημέρα
- Δεκέμβριος
- Αποκεντρωμένη
- Αποκεντρωμένες Εφαρμογές
- Defi
- ΠΡΩΤΟΚΟΛΛΟ DEFI
- Πρωτόκολλα DeFi
- καταθέσεις
- καθέκαστα
- ανάπτυξη
- Dex
- διαφορετικές
- δύσκολος
- διανέμω
- τομέα
- αμφιβάλλω
- κερδίζουν
- Εκπαίδευση
- προσπάθεια
- Άλλος
- επιβολή
- εξασφαλίζω
- ειδικά
- ουσιώδης
- κ.λπ.
- ETH
- Ethercan
- Even
- τελικά
- ακριβώς
- παράδειγμα
- εκτελέσει
- Εκτελεί
- Εκμεταλλεύομαι
- εκμεταλλεύεται
- επιπλέον
- μάτι
- φόβος
- Όνομα
- FOMO
- μορφές
- απατεώνες
- απατηλός
- συχνάζω
- από
- εμπρός
- εμπρόσθιο άκρο
- λειτουργία
- χρήματα
- Πάθος
- Κέρδος
- παίρνω
- να πάρει
- δώρα
- δεδομένου
- Go
- καλός
- χορηγεί
- χορηγείται
- επιχορηγήσεις
- Grow
- υλικού
- Πορτοφόλια υλικού
- βοήθεια
- υψηλότερο
- Συμμετοχές
- ΚΑΥΤΌ
- Καυτό πορτοφόλι
- Πως
- Πώς να
- HTTPS
- ICE
- ιδέα
- εικόνα
- άμεσος
- Επίπτωση
- in
- άτομα
- Υποδομή
- αρχικά
- αντί
- αλληλεπιδρούν
- αλληλεπιδρώντας
- αλληλεπιδράσεις
- τόκος
- Επενδύσεις
- Επενδυτές
- εμπλέκω
- IT
- άλμα
- Διατήρηση
- τήρηση
- Κλειδί
- πλήκτρα
- Γνωρίζοντας
- Έλλειψη
- Νόμος
- επιβολή του νόμου
- δανεισμός
- ΣΥΝΔΕΣΜΟΙ
- μακροπρόθεσμος
- κοιτάζοντας
- να χάσει
- ΚΑΝΕΙ
- αγορά
- αγορές
- μηνύματα
- MetaMask
- μέθοδος
- εκατομμύριο
- εκατομμύρια
- Λείπει
- στιγμή
- χρήματα
- περισσότερο
- πολλαπλούς
- Νέα
- NFT
- NFT Marketplace
- NFT
- On-Chain
- ONE
- λειτουργούν
- λειτουργία
- ΑΛΛΑ
- Άλλα
- ιδιοκτήτης
- ανήκει
- ιδιαίτερα
- People
- Εκτελέστε
- άδεια
- Phishing
- επίθεση phishing
- επιθέσεις ηλεκτρονικού ψαρέματος
- Απάτες phishing
- τηλέφωνο
- τηλεφωνικές κλήσεις
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- pop-up
- επικρατών
- ιδιωτικός
- Ιδιωτικά κλειδιά
- πιθανώς
- Προϊόν
- επαγγελματίες
- σχέδιο
- διαφημιστικές λύσεις
- προστασία
- πρωτόκολλο
- πρωτόκολλα
- παρέχουν
- αγορά
- Δραστήριος
- Quillhash
- Διάβασε
- αναγνωρισμένος
- μειώνει
- τακτικός
- αξιόπιστος
- παραμένουν
- αφαίρεση
- αναφέρουν
- Αναφορά
- ευυπόληπτος
- Απαιτεί
- αποτέλεσμα
- ανασκόπηση
- Αύξηση
- ένα ασφαλές
- Απάτη
- απάτες
- ασφάλεια
- αίσθηση
- Σειρές
- Υπηρεσίες
- θα πρέπει να
- υπογράψουν
- υπογραφεί
- υπογραφή
- Απλούς
- αφού
- ενιαίας
- έξυπνος
- έξυπνη σύμβαση
- So
- μερικοί
- Κάποιος
- Πηγή
- συγκεκριμένες
- ειδικά
- δαπανήσει
- Βήματα
- Ακόμη
- κλαπεί
- χώρος στο δίσκο
- επιτύχει
- τέτοιος
- σούσις
- ύποπτος
- Πάρτε
- στόχος
- Τεχνολογία
- όροι
- Η
- τους
- τους
- Σκέψη
- απειλή
- Μέσω
- παντού
- ώρα
- προς την
- ένδειξη
- κουπόνια
- πολύ
- συναλλαγή
- Συναλλαγές
- μεταφορά
- μεταφέρονται
- μεταβιβάσεις
- αληθής
- tweets
- Τουίτερ
- υπό
- καταλαβαίνω
- UNI
- Αυτόκλητη
- ενημερώθηκε
- επείγον
- URL
- us
- χρήση
- Χρήστες
- Χρήστες
- συνήθως
- επικυρωμένο
- Πολύτιμος
- ποικιλία
- επαληθεύεται
- επαληθεύει
- Θύμα
- Πορτοφόλι
- Πορτοφόλια
- Web2
- Web3
- Web3 κόσμος
- ιστοσελίδες
- Τι
- αν
- Ποιό
- ενώ
- θα
- λειτουργεί
- κόσμος
- που αξίζει τον κόπο
- Βελτιστοποίηση
- Εσείς
- Σας
- τον εαυτό σας
- zephyrnet