Lukeaika: 6 pöytäkirja
Web3-maailmassa tietojenkalasteluyrityksiä on monenlaisissa muodoissa. Koska tekniikka on vielä kehittymässä, uudenlaisia hyökkäyksiä voi syntyä. Jotkut hyökkäykset, kuten jään tietojenkalastelu, ovat ominaisia Web3:lle, kun taas toiset muistuttavat Web2:ssa yleisempiä tunnistetietojen kalasteluhyökkäyksiä.
Ennen kuin tiedämme, mikä jään tietojenkalasteluhyökkäys tarkalleen on ja miten se toimii, ymmärrämme ensin, kuinka tapahtumat allekirjoitetaan Blockchainissa ja mitkä ovat token-päästöoikeuksia.
Tapahtuman allekirjoittaminen
Voimme muodostaa yhteyden hajautettuihin sovelluksiin lompakoilla, kuten Metamask suorittaakseen toimia, kuten lainaamista, lainaamista, NFT:n ostamista jne. Haitalliset käyttäjät yrittävät hyödyntää sitä tosiasiaa, että käyttäjien on allekirjoitettava tapahtumat Metamaskillaan suorittaakseen nämä toimet.
Metamask-ponnahdusikkuna tulee näkyviin ja kysyy käyttäjältä, haluaako hän vahvistaa tai peruuttaa tapahtuman, kun sovelluksen on suoritettava ketjun toiminto. Katso alla oleva kuva.
Yllä olevassa esimerkissä voimme nähdä, että metamaski pyytää meitä vahvistamaan, kun vaihdamme ETH: n UNI-tokeneihin. Kauppa toteutetaan, kun olemme vahvistaneet sen. Tämän seurauksena voi olla vaikeampaa ymmärtää, mitä toimintoja sallit joissakin tapahtumissa, varsinkin jos sallimme useita toimia yksittäisen välittömän toimenpiteen sijaan. Hyökkääjät yrittävät hyödyntää tätä epäselvyyttä, kun he ryhtyvät kalasteluun.
Token Allowance
Tapahtuma, jossa tunnuksen omistaja valtuuttaa tunnuksen käyttäjän käyttämään tunnuksen summan tunnuksen omistajan puolesta. Omistaja voi tarjota tunnusrahaa ei-korjattavat ja vaihdettavat rahakkeet. Omistaja on tili, joka omistaa tunnukset ja myöntää kuluttajalle korvauksen.
Mikä on Ice Phishing
Yksinkertaisesti sanottuna Ice Phishing tarkoittaa käyttäjän huijaamista allekirjoittamaan haitallinen tapahtuma, jotta hyökkääjä voi saada hallintaansa kryptoresurssit.
"Ice phishing" -menetelmä ei sisällä jonkun toisen yksityisten avainten varastamista. Sen sijaan se edellyttää, että käyttäjä yrittää huijata hyväksymään tapahtuman, joka antaa hyökkääjälle hallinnan käyttäjän tunnuksiin.
Hyväksynnät ovat yleisiä tapahtumia, jotka mahdollistavat käyttäjien vuorovaikutuksen DeFi-protokollien kanssa. Tämä tekee jäänkalastelusta huomattavan uhan Web3-sijoittajille, koska vuorovaikutus DeFi-protokollien kanssa edellyttää luvan myöntämistä vuorovaikutukseen.
Miten hyökkäys toimii?
Hyökkääjä suorittaa tämän hyökkäyksen kahdessa vaiheessa:
1. Uhrin huijaaminen allekirjoittamaan hyväksymistapahtumat:
Hyökkääjät rakentavat vilpillisiä verkkosivustoja, jotka esiintyvät DEX:nä, kuten SushiSwap, tai salaustuotteen ohjesivuksi.
Hyökkääjä lähettää yleensä näitä haitallisia linkkejä mainoslahjoihin ja "yksinoikeudellisiin" NFT-pankkiin, tietojenkalasteluviesteihin, twiitteihin, erimielisyyksiin jne., mikä pakottaa ihmiset hyppäämään näille haitallisille verkkosivustoille luomalla väärän kiireellisyyden tunteen ja provosoimalla FOMO:ta (pelkoa). käyttäjien keskuudessa. Katso esimerkki alla:
Huijarit onnistuvat, kun he voivat huijata käyttäjiä yhdistämään lompakot haitallisille verkkosivustoilleen ja manipuloida käyttäjiä allekirjoittamaan luvat varojensa käyttämiseen.
2. Rahakkeiden varastaminen käyttäjien lompakoista:
Heti kun käyttäjä hyväksyy tunnukset haitallisen hyökkääjän osoitteeseen. Hyökkääjä kutsuu transferFrom-funktiota ja siirtää kaikki tunnukset lompakkoonsa. Huijaus koskee yleensä vähintään kahta lompakkoa. Aluksi Ice Phishing -lompakko, jolle käyttäjät olivat antaneet hyväksyntänsä, ja sitten vastaanottajalompakko, johon hyökkääjä siirsi tunnukset.
Badger DAO -tapaustutkimus
Badger on DeFi-protokolla, jonka avulla voi ansaita korkoa talletuksille. 2. joulukuuta 2021 BadgerDAO joutui jäänkalasteluhyökkäyksen kohteeksi. Badgerin Cloudflare API-avain vaarantui, jolloin hyökkääjä sai haltuunsa käyttöliittymän infrastruktuurin.
Hyökkääjä pystyi siten syöttämään haitallisen komentosarjan etupäähän. Nyt käyttäjät yrittivät muodostaa yhteyden BadgerDAO:hon luullen tallettaneensa rahakkeita saadakseen tuoton. Silti heidän allekirjoittamansa varsinainen kauppa antoi hyökkääjille täydellisen pääsyn omaisuuteensa.
Hyökkääjät ottivat miljoonia uhrien tileiltä ja valitsivat kohteeksi henkilöitä, joilla oli korkeampi saldo. He muuttivat käsikirjoitustaan koko päivän ajan yrittääkseen pysyä huomaamattomina. Lopulta BadgerDAO tunnisti hyökkäyksen ja keskeytti älykkään sopimuksen, mutta hyväksikäyttäjät olivat jo varastaneet noin 121 miljoonaa dollaria 200 tililtä.
Miten suojautua
Älä napsauta epäilyttäviä linkkejä: Voit välttää tietojenkalastelu-URL-osoitteiden ja verkkotunnuksen squattereiden käyttämällä vain vahvistettua URL-osoitetta päästäksesi dappeihin ja palveluihin. Projektin URL-osoite on yleensä saatavilla heidän vahvistetulla Twitter-tilillä, jos olet epävarma.
Tarkista tapahtuma ennen allekirjoittamista: On tärkeää lukea tapahtuman tiedot ennen sen allekirjoittamista Metamaskissa tai missä tahansa muussa lompakossa varmistaaksesi, että aiot toiminnot suoritetaan.
Hallitse kryptovarallisuuttasi useiden lompakoiden kautta: Jaa kryptovaluuttaosuuksiasi tallentamalla pitkäaikaisia sijoituksia ja arvokkaita NFT:itä kylmävarastoihin, kuten laitteistolompakoihin, samalla kun säilytät varoja säännöllisiin tapahtumiin ja aktiivisempiin dApppeihin eri kuumassa lompakossa.
Tarkista määräajoin ja peruuta tuki: Ajoittain päästöoikeuksien tarkistaminen ja peruuttaminen on aina hyvä idea, etenkin NFT-markkinapaikoilla, aina kun et käytä dappia aktiivisesti. Tämä minimoi mahdollisuutesi menettää rahaa hyväksikäyttöön tai hyökkäyksiin ja vähentää tietojenkalasteluhuijausten vaikutuksia. Voit käyttää Revoke.cash or Etherscan-tunnuksen hyväksynnän tarkistus sitä.
Pysy ajan tasalla huijauksista välttääksesi ne: Pidä silmällä huijauksia ja ilmoita epätavallisesta käytöksestä. Huijauksista ilmoittaminen auttaa turvallisuusalan ammattilaisia ja lainvalvontaviranomaisia saamaan huijarit kiinni ennen kuin ne aiheuttavat liikaa vahinkoa.
Yhteenveto
Ice-phishing-hyökkäykset ja muut kryptovaluuttapetokset tulevat todennäköisesti yleistymään kryptomarkkinoiden kasvaessa edelleen. Huomio ja koulutus ovat parhaita turvatoimia. Käyttäjien tulee olla tietoisia näiden huijausten toiminnasta, jotta he voivat ryhtyä tarvittaviin varotoimiin pitääkseen itsensä turvassa. Aina kannattaa käyttää hetki varmistaaksesi, että URL-osoite, jonka kanssa olet vuorovaikutuksessa, on validoitu sekä ketjussa että luotettavasta lähteestä.
UKK
Mitä minun pitäisi tehdä, jos epäilen jäänkalastelua?
Tarkista ja peruuta hyväksynnäsi osoitteiden osalta, jotka ovat saattaneet vaarantaa lompakkosi. https://etherscan.io/tokenapprovalchecker. Siirrä myös kaikki rahasi muihin lompakoihin.
Kuinka voin suojautua jäänkalastelulta?
Suojautuaksesi jään tietojenkalasteluhyökkäykseltä, sinun tulee olla varovainen ei-toivottujen sähköpostien, viestien ja puheluiden suhteen, vaikka ne näyttäisivät olevan peräisin hyvämaineisesta lähteestä. Tarkista tapahtuma ennen sen allekirjoittamista.
Kuinka peruuttaa osoitteen hyväksynnät?
Voit käyttää Revoke.cash or Etherscan-tunnuksen hyväksynnän tarkistus osoitteen hyväksyntöjen poistamiseksi.
24 Näyttökerrat
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- pystyy
- edellä
- pääsy
- Tili
- Tilit
- Toiminta
- toimet
- aktiivinen
- aktiivisesti
- toiminta
- säädökset
- osoite
- osoitteet
- Etu
- Kaikki
- Salliminen
- mahdollistaa
- jo
- aina
- keskuudessa
- määrä
- ja
- api
- sovelluksen
- näyttää
- sovellukset
- sopiva
- hyväksyminen
- noin
- Varat
- hyökkäys
- Hyökkäykset
- yrityksiä
- huomio
- saatavissa
- saldot
- ennen
- alle
- blockchain
- luotonotto
- Puhelut
- tapaus
- kassa
- Aiheuttaa
- varovainen
- mahdollisuus
- valitsi
- selkeys
- CloudFlare
- Kylmävarasto
- Tulla
- Yhteinen
- täydellinen
- Vaarantunut
- Vahvistaa
- kytkeä
- Kytkeminen
- huomattava
- rakentaa
- jatkuu
- sopimus
- ohjaus
- kattaa
- Luominen
- TOIMINTAKERTOMUS
- Crypto
- Crypto Market
- kryptoperiodin varat
- kryptovaluutta
- DAO
- DAPP
- DApps
- päivä
- joulukuu
- hajautettu
- Hajautetut sovellukset
- defi
- DEFI-PROTOKOLLA
- DeFi-protokollat
- talletukset
- yksityiskohdat
- kehittämällä
- Dex
- eri
- vaikea
- jakaa
- verkkotunnuksen
- Epäilen
- voit
- koulutus
- vaivaa
- Muut
- sähköpostit
- täytäntöönpano
- varmistaa
- erityisesti
- olennainen
- jne.
- ETH
- etherscan
- Jopa
- lopulta
- täsmälleen
- esimerkki
- suorittaa
- toteuttaja
- Käyttää hyväkseen
- hyödyntää
- lisää
- silmä
- pelko
- Etunimi
- FOMO
- lomakkeet
- huijareiden
- vilpillinen
- tiheä
- alkaen
- etuosa
- etupään
- toiminto
- varat
- paljoustavara
- Saada
- saada
- saada
- kylkiäiset
- tietty
- Go
- hyvä
- myöntää
- myönnetty
- avustukset
- Kasvaa
- Palvelimet
- Laitteisto-lompakot
- auttaa
- korkeampi
- Holdings
- KUUMA
- Lompakko
- Miten
- Miten
- HTTPS
- ICE
- ajatus
- kuva
- Välitön
- Vaikutus
- in
- henkilöt
- Infrastruktuuri
- ensin
- sen sijaan
- olla vuorovaikutuksessa
- vuorovaikutuksessa
- vuorovaikutukset
- korko
- Investoinnit
- Sijoittajat
- aiheuttaa
- IT
- hypätä
- Pitää
- pito
- avain
- avaimet
- tietäen
- Lack
- Laki
- lainvalvontaviranomaisten
- luotonanto
- linkit
- pitkän aikavälin
- näköinen
- menettää
- TEE
- markkinat
- markkinapaikkojen
- viestien
- MetaMask
- menetelmä
- miljoona
- miljoonia
- puuttuva
- hetki
- raha
- lisää
- moninkertainen
- Uusi
- NFT
- NFT-markkinapaikat
- NFT: t
- Ketjussa
- ONE
- käyttää
- toiminta
- Muut
- Muuta
- omistaja
- omistaa
- erityisesti
- Ihmiset
- Suorittaa
- lupa
- Phishing
- phishing-hyökkäys
- tietojenkalasteluhyökkäykset
- tietojenkalasteluhuijaukset
- puhelin
- puheluista
- Platon
- Platonin tietotieto
- PlatonData
- pop-up
- vallitseva
- yksityinen
- Yksityiset avaimet
- todennäköisesti
- Tuotteet
- ammattilaiset
- projekti
- myynninedistämis-
- suojella
- protokolla
- protokollat
- toimittaa
- osto-
- Työnnä
- Quillhash
- Lue
- tunnustettu
- vähentää
- säännöllinen
- luotettava
- jäädä
- poistamalla
- raportti
- Raportointi
- hyvämaineinen
- Vaatii
- johtua
- arviot
- Nousta
- turvallista
- Huijaus
- huijauksia
- turvallisuus
- tunne
- Sarjat
- Palvelut
- shouldnt
- merkki
- allekirjoitettu
- allekirjoittaminen
- Yksinkertainen
- koska
- single
- fiksu
- älykäs sopimus
- So
- jonkin verran
- Joku
- lähde
- erityinen
- erityisesti
- viettää
- Askeleet
- Yhä
- varastettu
- Levytila
- menestyä
- niin
- sushivaihto
- epäilyttävä
- ottaa
- Kohde
- Elektroniikka
- ehdot
- -
- heidän
- itse
- Ajattelu
- uhkaus
- Kautta
- kauttaaltaan
- aika
- että
- symbolinen
- tokens
- liian
- kauppa
- Liiketoimet
- siirtää
- siirretty
- siirrot
- totta
- tweets
- viserrys
- varten
- ymmärtää
- UNI
- Ei-toivottu
- päivitetty
- kiireellisyys
- URL
- us
- käyttää
- käyttäjä
- Käyttäjät
- yleensä
- validoitu
- arvokas
- lajike
- todennettu
- todentaa
- Uhri
- Lompakko
- Lompakot
- Web2
- Web3
- Web3 maailma
- sivustot
- Mitä
- onko
- joka
- vaikka
- tulee
- toimii
- maailman-
- kannattava
- tuotto
- Voit
- Sinun
- itse
- zephyrnet