זמן קריאה: 6 דקות
בעולם web3, ניסיונות דיוג מגיעים במגוון צורות. מכיוון שהטכנולוגיה עדיין מתפתחת, סוגים חדשים של התקפות יכולים להתעורר. חלק מהתקפות, כגון דיוג קרח, הן ספציפיות ל-Web3, בעוד שאחרות דומות למתקפות הדיוג הנפוצות יותר ב-Web2.
לפני שנדע מהי בדיוק התקפת דיוג קרח וכיצד היא פועלת, בואו נבין תחילה כיצד מבצעים חתומים בבלוקצ'יין ומה הם קצבת סמלים.
חתימה על עסקה
אנו יכולים להתחבר ליישומים מבוזרים באמצעות ארנקים כמו מטאסק לבצע פעולות כמו הלוואות, הלוואות, רכישת NFT וכו'. משתמשים זדוניים מנסים לנצל את העובדה שמשתמשים חייבים לחתום על עסקאות באמצעות Metamask שלהם כדי לבצע פעולות אלו.
החלון הקופץ Metamask יופיע וישאל את המשתמש אם הוא רוצה לאשר או לבטל את העסקה כאשר אפליקציה צריכה לבצע פעולה על השרשרת. ראה את התמונה למטה.
בדוגמה שלמעלה, אנו יכולים לראות שמטאמסק מבקש מאיתנו לאשר כאשר אנו מחליפים ETH באסימוני UNI. העסקה תתבצע לאחר שנאשר אותה. כתוצאה מכך, ייתכן שיהיה קשה יותר להבין אילו פעילויות אתה מתיר בעסקאות מסוימות, במיוחד אם אנו מתירים סדרה של פעולות במקום פעולה מיידית אחת. תוקפים מחפשים לנצל את חוסר הבהירות הזה כשהם עושים דיוג קרח.
קצבת אסימון
עסקה שבה בעל אסימון מאשר למוציא אסימון להוציא את סכום האסימון בשמו של בעל האסימון. בעלים יכול לספק קצבה סמלית עבור אסימונים בלתי ניתנים לשינוי וניתנים לשינוי. הבעלים הוא החשבון שבבעלותו האסימונים ומעניק למוציא את הקצבה.
מה זה דיוג קרח
במילים פשוטות, Ice Phishing כולל הטעיית משתמש לחתום על עסקה זדונית כדי שהתוקף יוכל להשיג שליטה על נכסי הקריפטו.
שיטת "דיוג קרח" אינה כרוכה בגניבת מפתחות פרטיים של מישהו אחר. במקום זאת, זה דורש לנסות להערים על משתמש שיאשר עסקה המעניקה לתוקף שליטה על האסימונים של המשתמש.
אישורים הם סוג תכוף של עסקאות המאפשרות אינטראקציות של המשתמשים עם פרוטוקולי DeFi. זה הופך את התחזות הקרח לאיום ניכר על משקיעי Web3, שכן אינטראקציה עם פרוטוקולי DeFi מחייבת אותך להעניק הרשאה לאינטראקציה.
כיצד פועלת המתקפה?
התוקף מבצע מתקפה זו בשני שלבים:
1. להטעות את הקורבן לחתום על עסקאות אישורים:
תוקפים בונים אתרי הונאה המתחזות ל-DEX, כגון SushiSwap, או כדף עזרה למוצר קריפטו.
התוקף שולח בדרך כלל קישורים זדוניים אלה למתנות קידום מכירות ו-NFTs "בלעדיים", הודעות דואר אלקטרוני דיוג, ציוצים, דיסקורדים וכו', דוחף אנשים לקפוץ לאתרים זדוניים אלה על ידי יצירת תחושת דחיפות מזויפת ועורר FOMO (פחד) של החמצה) בקרב משתמשים. ראה את הדוגמה למטה:
רמאים מצליחים כאשר הם יכולים להערים על משתמשים לחבר ארנקים לאתרים הזדוניים שלהם ולתמרן משתמשים לחתום על אישורים להוציא את הנכסים שלהם.
2. גניבת אסימונים מארנקי המשתמשים:
ברגע שהמשתמש מאשר את האסימונים לכתובת של התוקף הזדוני. התוקף קורא לפונקציה transferFrom ומעביר את כל האסימונים לארנק שלו. ההונאה כוללת בדרך כלל לפחות שני ארנקים. בתחילה, ארנק Ice Phishing, שהמשתמשים נתנו לו את אישורם, ולאחר מכן ארנק הנמען, אליו העביר התוקף את האסימונים.
תיאור מקרה של Badger DAO
Badger הוא פרוטוקול DeFi המאפשר להרוויח ריבית על פיקדונות. ב-2 בדצמבר 2021, BadgerDAO הייתה תחת מתקפת דיוג בקרח. מפתח ה-API של Cloudflare של Badger נפגע, מה שמאפשר לתוקף להשתלט על התשתית החזיתית.
כך הצליח התוקף להחדיר סקריפט זדוני לקצה הקדמי. כעת, המשתמשים ניסו להתחבר ל-BadgerDAO, מתוך מחשבה שהם מפקידים אסימונים כדי לקבל תשואה. ובכל זאת, העסקה בפועל שעליה חתמו העניקה לתוקפים גישה מלאה לנכסיהם.
התוקפים לקחו מיליונים מחשבונותיהם של הקורבנות ובחרו ספציפית אנשים עם יתרות גבוהות יותר למיקוד. הם שינו את התסריט שלהם במהלך היום במאמץ להישאר ללא זיהוי. בסופו של דבר, BadgerDAO זיהה את המתקפה ועצר את החוזה החכם, אבל המנצלים כבר גנבו כ-121 מיליון דולר מ-200 חשבונות.
איך להגן על עצמך
אל תלחץ על קישורים חשודים: כדי להימנע מכתובות אתרים דיוג וסקוואטרים של דומיינים, השתמש רק בכתובת ה-URL המאומתת כדי לגשת ל-dApps ולשירותים. כתובת האתר של הפרויקט זמינה בדרך כלל בחשבון הטוויטר המאומת שלהם אם יש ספק.
אמת את העסקה לפני החתימה: חיוני לקרוא את פרטי העסקה לפני החתימה ב-Metamask או בכל ארנק אחר כדי להבטיח שהפעולות שאתה מתכוון יתבצעו.
נהל את נכסי הקריפטו שלך באמצעות ארנקים מרובים: הפזר את אחזקות המטבעות הקריפטוגרפיים שלך, אחסנת השקעות לטווח ארוך ו-NFTs יקרי ערך באחסון קר כמו ארנקי חומרה תוך שמירה על כספים עבור עסקאות רגילות ו-dApps פעילים יותר בארנק חם אחר.
בדוק ובטל את הקצבה מעת לעת: בדוק ולבטל את ההקצבות שלך מעת לעת הוא רעיון טוב, במיוחד עבור שוק NFT, בכל פעם שאתה לא משתמש באופן פעיל ב-dapp. זה ממזער את הסיכוי שלך להפסיד כסף בגלל ניצולים או התקפות ומפחית את ההשפעה של הונאות דיוג. אתה יכול להשתמש Revoke.cash or בודק אישור אסימון Etherscan בשביל זה.
התעדכן בהונאות כדי להימנע מהן: עקוב אחר הונאות ודווח על כל התנהגות חריגה. דיווח על הונאות יעזור לאנשי האבטחה ולאכיפת החוק בתפיסת רמאים לפני שהם גורמים נזק רב מדי.
סיכום
התקפות דיוג קרח והונאות אחרות של מטבעות קריפטוגרפיים יגדלו ככל הנראה ככל ששוק הקריפטו ימשיך לעלות. תשומת לב וחינוך הם אמצעי הזהירות הטובים ביותר. על המשתמשים להיות מודעים לאופן הפעולה של הונאות אלו, כך שהם עשויים לנקוט באמצעי הזהירות המתאימים כדי לשמור על בטיחותם. תמיד כדאי להקדיש רגע נוסף כדי לאשר שכתובת ה-URL שאיתה אתה מקיים אינטראקציה אומתה הן על השרשרת והן על ידי מקור אמין.
שאלות נפוצות
מה עלי לעשות אם אני חושד בניסיון דיוג בקרח?
בדוק ובטל את האישורים שלך עבור כל כתובות שעשויות לסכן את הארנק שלך. https://etherscan.io/tokenapprovalchecker. כמו כן, העבר את כל הכספים שלך לארנקים אחרים.
כיצד אוכל להגן על עצמי מפני דיוג בקרח?
כדי להגן על עצמך מפני התקפת דיוג בקרח, עליך להיזהר מהודעות דוא"ל, הודעות ושיחות טלפון לא רצויות, גם אם נראה שהן ממקור בעל מוניטין. אמת את העסקה לפני החתימה עליה.
כיצד לבטל אישורים לכתובת?
אתה יכול להשתמש Revoke.cash or בודק אישור אסימון Etherscan להסרת אישורים לכתובת.
24 צפיות
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- יכול
- מֵעַל
- גישה
- חֶשְׁבּוֹן
- חשבונות
- פעולה
- פעולות
- פעיל
- באופן פעיל
- פעילויות
- מעשים
- כתובת
- כתובות
- יתרון
- תעשיות
- מאפשר
- מאפשר
- כְּבָר
- תמיד
- בין
- כמות
- ו
- API
- האפליקציה
- לְהוֹפִיעַ
- יישומים
- מתאים
- הסכמה
- סביב
- נכסים
- לתקוף
- המתקפות
- ניסיונות
- תשומת לב
- זמין
- יתרות
- לפני
- להלן
- blockchain
- הלוואות
- שיחות
- מקרה
- מזומנים
- לגרום
- זהיר
- סיכוי
- בחר
- בהירות
- CloudFlare
- אחסון קר
- איך
- Common
- להשלים
- התפשר
- לאשר
- לְחַבֵּר
- מקשר
- רב
- לבנות
- ממשיך
- חוזה
- לִשְׁלוֹט
- לכסות
- יוצרים
- תְעוּדָה
- קריפטו
- שוק Crypto
- נכסים הצפנה
- מטבע מבוזר
- DAO
- דפ
- DAPs
- יְוֹם
- דֵצֶמבֶּר
- מבוזר
- יישומים מבוזרים
- DeFi
- פרוטוקול DEFI
- פרוטוקולי דה-פי
- פיקדונות
- פרטים
- מתפתח
- דקס
- אחר
- קשה
- לְהָפִיץ
- תחום
- ספק
- לזכות
- חינוך
- מאמץ
- של אחרים
- מיילים
- אַכִיפָה
- לְהַבטִיחַ
- במיוחד
- חיוני
- וכו '
- ETH
- אתרסקאן
- אֲפִילוּ
- בסופו של דבר
- בדיוק
- דוגמה
- לבצע
- מוציאים להורג
- לנצל
- מעללים
- נוסף
- עין
- פחד
- ראשון
- FOMO
- צורות
- רמאים
- רמאי
- תכוף
- החל מ-
- חזית
- חזיתי
- פונקציה
- כספים
- פטרייה
- לְהַשִׂיג
- לקבל
- מקבל
- מתנות
- נתן
- Go
- טוב
- להעניק
- כמובן מאליו
- מענקים
- לגדול
- חומרה
- ארנקים חומרה
- לעזור
- גבוה יותר
- אחזקות
- חַם
- ארנק חם
- איך
- איך
- HTTPS
- קרח
- רעיון
- תמונה
- מיידי
- פְּגִיעָה
- in
- אנשים
- תשתית
- בהתחלה
- במקום
- אינטראקציה
- אינטראקציה
- יחסי גומלין
- אינטרס
- השקעות
- משקיעים
- לערב
- IT
- לקפוץ
- שמור
- שמירה
- מפתח
- מפתחות
- יודע
- חוסר
- חוק
- אכיפת החוק
- הַשׁאָלָה
- קישורים
- לטווח ארוך
- הסתכלות
- לאבד
- עושה
- שוק
- שווקים
- הודעות
- מטאמאסק
- שיטה
- מִילִיוֹן
- מיליונים
- חסר
- רֶגַע
- כסף
- יותר
- מספר
- חדש
- NFT
- שוקי NFT
- NFTs
- על השרשרת
- ONE
- להפעיל
- מבצע
- אחר
- אחרים
- בעלים
- בעלים של
- במיוחד
- אֲנָשִׁים
- לְבַצֵעַ
- רשות
- דיוג
- התקפת דיוג
- התקפות פישינג
- הונאות פישינג
- טלפון
- שיחות טלפון
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מוקפץ
- נפוץ
- פְּרָטִי
- מפתחות פרטיים
- כנראה
- המוצר
- אנשי מקצוע
- פּרוֹיֶקט
- קידום מכירות
- להגן
- פרוטוקול
- פרוטוקולים
- לספק
- רכישה
- דוחף
- קווילהש
- חומר עיוני
- מוכר
- מפחית
- רגיל
- אָמִין
- להשאר
- הסרת
- לדווח
- דווח
- מכובד
- דורש
- תוצאה
- סקירה
- לעלות
- בטוח
- הונאה
- הונאות
- אבטחה
- תחושה
- סדרה
- שירותים
- צריך
- סִימָן
- חָתוּם
- חתימה
- פָּשׁוּט
- since
- יחיד
- חכם
- חוזה חכם
- So
- כמה
- מישהו
- מָקוֹר
- ספציפי
- במיוחד
- לבלות
- צעדים
- עוד
- גָנוּב
- אחסון
- להצליח
- כזה
- להחליף
- חשוד
- לקחת
- יעד
- טכנולוגיה
- מונחים
- השמיים
- שֶׁלָהֶם
- עצמם
- חושב
- איום
- דרך
- בכל
- זמן
- ל
- אסימון
- מטבעות
- גַם
- עסקה
- עסקות
- להעביר
- הועבר
- העברות
- נָכוֹן
- טוויטים
- תחת
- להבין
- חַד
- ללא הזמנה
- מְעוּדכָּן
- דְחִיפוּת
- כתובת האתר
- us
- להשתמש
- משתמש
- משתמשים
- בְּדֶרֶך כְּלַל
- תוקף
- בעל ערך
- מגוון
- מְאוּמָת
- לאמת
- קרבן
- ארנק
- ארנקים
- Web2
- Web3
- עולם Web3
- אתרים
- מה
- אם
- אשר
- בזמן
- יצטרך
- עובד
- עוֹלָם
- כדאי
- תְשׁוּאָה
- אתה
- עצמך
- זפירנט