읽기 시간: 6 분
Web3 세계에서 피싱 시도는 다양한 형태로 나타납니다. 기술이 계속 발전하고 있기 때문에 새로운 종류의 공격이 발생할 수 있습니다. 아이스 피싱과 같은 일부 공격은 Web3에만 해당되는 반면 다른 공격은 Web2에 대한 보다 일반적인 자격 증명 피싱 공격과 유사합니다.
아이스 피싱 공격이 정확히 무엇이며 어떻게 작동하는지 알기 전에 먼저 블록체인에서 트랜잭션이 서명되는 방식과 토큰 수당이 무엇인지 알아보겠습니다.
트랜잭션 서명
다음과 같은 지갑을 사용하여 분산 응용 프로그램에 연결할 수 있습니다. 메타마스크 악의적인 사용자는 이러한 행위를 실행하기 위해 사용자가 자신의 메타마스크를 사용하여 트랜잭션에 서명해야 한다는 사실을 이용하려고 합니다.
앱이 온체인 작업을 수행해야 할 때 메타마스크 팝업이 나타나 사용자에게 트랜잭션을 확인하거나 취소할 것인지 묻습니다. 아래 이미지를 참조하십시오.
위의 예에서 ETH를 UNI 토큰으로 교환할 때 메타마스크가 확인 메시지를 표시하는 것을 볼 수 있습니다. 거래가 확인되면 거래가 실행됩니다. 결과적으로 일부 거래에서 귀하가 허용하는 활동을 이해하기가 더 어려울 수 있습니다. 특히 단일 즉각적인 조치가 아닌 일련의 조치를 허용하는 경우 더욱 그렇습니다. 공격자는 아이스 피싱을 시도할 때 이러한 명확성 부족을 악용하려고 합니다.
토큰 수당
토큰 소유자가 토큰 소유자를 대신하여 토큰 금액을 소비하도록 토큰 지출자를 승인하는 트랜잭션입니다. 소유자는 다음에 대한 토큰 수당을 제공할 수 있습니다. 대체 불가능하고 대체 가능한 토큰. 소유자는 토큰을 소유하고 지출자에게 허용량을 부여하는 계정입니다.
아이스피싱이란
간단히 말해서 아이스 피싱은 공격자가 암호화 자산을 제어할 수 있도록 사용자를 속여 악의적인 트랜잭션에 서명하도록 하는 것입니다.
"아이스피싱" 수법은 다른 사람의 개인 키를 훔치는 것과 관련이 없습니다. 대신 공격자가 사용자의 토큰에 대한 제어 권한을 부여하는 트랜잭션을 승인하도록 사용자를 속여야 합니다.
승인은 사용자와 DeFi 프로토콜의 상호 작용을 허용하는 빈번한 트랜잭션 유형입니다. DeFi 프로토콜과 상호 작용하려면 상호 작용 권한을 부여해야 하므로 아이스 피싱은 Web3 투자자에게 상당한 위협이 됩니다.
공격은 어떻게 작동합니까?
공격자는 이 공격을 두 단계로 실행합니다.
1. 승인 거래에 서명하도록 피해자를 속이는 행위:
공격자는 SushiSwap과 같은 DEX를 사칭하거나 암호화 제품의 도움말 페이지로 위장한 사기성 웹사이트를 구성합니다.
공격자는 일반적으로 판촉 경품 및 "독점적인" NFT 민트, 피싱 이메일, 트윗, 디스코드 등에 대한 이러한 악의적인 링크를 전송하여 사람들이 긴박감을 느끼게 하고 FOMO(공포 of missing out) 사용자들 사이에서. 아래 예를 참조하십시오.
사기꾼은 사용자가 지갑을 악성 웹사이트에 연결하도록 속이고 사용자가 자산을 사용하기 위한 승인에 서명하도록 조작할 수 있을 때 성공합니다.
2. 사용자 지갑에서 토큰 훔치기:
사용자가 악의적인 공격자의 주소에 대한 토큰을 승인하는 즉시. 공격자는 transferFrom 함수를 호출하고 모든 토큰을 자신의 지갑으로 전송합니다. 사기에는 일반적으로 최소 두 개의 지갑이 포함됩니다. 처음에는 사용자가 승인한 아이스 피싱 지갑, 그리고 공격자가 토큰을 전송한 받는 사람 지갑.
Badger DAO 사례 연구
Badger는 예금에 대한 이자를 얻을 수 있는 DeFi 프로토콜입니다. 2년 2021월 XNUMX일, BadgerDAO는 아이스 피싱 공격을 받았습니다. Badger의 Cloudflare API 키가 손상되어 공격자가 프런트 엔드 인프라를 장악할 수 있었습니다.
따라서 공격자는 프런트 엔드에 악성 스크립트를 주입할 수 있었습니다. 이제 사용자들은 수익을 얻기 위해 토큰을 예치한다고 생각하고 BadgerDAO에 연결을 시도했습니다. 하지만 이들이 서명한 실제 거래는 공격자에게 자산에 대한 완전한 액세스 권한을 부여했습니다.
공격자는 피해자의 계정에서 수백만 달러를 가져갔고 특히 잔액이 더 많은 개인을 대상으로 선택했습니다. 그들은 들키지 않기 위해 하루 종일 스크립트를 변경했습니다. 결국 BadgerDAO는 공격을 인식하고 스마트 컨트랙트를 중단시켰지만, 익스플로러는 이미 121개의 계정에서 약 200억 XNUMX만 달러를 훔친 상태였습니다.
자신을 보호하는 방법
의심스러운 링크를 클릭하지 마십시오: 피싱 URL 및 도메인 스쿼터를 방지하려면 확인된 URL만 사용하여 dApp 및 서비스에 액세스하십시오. 의심스러운 경우 일반적으로 확인된 Twitter 계정에서 프로젝트 URL을 사용할 수 있습니다.
서명하기 전에 트랜잭션을 확인하십시오. 메타마스크나 다른 지갑에 서명하기 전에 트랜잭션 세부 정보를 읽어 의도한 작업이 실행되는지 확인하는 것이 중요합니다.
여러 지갑을 통해 암호화 자산 관리: 하드웨어 지갑과 같은 콜드 스토리지에 암호화폐 보유, 장기 투자 및 귀중한 NFT를 저장하고 다른 핫 지갑에 정기적인 거래 및 더 활동적인 dApp을 위한 자금을 보관하십시오.
주기적으로 Allowance 검토 및 철회: 정기적으로 허용량을 검토하고 취소하는 것은 항상 좋은 생각입니다. 특히 NFT 마켓플레이스의 경우 dapp을 적극적으로 사용하지 않을 때마다 항상 그렇습니다. 이렇게 하면 익스플로잇이나 공격으로 인한 손실 가능성을 최소화하고 피싱 사기의 영향을 줄일 수 있습니다. 당신이 사용할 수있는 취소.현금 or Etherscan 토큰 승인 검사기 그것을 위해.
사기를 방지하려면 사기에 대한 업데이트를 받으십시오. 사기를 주시하고 비정상적인 행동을 보고하십시오. 사기를 신고하면 보안 전문가와 법 집행 기관이 사기범이 큰 피해를 입히기 전에 적발하는 데 도움이 됩니다.
결론
아이스 피싱 공격 및 기타 암호화폐 사기는 암호화폐 시장이 계속 성장함에 따라 더 널리 퍼질 것입니다. 주의와 교육은 최고의 보안 예방 조치입니다. 사용자는 이러한 사기가 어떻게 작동하는지 알고 있어야 안전을 유지하기 위해 적절한 예방 조치를 취할 수 있습니다. 상호 작용하는 URL이 온체인과 신뢰할 수 있는 소스 모두에서 검증되었는지 확인하기 위해 잠시 시간을 내는 것이 좋습니다.
자주 묻는 질문
아이스 피싱 시도가 의심되는 경우 어떻게 해야 합니까?
지갑을 손상시켰을 수 있는 모든 주소에 대한 승인을 확인하고 취소하십시오. https://etherscan.io/tokenapprovalchecker. 또한 모든 자금을 다른 지갑으로 이체하십시오.
아이스 피싱으로부터 자신을 보호하려면 어떻게 해야 합니까?
아이스 피싱 공격으로부터 자신을 보호하려면 평판이 좋은 출처에서 온 것처럼 보이더라도 요청하지 않은 이메일, 메시지 및 전화 통화에 주의해야 합니다. 서명하기 전에 트랜잭션을 확인하십시오.
주소에 대한 승인을 취소하는 방법은 무엇입니까?
당신이 사용할 수 취소.현금 or Etherscan 토큰 승인 검사기 주소에 대한 승인을 제거합니다.
24 조회수
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- 할 수 있는
- 위의
- ACCESS
- 계정
- 계정
- 동작
- 행위
- 활동적인
- 활발히
- 방과 후 액티비티
- 행위
- 주소
- 구애
- 이점
- All
- 허용
- 수
- 이미
- 항상
- 중
- 양
- 및
- API를
- 앱
- 표시
- 어플리케이션
- 적당한
- 승인
- 약
- 자산
- 공격
- 공격
- 시도
- 주의
- 가능
- 균형
- 전에
- 이하
- blockchain
- 차용
- 통화
- 케이스
- 현금
- 원인
- 조심성 있는
- 기회
- 선택
- 선명도
- CloudFlare
- 냉장
- 왔다
- 공통의
- 완전한
- 손상된
- 확인하기
- 연결하기
- 연결
- 많은
- 구축
- 계속
- 계약
- 제어
- 엄호
- 만들기
- 신임장
- 암호화는
- 암호화 시장
- 암호 자산
- 암호 화폐
- DAO
- dapp
- DApps
- 일
- XNUMX월
- 분산 된
- 분산 응용 프로그램
- DeFi
- 데피 프로토콜
- DeFi 프로토콜
- 매장
- 세부설명
- 개발
- 덱스
- 다른
- 어려운
- 배포하다
- 도메인
- 의심
- 적립
- 교육
- 노력
- 그 외의
- 이메일
- 시행
- 확인
- 특히
- 필수
- 등
- ETH
- 에테르 스캔
- 조차
- 있을뿐만 아니라
- 정확하게
- 예
- 실행
- 실행
- 공적
- 공격
- 여분의
- 눈
- 무서움
- 먼저,
- FOMO
- 양식
- 사기꾼
- 사기의
- 빈번한
- 에
- 앞
- 프론트 엔드
- 기능
- 자금
- 대체 가능
- 이득
- 얻을
- 점점
- 경품
- 주어진
- Go
- 좋은
- 부여
- 부여
- 보조금
- 성장
- 하드웨어
- 하드웨어 지갑
- 도움
- 더 높은
- 지주
- 뜨거운
- 핫 지갑
- 방법
- How To
- HTTPS
- ICE
- 생각
- 영상
- 즉시
- 영향
- in
- 개인
- 인프라
- 처음에는
- 를 받아야 하는 미국 여행자
- 상호 작용하는
- 상호 작용
- 상호 작용
- 관심
- 투자
- 법률
- 감다
- IT
- 도약
- 유지
- 유지
- 키
- 키
- 아는
- 결핍
- 법
- 법 집행
- 대출
- 모래밭
- 장기
- 찾고
- 지는
- 제작
- 시장
- 장터
- 메시지
- 메타 마스크
- 방법
- 백만
- 수백만
- 누락
- 순간
- 돈
- 배우기
- 여러
- 신제품
- NFT
- NFT 마켓 플레이스
- NFTs
- 온 체인
- ONE
- 운영
- 조작
- 기타
- 기타
- 소유자
- 소유하다
- 특별히
- 사람들
- 수행
- 허가
- 피싱
- 피싱 공격
- 피싱 공격
- 피싱 사기
- 전화
- 전화
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 팝업
- 유행
- 사설
- 개인 키
- 아마
- 프로덕트
- 전문가
- 프로젝트
- 프로모션
- 보호
- 프로토콜
- 프로토콜
- 제공
- 구입
- 미는
- 퀼해시
- 읽기
- 인정
- 감소
- 정규병
- 신뢰할 수있는
- 남아
- 제거
- 신고
- 통계 보고서
- 평판이 좋은
- 필요
- 결과
- 리뷰
- 상승
- 가장 안전한 따뜻함
- 사기
- 사기
- 보안
- 감각
- 연속
- 서비스
- 영상을
- 기호
- 서명
- 로그인
- 단순, 간단, 편리
- 이후
- 단일
- 스마트 한
- 똑똑한 계약
- So
- 일부
- 어떤 사람
- 출처
- 구체적인
- 구체적으로
- 지출
- 단계
- 아직도
- 훔친
- 저장
- 성공
- 이러한
- 스시
- 의심 많은
- 받아
- 목표
- Technology
- 조건
- XNUMXD덴탈의
- 그들의
- 그들 자신
- 사고력
- 위협
- 을 통하여
- 도처에
- 시간
- 에
- 토큰
- 토큰
- 너무
- 거래
- 거래 내역
- 이전
- 전송
- 전송
- 참된
- 트윗
- 트위터
- 아래에
- 이해
- UNI
- 원치 않는
- 업데이트
- 긴급
- URL
- us
- 사용
- 사용자
- 사용자
- 보통
- 검증 된
- 가치 있는
- 종류
- 확인
- 확인
- 희생자
- 지갑
- 지갑
- Web2
- Web3
- Web3 세계
- 웹 사이트
- 뭐
- 여부
- 어느
- 동안
- 의지
- 일
- 세계
- 할 보람 있는
- 수율
- 자신의
- 너의
- 당신 자신
- 제퍼 넷