Lesetid: 6 minutter
I web3-verdenen kommer phishing-forsøk i en rekke former. Siden teknologien fortsatt utvikler seg, kan nye typer angrep oppstå. Noen angrep, for eksempel phishing, er spesifikke for Web3, mens andre ligner de mer vanlige credential phishing-angrepene på Web2.
Før vi vet nøyaktig hva et phishing-angrep er og hvordan det fungerer, la oss først forstå hvordan transaksjoner signeres i Blockchain og hva som er tokengodtgjørelse.
Signering av en transaksjon
Vi kan koble til desentraliserte applikasjoner ved å bruke lommebøker som Metamask for å utføre handlinger som utlån, lån, kjøp av NFT osv. Ondsinnede brukere prøver å dra nytte av det faktum at brukere må signere transaksjoner ved å bruke sin Metamask for å utføre disse handlingene.
Metamask-popup-vinduet vil vises og spør brukeren om de vil bekrefte eller kansellere transaksjonen når en app må utføre en operasjon i kjeden. Se bildet nedenfor.
I eksemplet ovenfor kan vi se at metamask ber oss om bekreftelse når vi bytter ETH for UNI-tokens. Transaksjonen vil bli utført når vi bekrefter den. Som et resultat kan det være vanskeligere å forstå hvilke aktiviteter du tillater i enkelte transaksjoner, spesielt hvis vi tillater en serie handlinger i stedet for en enkelt umiddelbar handling. Angripere er ute etter å utnytte denne mangelen på klarhet når de driver med isfisking.
Tokengodtgjørelse
En transaksjon der en token-eier autoriserer en token-bruker til å bruke token-beløpet på token-eierens vegne. En eier kan gi en symbolsk godtgjørelse for ikke-fungible og fungible tokens. Eieren er kontoen som eier brikkene og gir brukeren godtgjørelsen.
Hva er Ice Phishing
Enkelt sagt innebærer Ice Phishing å lure en bruker til å signere en ondsinnet transaksjon slik at angriperen kan få kontroll over kryptoaktiva.
"Ice phishing"-metoden innebærer ikke å stjele andres private nøkler. I stedet krever det å prøve å lure en bruker til å godkjenne en transaksjon som gir angriperen kontroll over brukerens tokens.
Godkjenninger er en hyppig type transaksjon som tillater interaksjoner mellom brukere med DeFi-protokoller. Dette gjør phishing til en betydelig trussel for Web3-investorer siden interaksjon med DeFi-protokoller krever at du gir tillatelse til å samhandle.
Hvordan fungerer angrepet?
Angriperen utfører dette angrepet i to trinn:
1. Lure offeret til å signere godkjenningstransaksjoner:
Angripere konstruerer uredelige nettsteder som utgir seg for en DEX, for eksempel SushiSwap, eller som en hjelpeside for et kryptoprodukt.
Angriperen sender vanligvis ut disse ondsinnede lenkene til reklamegaver og "eksklusive" NFT-er, phishing-e-poster, tweets, discords osv., og presser folk til å hoppe inn på disse ondsinnede nettstedene ved å skape en falsk følelse av at det haster og provosere FOMO (frykt). av glipp) blant brukere. Se eksemplet nedenfor:
Svindlere lykkes når de kan lure brukere til å koble lommebøker til deres ondsinnede nettsteder og manipulere brukere til å signere godkjenninger for å bruke eiendelene sine.
2. Å stjele tokens fra brukernes lommebøker:
Så snart brukeren godkjenner tokens til den ondsinnede angriperens adresse. Angriperen kaller transferFrom-funksjonen og overfører alle tokens til lommeboken sin. Svindelen involverer vanligvis minst to lommebøker. I utgangspunktet Ice Phishing-lommeboken, som brukerne hadde gitt sin godkjenning, og deretter mottakerlommeboken, hvor angriperen overførte tokens.
Kasusstudie av Badger DAO
Badger er en DeFi-protokoll som lar en tjene renter på innskudd. 2. desember 2021 var BadgerDAO utsatt for et isfiskeangrep. Badgers Cloudflare API-nøkkel ble kompromittert, slik at angriperen kunne ta over front-end-infrastrukturen.
Angriperen var dermed i stand til å injisere ondsinnet skript på frontenden. Nå prøvde brukerne å koble seg til BadgerDAO, og trodde de satte inn tokens for å få en avkastning. Likevel ga den faktiske transaksjonen de signerte angriperne full tilgang til eiendelene deres.
Angripere tok millioner fra ofrenes kontoer og valgte spesifikt personer med høyere saldo å målrette mot. De endret manuset sitt i løpet av dagen i et forsøk på å forbli uoppdaget. Til slutt gjenkjente BadgerDAO angrepet og stoppet den smarte kontrakten, men utnytterne hadde allerede stjålet rundt 121 millioner dollar fra 200 kontoer.
Slik beskytter du deg
Ikke klikk på mistenkelige lenker: For å unngå phishing-URL-er og domene-squatters, bruk kun den bekreftede URL-en for å få tilgang til dApps og tjenester. Prosjektets URL er vanligvis tilgjengelig på deres verifiserte Twitter-konto hvis du er i tvil.
Bekreft transaksjonen før signering: Det er viktig å lese transaksjonens detaljer før du signerer den i Metamask eller en annen lommebok for å sikre at handlingene du har tenkt vil bli utført.
Administrer kryptoaktivaene dine gjennom flere lommebøker: Distribuer beholdningen av kryptovalutaer, oppbevar langsiktige investeringer og verdifulle NFT-er i kjølelager som maskinvarelommebøker, mens du holder midler til vanlige transaksjoner og mer aktive dApps i en annen hot wallet.
Gjennomgå og tilbakekall periodisk godtgjørelse: Regelmessig gjennomgå og tilbakekalle kvotene dine er alltid en god idé, spesielt for NFT-markedsplasser, når du ikke aktivt bruker en dapp. Dette minimerer sjansen for å tape penger på utnyttelser eller angrep og reduserer virkningen av phishing-svindel. Du kan bruke Revoke.cash or Etherscan token-godkjenningskontroller for det.
Bli oppdatert med svindel for å unngå dem: Hold øye med svindel og rapporter uvanlig oppførsel. Rapportering av svindel vil hjelpe sikkerhetspersonell og politi med å fange svindlere før de forårsaker for mye skade.
konklusjonen
Is-phishing-angrep og andre svindel med kryptovaluta vil trolig vokse mer utbredt ettersom kryptomarkedet fortsetter å stige. Oppmerksomhet og utdanning er de beste sikkerhetstiltakene. Brukere bør være klar over hvordan disse svindelene fungerer, slik at de kan ta passende forholdsregler for å holde seg trygge. Det er alltid verdt å bruke et ekstra øyeblikk på å bekrefte at URL-en du samhandler med har blitt validert både på kjeden og av en pålitelig kilde.
Spørsmål og svar
Hva bør jeg gjøre hvis jeg mistenker et forsøk på isfisking?
Sjekk og tilbakekall godkjenningene dine for adresser som kan ha kompromittert lommeboken din. https://etherscan.io/tokenapprovalchecker. Overfør også alle pengene dine til andre lommebøker.
Hvordan kan jeg beskytte meg mot isfisking?
For å beskytte deg mot phishing-angrep, bør du være forsiktig med uønskede e-poster, meldinger og telefonsamtaler, selv om de ser ut til å komme fra en anerkjent kilde. Bekreft transaksjonen før du signerer den.
Hvordan tilbakekalle godkjenninger for en adresse?
Du kan bruke Revoke.cash or Etherscan token-godkjenningskontroller for å fjerne godkjenninger for en adresse.
24 Visninger
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- I stand
- ovenfor
- adgang
- Logg inn
- kontoer
- Handling
- handlinger
- aktiv
- aktivt
- Aktiviteter
- handlinger
- adresse
- adresser
- Fordel
- Alle
- tillate
- tillater
- allerede
- alltid
- blant
- beløp
- og
- api
- app
- vises
- søknader
- hensiktsmessig
- godkjenning
- rundt
- Eiendeler
- angripe
- Angrep
- forsøk
- oppmerksomhet
- tilgjengelig
- balanserer
- før du
- under
- blockchain
- Låne
- Samtaler
- saken
- Kontanter
- Årsak
- forsiktige
- sjanse
- valgte
- klarhet
- CloudFlare
- Kjølelager
- Kom
- Felles
- fullføre
- kompromittert
- Bekrefte
- Koble
- Tilkobling
- betydelig
- konstruere
- fortsetter
- kontrakt
- kontroll
- dekke
- Opprette
- KREDENSISJON
- krypto
- Kryptomarked
- krypto-eiendeler
- cryptocurrency
- DAO
- Dapp
- DApps
- dag
- Desember
- desentralisert
- Desentraliserte applikasjoner
- Defi
- DEFI-PROTOKOLL
- DeFi-protokoller
- avleiringer
- detaljer
- utvikle
- Dex
- forskjellig
- vanskelig
- distribuere
- domene
- tviler
- tjene
- Kunnskap
- innsats
- Else's
- e-post
- håndhevelse
- sikre
- spesielt
- avgjørende
- etc
- ETH
- eterskanning
- Selv
- etter hvert
- nøyaktig
- eksempel
- henrette
- Utfører
- Exploit
- exploits
- ekstra
- øye
- frykt
- Først
- FOMO
- skjemaer
- svindlere
- uredelig
- hyppig
- fra
- foran
- Front end
- funksjon
- midler
- fungible
- Gevinst
- få
- få
- trekninger
- gitt
- Go
- god
- innvilge
- innvilget
- tilskudd
- Grow
- maskinvare
- Maskinvare lommebøker
- hjelpe
- høyere
- Holdings
- HOT
- Varm lommebok
- Hvordan
- Hvordan
- HTTPS
- ICE
- Tanken
- bilde
- umiddelbar
- Påvirkning
- in
- individer
- Infrastruktur
- i utgangspunktet
- i stedet
- samhandle
- samhandler
- interaksjoner
- interesse
- Investeringer
- Investorer
- involvere
- IT
- hoppe
- Hold
- holde
- nøkkel
- nøkler
- Knowing
- maling
- Law
- rettshåndhevelse
- utlån
- lenker
- langsiktig
- ser
- å miste
- GJØR AT
- marked
- markeds
- meldinger
- metamask
- metode
- millioner
- millioner
- mangler
- øyeblikk
- penger
- mer
- flere
- Ny
- NFT
- NFT markedsplasser
- NFT-er
- On-Chain
- ONE
- betjene
- drift
- Annen
- andre
- eieren
- eier
- spesielt
- Ansatte
- Utfør
- tillatelse
- phishing
- phishing-angrep
- phishing-angrep
- phishing-svindel
- telefon
- telefonsamtaler
- plato
- Platon Data Intelligence
- PlatonData
- pop-up
- utbredt
- privat
- Private nøkler
- sannsynligvis
- Produkt
- fagfolk
- prosjekt
- reklame
- beskytte
- protokollen
- protokoller
- gi
- innkjøp
- Skyver
- Quillhash
- Lese
- gjenkjent
- reduserer
- regelmessig
- pålitelig
- forbli
- fjerne
- rapporterer
- Rapportering
- hederlig
- Krever
- resultere
- anmeldelse
- Rise
- trygge
- Svindel
- svindel
- sikkerhet
- forstand
- Serien
- Tjenester
- bør
- undertegne
- signert
- signering
- Enkelt
- siden
- enkelt
- Smart
- smart kontrakt
- So
- noen
- Noen
- kilde
- spesifikk
- spesielt
- bruke
- Steps
- Still
- stjålet
- lagring
- lykkes
- slik
- sushibytte
- mistenkelig
- Ta
- Target
- Teknologi
- vilkår
- De
- deres
- seg
- tenker
- trussel
- Gjennom
- hele
- tid
- til
- token
- tokens
- også
- Transaksjonen
- Transaksjoner
- overføre
- overføres
- overføringer
- sant
- tweets
- etter
- forstå
- UNI
- Uoppfordret
- oppdatert
- hastverk
- URL
- us
- bruke
- Bruker
- Brukere
- vanligvis
- validert
- Verdifull
- variasjon
- verifisert
- verifisere
- Offer
- lommebok
- Lommebøker
- Web2
- Web3
- Web3 verden
- nettsteder
- Hva
- om
- hvilken
- mens
- vil
- virker
- verden
- verdt
- Utbytte
- Du
- Din
- deg selv
- zephyrnet