Время Читать: 6 минут
В мире web3 попытки фишинга бывают разными. Поскольку технология все еще развивается, могут возникать новые виды атак. Некоторые атаки, такие как ледяной фишинг, специфичны для Web3, в то время как другие напоминают более распространенные атаки фишинга учетных данных в Web2.
Прежде чем узнать, что такое ледяная фишинговая атака и как она работает, давайте сначала разберемся, как подписываются транзакции в блокчейне и каковы допустимые токены.
Подписание транзакции
Мы можем подключаться к децентрализованным приложениям, используя такие кошельки, как Metamask для выполнения таких действий, как кредитование, заимствование, покупка NFT и т. д. Злоумышленники пытаются воспользоваться тем фактом, что пользователи должны подписывать транзакции, используя свою метамаску для выполнения этих действий.
Появится всплывающее окно Metamask и спросит пользователя, хотят ли они подтвердить или отменить транзакцию, когда приложение должно выполнить операцию в сети. См. изображение ниже.
В приведенном выше примере мы видим, что метамаска запрашивает подтверждение, когда мы обмениваем токены ETH на токены UNI. Транзакция будет выполнена после того, как мы ее подтвердим. В результате может быть сложнее понять, какие действия вы разрешаете в некоторых транзакциях, особенно если мы разрешаем серию действий, а не одно немедленное действие. Злоумышленники пытаются использовать это отсутствие ясности, когда они используют ледяной фишинг.
Разрешение на использование токенов
Транзакция, в которой владелец токена уполномочивает того, кто тратит токен, потратить сумму токена от имени владельца токена. Владелец может предоставить токен для невзаимозаменяемые и взаимозаменяемые токены. Владелец — это учетная запись, которая владеет токенами и предоставляет тратящему пособие.
Что такое ледяной фишинг
Проще говоря, ледяной фишинг заключается в том, чтобы заставить пользователя подписать вредоносную транзакцию, чтобы злоумышленник мог получить контроль над криптоактивами.
Метод «ледяного фишинга» не предполагает кражу чужих приватных ключей. Вместо этого требуется попытаться обманом заставить пользователя одобрить транзакцию, которая предоставляет злоумышленнику контроль над токенами пользователя.
Утверждения — это частый тип транзакции, который позволяет пользователям взаимодействовать с протоколами DeFi. Это делает ледяной фишинг серьезной угрозой для инвесторов Web3, поскольку для взаимодействия с протоколами DeFi требуется разрешение на взаимодействие.
Как работает атака?
Злоумышленник выполняет эту атаку в два этапа:
1. Обманом заставить жертву подписать транзакцию одобрения:
Злоумышленники создают мошеннические веб-сайты, выдающие себя за DEX, такие как SushiSwap, или в качестве справочной страницы для криптопродукта.
Злоумышленник обычно рассылает эти вредоносные ссылки на рекламные подарки и «эксклюзивные» монетные дворы NFT, фишинговые электронные письма, твиты, Discord и т. д., подталкивая людей к переходу на эти вредоносные веб-сайты, создавая ложное ощущение срочности и провоцируя FOMO (страх). пропущенных) среди пользователей. См. пример ниже:
Мошенники добиваются успеха, когда они могут обманом заставить пользователей подключить кошельки к своим вредоносным веб-сайтам и манипулировать пользователями, чтобы они подписывали разрешения на использование своих активов.
2. Кража токенов из кошельков пользователей:
Как только пользователь одобрит токены на адрес злоумышленника. Злоумышленник вызывает функцию TransferFrom и переводит все токены на свой кошелек. В мошенничестве обычно участвуют как минимум два кошелька. Сначала кошелек Ice Phishing, одобренный пользователями, а затем кошелек Recipient, куда злоумышленник перевел токены.
Кейс Badger DAO
Badger — это протокол DeFi, который позволяет получать проценты по депозитам. 2 декабря 2021 года BadgerDAO подвергся ледяной фишинговой атаке. Ключ API Cloudflare от Badger был скомпрометирован, что позволило злоумышленнику захватить интерфейсную инфраструктуру.
Таким образом, злоумышленник смог внедрить вредоносный скрипт во внешний интерфейс. Теперь пользователи попытались подключиться к BadgerDAO, думая, что вносят токены для получения дохода. Тем не менее, фактическая транзакция, которую они подписали, предоставила злоумышленникам полный доступ к их активам.
Злоумышленники снимали миллионы со счетов жертв и специально выбирали людей с более высокими остатками на счетах. Они меняли свой сценарий в течение дня, чтобы остаться незамеченными. В конце концов, BadgerDAO распознал атаку и остановил смарт-контракт, но злоумышленники уже украли около 121 миллиона долларов с 200 учетных записей.
Как защитить себя
Не нажимайте на подозрительные ссылки: Чтобы избежать фишинговых URL-адресов и скваттеров доменов, используйте только проверенный URL-адрес для доступа к dApps и сервисам. URL-адрес проекта обычно доступен в их проверенной учетной записи Twitter, если вы сомневаетесь.
Проверьте транзакцию перед подписанием: Важно прочитать детали транзакции перед ее подписанием в Metamask или любом другом кошельке, чтобы убедиться, что запланированные действия будут выполнены.
Управляйте своими криптоактивами через несколько кошельков: Распределяйте свои запасы криптовалюты, сохраняя долгосрочные инвестиции и ценные NFT в холодном хранилище, таком как аппаратные кошельки, сохраняя при этом средства для регулярных транзакций и более активных dApps в другом горячем кошельке.
Периодически пересматривать и отзывать Пособие: периодическая проверка и отмена разрешений — это всегда хорошая идея, особенно для торговых площадок NFT, когда вы не используете децентрализованное приложение активно. Это сводит к минимуму ваши шансы потерять деньги из-за эксплойтов или атак и снижает влияние фишинга. Вы можете использовать Отозвать.cash or Проверка утверждения токена Etherscan за это.
Будьте в курсе мошенничества, чтобы избежать его: Следите за мошенничеством и сообщайте о любом необычном поведении. Сообщение о мошенничестве поможет специалистам по безопасности и правоохранительным органам поймать мошенников до того, как они причинят слишком много вреда.
Заключение
Ледяные фишинговые атаки и другие виды мошенничества с криптовалютой, вероятно, станут более распространенными, поскольку рынок криптовалют продолжает расти. Внимание и образование — лучшие меры предосторожности. Пользователи должны знать, как работают эти мошенники, чтобы они могли принять соответствующие меры предосторожности, чтобы обезопасить себя. Всегда стоит потратить дополнительную минуту, чтобы убедиться, что URL-адрес, с которым вы взаимодействуете, был проверен как в сети, так и в надежном источнике.
Часто задаваемые вопросы
Что делать, если я подозреваю попытку ледяного фишинга?
Проверьте и отзовите свои утверждения для любых адресов, которые могли скомпрометировать ваш кошелек. https://etherscan.io/tokenapprovalchecker. Также переведите все свои средства на другие кошельки.
Как я могу защитить себя от ледяного фишинга?
Чтобы защитить себя от ледяного фишинга, вам следует с осторожностью относиться к нежелательным электронным письмам, сообщениям и телефонным звонкам, даже если они кажутся исходящими из надежного источника. Проверяйте транзакцию перед ее подписанием.
Как отозвать утверждения для адреса?
Вы можете использовать Отозвать.cash or Проверка утверждения токена Etherscan для удаления утверждений для адреса.
24 Просмотры
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- в состоянии
- выше
- доступ
- Учетная запись
- Учетные записи
- Действие
- действия
- активный
- активно
- активно
- акты
- адрес
- адреса
- плюс
- Все
- Позволяющий
- позволяет
- уже
- всегда
- среди
- количество
- и
- API
- приложение
- появиться
- Приложения
- соответствующий
- утверждение
- около
- Активы
- атаковать
- нападки
- попытки
- внимание
- доступен
- Остатки
- до
- ниже
- блокчейн
- Заимствование
- Объявления
- случаев
- Наличный расчёт
- Вызывать
- осторожный
- шанс
- выбрал
- ясность
- CloudFlare
- хранение в холодильнике
- как
- Общий
- полный
- Ослабленный
- подтвердить
- Свяжитесь
- Соединительный
- значительный
- строить
- продолжается
- контракт
- контроль
- чехол для варгана
- Создающий
- ПОЛНОМОЧИЯ
- крипто-
- Криптографический рынок
- крипто-активы
- криптовалюта
- DAO
- DAPP
- DApps
- день
- Декабрь
- децентрализованная
- Децентрализованные приложения
- Defi
- ПРОТОКОЛ DEFI
- Протоколы DeFi
- депозиты
- подробнее
- развивающийся
- Dex
- различный
- трудный
- распространять
- домен
- сомневаюсь
- зарабатывать
- Обучение
- усилие
- Еще
- Писем
- принуждение
- обеспечивать
- особенно
- существенный
- и т.д
- ETH
- Etherscan
- Даже
- со временем
- точно,
- пример
- выполнять
- Выполняет
- Эксплуатировать
- использует
- дополнительно
- Глаза
- страх
- Во-первых,
- СЧ
- формы
- мошенники
- и мошенническими
- частое
- от
- передний
- Внешний интерфейс
- функция
- средства
- заменяемый
- Gain
- получить
- получающий
- подарками
- данный
- Go
- хорошо
- предоставлять
- предоставленный
- гранты
- Расти
- Аппаратные средства
- Аппаратные кошельки
- помощь
- высший
- Авуары
- ГОРЯЧИЙ
- Горячий кошелек
- Как
- How To
- HTTPS
- ICE
- идея
- изображение
- немедленная
- Влияние
- in
- лиц
- Инфраструктура
- первоначально
- вместо
- взаимодействовать
- взаимодействующий
- взаимодействие
- интерес
- Вложения
- Инвесторы
- включать в себя
- IT
- Прыгать
- Сохранить
- хранение
- Основные
- ключи
- знание
- Отсутствие
- закон
- правоохранительной
- кредитование
- связи
- долгосрочный
- искать
- потери
- ДЕЛАЕТ
- рынок
- рынки
- Сообщения
- MetaMask
- метод
- миллиона
- миллионы
- отсутствующий
- момент
- деньги
- БОЛЕЕ
- с разными
- Новые
- NFT
- Торговые площадки NFT
- NFTs
- В сети
- ONE
- работать
- операция
- Другое
- Другое
- владелец
- владеет
- особенно
- Люди
- Выполнять
- разрешение
- фишинг
- фишинг-атака
- фишинговые атаки
- фишинг Мошенничество
- Телефон
- телефонные звонки
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- сообщения
- превалирующий
- частная
- Частные ключи
- вероятно
- Продукт
- профессионалы
- Проект
- рекламный
- для защиты
- протокол
- протоколы
- обеспечивать
- покупка
- Нажимать
- Квиллхэш
- Читать
- признанный
- снижает
- регулярный
- складская
- оставаться
- удаление
- отчету
- Reporting
- уважаемый
- требуется
- результат
- обзоре
- Рост
- безопасный
- Мошенничество
- мошенничество
- безопасность
- смысл
- Серии
- Услуги
- должен
- подпись
- подписанный
- подписание
- просто
- с
- одинарной
- умный
- умный контракт
- So
- некоторые
- Кто-то
- Источник
- конкретный
- конкретно
- тратить
- Шаги
- По-прежнему
- украли
- диск
- быть успешными
- такие
- суши
- подозрительный
- взять
- цель
- Технологии
- terms
- Ассоциация
- их
- сами
- мышление
- угроза
- Через
- по всему
- время
- в
- знак
- Лексемы
- слишком
- сделка
- Сделки
- перевод
- переданы
- переводы
- правда
- чириканье
- под
- понимать
- UNI
- Незапрошенный
- обновление
- острая необходимость
- URL
- us
- использование
- Информация о пользователе
- пользователей
- обычно
- подтверждено
- ценный
- разнообразие
- проверено
- проверить
- Жертва
- Кошелек
- Кошельки
- Web2
- Web3
- Мир Web3
- веб-сайты
- Что
- будь то
- который
- в то время как
- будете
- работает
- Мир
- стоит
- Уступать
- Ты
- ВАШЕ
- себя
- зефирнет