Čas branja: 6 min
V svetu web3 se poskusi lažnega predstavljanja pojavljajo v različnih oblikah. Ker se tehnologija še razvija, se lahko pojavijo nove vrste napadov. Nekateri napadi, kot je lažno predstavljanje na ledu, so značilni za Web3, drugi pa so podobni pogostejšim napadom lažnega predstavljanja poverilnic na Web2.
Preden izvemo, kaj točno je napad z lažnim predstavljanjem in kako deluje, najprej razumejmo, kako se podpisujejo transakcije v verigi blokov in kaj so dovoljeni žetoni.
Podpisovanje transakcije
Lahko se povežemo z decentraliziranimi aplikacijami z denarnicami, kot je Metamask za izvajanje dejanj, kot so posojanje, izposojanje, nakup NFT itd. Zlonamerni uporabniki poskušajo izkoristiti dejstvo, da morajo uporabniki za izvajanje teh dejanj podpisati transakcije s svojim metamaskom.
Pojavi se pojavno okno Metamask in uporabnika vpraša, ali želi potrditi ali preklicati transakcijo, ko mora aplikacija izvesti operacijo v verigi. Oglejte si spodnjo sliko.
V zgornjem primeru lahko vidimo, da nas metamaska pozove k potrditvi, ko zamenjamo ETH za žetone UNI. Transakcija bo izvršena, ko jo potrdimo. Posledično bo morda težje razumeti, katere dejavnosti dovolite pri nekaterih transakcijah, zlasti če dovolimo niz dejanj namesto enega samega takojšnjega dejanja. Napadalci želijo izkoristiti to pomanjkanje jasnosti, ko se lotijo lažnega predstavljanja.
Žetonski dodatek
Transakcija, v kateri lastnik žetona pooblasti uporabnika žetona, da porabi znesek žetona v imenu lastnika žetona. Lastnik lahko zagotovi simbolično nadomestilo za nezamenljivi in zamenljivi žetoni. Lastnik je račun, ki ima v lasti žetone in porabniku dodeli dodatek.
Kaj je Ice Phishing
Preprosto povedano, Ice Phishing vključuje prevaro uporabnika, da podpiše zlonamerno transakcijo, tako da lahko napadalec pridobi nadzor nad kripto sredstvi.
Metoda »ice phishing« ne vključuje kraje zasebnih ključev nekoga drugega. Namesto tega zahteva, da poskuša uporabnika pretentati, da odobri transakcijo, ki napadalcu podeli nadzor nad uporabnikovimi žetoni.
Odobritve so pogosta vrsta transakcij, ki omogočajo interakcijo uporabnikov s protokoli DeFi. Zaradi tega lažno predstavljanje na ledu predstavlja veliko grožnjo vlagateljem v Web3, saj morate za interakcijo s protokoli DeFi podeliti dovoljenje za interakcijo.
Kako deluje napad?
Napadalec ta napad izvede v dveh korakih:
1. Prevara žrtev v podpis odobritev transakcij:
Napadalci ustvarijo goljufiva spletna mesta, ki se predstavljajo kot DEX, kot je SushiSwap, ali kot stran za pomoč za kripto izdelek.
Napadalec običajno pošlje te zlonamerne povezave do promocijskih nagrad in »ekskluzivnih« kovnic NFT, e-pošte z lažnim predstavljanjem, tvitov, Discordov itd., s čimer spodbudi ljudi, da skočijo na ta zlonamerna spletna mesta, tako da ustvarijo lažen občutek nujnosti in izzovejo FOMO (strah). manjkanja) med uporabniki. Oglejte si spodnji primer:
Goljufi uspejo, ko lahko uporabnike zavedejo, da denarnice povežejo z njihovimi zlonamernimi spletnimi mesti, in uporabnike manipulirajo, da podpišejo odobritve za porabo svojih sredstev.
2. Kraja žetonov iz uporabnikovih denarnic:
Takoj ko uporabnik odobri žetone na naslov zlonamernega napadalca. Napadalec pokliče funkcijo transferFrom in prenese vse žetone v svojo denarnico. Prevara običajno vključuje vsaj dve denarnici. Sprva denarnica Ice Phishing, ki so jo uporabniki odobrili, nato pa denarnica Recipient, kamor je napadalec prenesel žetone.
Študija primera Badger DAO
Badger je protokol DeFi, ki omogoča zaslužek z obrestmi na depozite. 2. decembra 2021 je bil BadgerDAO napaden z lažnim predstavljanjem. Badgerjev ključ Cloudflare API je bil ogrožen, kar je napadalcu omogočilo prevzem sprednje infrastrukture.
Napadalec je tako lahko v sprednji del vbrizgal zlonamerni skript. Zdaj so se uporabniki poskušali povezati z BadgerDAO, misleč, da nalagajo žetone, da bi pridobili donos. Kljub temu je dejanska transakcija, ki so jo podpisali, napadalcem omogočila popoln dostop do njihovih sredstev.
Napadalci so vzeli milijone z računov žrtev in za tarčo posebej izbrali posameznike z višjim stanjem. Ves dan so spreminjali svoj scenarij, da bi ostali neodkriti. Sčasoma je BadgerDAO prepoznal napad in ustavil pametno pogodbo, vendar so izkoriščevalci že ukradli okoli 121 milijonov dolarjev iz 200 računov.
Kako zaščititi sebe
Ne klikajte na sumljive povezave: Da bi se izognili lažnim URL-jem in skvoterjem domene, za dostop do dApps in storitev uporabljajte samo preverjen URL. URL projekta je običajno na voljo na njihovem preverjenem Twitter računu, če ste v dvomih.
Pred podpisom preverite transakcijo: Bistveno je, da preberete podrobnosti transakcije, preden jo podpišete v Metamasku ali kateri koli drugi denarnici, da zagotovite, da bodo dejanja, ki jih nameravate, izvedena.
Upravljajte svoja kripto sredstva prek več denarnic: Razdelite svoja imetja kriptovalut, shranite dolgoročne naložbe in dragocene NFT-je v hladnem skladišču, kot so denarnice za strojno opremo, medtem ko obdržite sredstva za redne transakcije in bolj aktivne dApps v drugi vroči denarnici.
Redno pregledujte in prekličite dovoljenje: Redno pregledovanje in preklic dovoljenj je vedno dobra ideja, zlasti za tržnice NFT, kadar koli ne uporabljate aktivno aplikacije. To zmanjša vaše možnosti izgube denarja zaradi izkoriščanja ali napadov in zmanjša vpliv prevar z lažnim predstavljanjem. Lahko uporabiš Preklic.gotovina or Preverjevalnik odobritve žetona Etherscan za to.
Bodite posodobljeni s prevarami, da se jim izognete: Bodite pozorni na prevare in prijavite vsako nenavadno vedenje. Poročanje o prevarah bo varnostnim strokovnjakom in organom kazenskega pregona pomagalo ujeti goljufe, preden povzročijo preveč škode.
zaključek
Napadi z lažnim predstavljanjem in druge goljufije s kriptovalutami bodo verjetno vse bolj razširjeni, ko bo kripto trg še naprej naraščal. Pozornost in izobraževanje sta najboljša varnostna ukrepa. Uporabniki se morajo zavedati, kako te prevare delujejo, da lahko sprejmejo ustrezne varnostne ukrepe za svojo varnost. Vedno si je vredno vzeti dodaten trenutek in potrditi, da je bil URL, s katerim komunicirate, potrjen v verigi in s strani zanesljivega vira.
Pogosta vprašanja
Kaj naj storim, če sumim na poskus lažnega predstavljanja?
Preverite in prekličite svoje odobritve za vse naslove, ki so morda ogrozili vašo denarnico. https://etherscan.io/tokenapprovalchecker. Prav tako prenesite vsa svoja sredstva v druge denarnice.
Kako se lahko zaščitim pred lažnim predstavljanjem?
Da bi se zaščitili pred napadom lažnega predstavljanja, bodite previdni pri nezaželeni e-pošti, sporočilih in telefonskih klicih, tudi če se zdi, da izvirajo iz uglednega vira. Preverite transakcijo, preden jo podpišete.
Kako preklicati odobritve za naslov?
Lahko uporabite Preklic.gotovina or Preverjevalnik odobritve žetona Etherscan za odstranitev odobritev za naslov.
24 Ogledov
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- Sposobna
- nad
- dostop
- Račun
- računi
- Ukrep
- dejavnosti
- aktivna
- aktivno
- dejavnosti
- aktov
- Naslov
- naslovi
- Prednost
- vsi
- Dovoli
- omogoča
- že
- vedno
- med
- znesek
- in
- API
- aplikacija
- zdi
- aplikacije
- primerno
- odobritev
- okoli
- Sredstva
- napad
- Napadi
- Poskusi
- pozornosti
- Na voljo
- tehtnice
- pred
- spodaj
- blockchain
- Zadolževanje
- poziva
- primeru
- Denar
- Vzrok
- previden
- priložnost
- izbral
- jasnost
- CloudFlare
- Hladilnica
- kako
- Skupno
- dokončanje
- Ogroženo
- Potrdi
- Connect
- Povezovanje
- velika
- gradnjo
- se nadaljuje
- Naročilo
- nadzor
- pokrov
- Ustvarjanje
- POVERILNICA
- kripto
- Kripto tržnica
- kriptovalute
- cryptocurrency
- DAO
- dapp
- DApps
- dan
- december
- Decentralizirano
- Decentralizirane aplikacije
- Defi
- DEFI PROTOKOL
- DeFi protokoli
- vloge
- Podrobnosti
- razvoju
- Dex
- drugačen
- težko
- distribuirati
- domena
- dvomim
- zaslužiti
- Izobraževanje
- prizadevanje
- Drugače
- e-pošta
- izvršba
- zagotovitev
- zlasti
- bistvena
- itd
- ETH
- eterski
- Tudi
- sčasoma
- točno
- Primer
- izvršiti
- Izvaja
- Izkoristite
- izkorišča
- dodatna
- oči
- strah
- prva
- FOMO
- Obrazci
- goljufi
- goljufiva
- pogosto
- iz
- spredaj
- Prednji del
- funkcija
- Skladi
- Grenkobno
- Gain
- dobili
- pridobivanje
- darila
- dana
- Go
- dobro
- odobri
- odobreno
- nepovratna sredstva
- Grow
- strojna oprema
- Strojna denarnica
- pomoč
- več
- Holdings
- HOT
- Vroča denarnica
- Kako
- Kako
- HTTPS
- ICE
- Ideja
- slika
- Takojšen
- vpliv
- in
- posamezniki
- Infrastruktura
- na začetku
- Namesto
- interakcijo
- medsebojno delovanje
- interakcije
- obresti
- naložbe
- Vlagatelji
- vključujejo
- IT
- skoči
- Imejte
- vzdrževanje
- Ključne
- tipke
- Vedeti
- Pomanjkanje
- zakon
- kazenskega pregona
- posojanje
- Povezave
- dolgoročna
- si
- izgube
- IZDELA
- Tržna
- tržnice
- sporočil
- MetaMask
- Metoda
- milijonov
- milijoni
- manjka
- Trenutek
- Denar
- več
- več
- Novo
- NFT
- Tržnice NFT
- NFT
- Na verigi
- ONE
- deluje
- Delovanje
- Ostalo
- drugi
- Lastnik
- lastnik
- zlasti
- ljudje
- Izvedite
- Dovoljenje
- Ribarjenje
- lažni napad
- lažni napadi
- phishing prevare
- telefon
- telefonski klici
- platon
- Platonova podatkovna inteligenca
- PlatoData
- pop-up
- prevladujoč
- zasebna
- Zasebni ključi
- verjetno
- Izdelek
- strokovnjaki
- Projekt
- promocijsko
- zaščito
- protokol
- protokoli
- zagotavljajo
- nakup
- Potiskanje
- Quillhash
- Preberi
- priznana
- zmanjšuje
- redni
- zanesljiv
- ostajajo
- odstranjevanje
- poročilo
- Poročanje
- ugledne
- zahteva
- povzroči
- pregleda
- Rise
- varna
- Prevara
- prevare
- varnost
- Občutek
- Serija
- Storitve
- shouldnt
- podpisati
- podpisano
- podpis
- Enostavno
- saj
- sam
- pametna
- pametna pogodba
- So
- nekaj
- nekdo
- vir
- specifična
- posebej
- preživeti
- Koraki
- Še vedno
- ukradeno
- shranjevanje
- uspeh
- taka
- zamenjava
- sumljiv
- Bodite
- ciljna
- Tehnologija
- Pogoji
- O
- njihove
- sami
- Razmišljanje
- Grožnja
- skozi
- vsej
- čas
- do
- žeton
- Boni
- tudi
- transakcija
- Transakcije
- prenos
- prenese
- transferji
- Res
- tweets
- pod
- razumeli
- UNI
- nezaželena
- posodobljeno
- nujnost
- URL
- us
- uporaba
- uporabnik
- Uporabniki
- navadno
- potrjeno
- dragocene
- raznolikost
- preverjeno
- preverjanje
- Žrtva
- denarnica
- Denarnice
- Web2
- Web3
- Web3 svet
- spletne strani
- Kaj
- ali
- ki
- medtem
- bo
- deluje
- svet
- vredno
- donos
- Vi
- Vaša rutina za
- sami
- zefirnet