Okuma zamanı: 6 dakika
Web3 dünyasında, kimlik avı girişimleri çeşitli biçimlerde gelir. Teknoloji hala gelişmekte olduğu için yeni saldırı türleri ortaya çıkabilir. Ice phishing gibi bazı saldırılar Web3'e özgüdür, diğerleri ise Web2'deki daha yaygın kimlik bilgisi phishing saldırılarına benzer.
Bir ice phishing saldırısının tam olarak ne olduğunu ve nasıl çalıştığını bilmeden önce, Blockchain'de işlemlerin nasıl imzalandığını ve token ödeneğinin ne olduğunu anlayalım.
İşlem İmzalamak
Gibi cüzdanları kullanarak merkezi olmayan uygulamalara bağlanabiliriz. Metamask ödünç verme, ödünç alma, NFT satın alma vb. eylemleri gerçekleştirmek için.
Metamask açılır penceresi görünecek ve bir uygulamanın zincir üzerinde bir işlem gerçekleştirmesi gerektiğinde kullanıcıya işlemi onaylamak mı yoksa iptal etmek mi istediğini soracak. Aşağıdaki resme bakın.
Yukarıdaki örnekte, UNI belirteçleri için ETH'yi değiştirirken metamask'ın bizden onay istediğini görebiliriz. Onayladığımızda işlem gerçekleştirilecektir. Sonuç olarak, özellikle tek bir acil eylem yerine bir dizi eyleme izin veriyorsak, bazı işlemlerde hangi faaliyetlere izin verdiğinizi anlamak daha zor olabilir. Saldırganlar, ice phishing'e gittiklerinde bu netlik eksikliğinden yararlanmaya çalışıyorlar.
Jeton Ödeneği
Bir jeton sahibinin, jeton harcayan kişiye jeton miktarını jeton sahibi adına harcama yetkisi verdiği bir işlem. Bir mal sahibi, için belirteç ödeneği sağlayabilir misli olmayan ve misli tokenler. Sahibi, jetonlara sahip olan ve harcama yapana ödenek veren hesaptır.
Buzla Kimlik Avı Nedir?
Basit bir ifadeyle, Ice Phishing, saldırganın kripto varlıkları üzerinde kontrol elde edebilmesi için bir kullanıcıyı kötü niyetli bir işlemi imzalaması için kandırmayı içerir.
"Ice phishing" yöntemi, başka birinin özel anahtarlarının çalınmasını içermez. Bunun yerine, saldırgana kullanıcının belirteçleri üzerinde denetim sağlayan bir işlemi onaylaması için bir kullanıcıyı kandırmayı denemeyi gerektirir.
Onaylar, kullanıcıların DeFi Protokolleri ile etkileşime girmesine izin veren sık yapılan bir işlem türüdür. Bu, DeFi protokolleriyle etkileşim kurmak için etkileşim izni vermenizi gerektirdiğinden, ice phishing'i Web3 yatırımcıları için önemli bir tehdit haline getirir.
Saldırı nasıl çalışır?
Saldırgan bu saldırıyı iki adımda gerçekleştirir:
1. Mağduru Onay İşlemlerini imzalaması için kandırmak:
Saldırganlar, SushiSwap gibi bir DEX'i taklit eden veya bir kripto ürünü için yardım sayfası olarak sahte web siteleri oluşturur.
Saldırgan genellikle bu kötü niyetli bağlantıları promosyon eşantiyonlarına ve "özel" NFT'lere, Kimlik Avı E-postalarına, Tweet'lere, Anlaşmazlıklara vb. göndererek yanlış bir aciliyet duygusu yaratarak ve FOMO'yu (korku) kışkırtarak insanları bu kötü niyetli web sitelerine atlamaya iter kullanıcılar arasında). Aşağıdaki Örneğe bakın:
Dolandırıcılar, kullanıcıları kendi Kötü Amaçlı web sitelerine cüzdan bağlamaları için kandırabildiklerinde ve kullanıcıları varlıklarını harcamak için onay imzalamaları için kandırabildiklerinde başarılı olurlar.
2. Kullanıcıların cüzdanlarından jeton çalmak:
Kullanıcı, kötü niyetli saldırganın adresine belirteçleri onaylar onaylamaz. Saldırgan, transferFrom işlevini çağırır ve tüm belirteçleri cüzdanına aktarır. Dolandırıcılık genellikle en az iki cüzdan içerir. Başlangıçta kullanıcıların onay verdiği Ice Phishing cüzdanı ve ardından saldırganın tokenları aktardığı Recipient cüzdanı.
Porsuk DAO Vaka Çalışması
Badger, kişinin mevduatlardan faiz kazanmasına izin veren bir DeFi protokolüdür. 2 Aralık 2021'de BadgerDAO, buzdan kimlik avı saldırısı altındaydı. Badger'ın Cloudflare API anahtarının güvenliği ihlal edildi ve saldırganın ön uç altyapıyı ele geçirmesine izin verildi.
Böylece saldırgan, ön uca kötü amaçlı komut dosyası enjekte edebildi. Şimdi kullanıcılar, getiri elde etmek için token yatırdıklarını düşünerek BadgerDAO'ya bağlanmaya çalıştı. Yine de imzaladıkları gerçek işlem, saldırganlara varlıklarına tam erişim sağladı.
Saldırganlar, kurbanların hesaplarından milyonları çaldı ve özellikle daha yüksek bakiyeye sahip kişileri hedef aldı. Fark edilmemek için gün boyunca senaryolarını değiştirdiler. Sonunda, BadgerDAO saldırıyı fark etti ve akıllı sözleşmeyi durdurdu, ancak istismarcılar şimdiden 121 hesaptan yaklaşık 200 milyon dolar çalmıştı.
Kendinizi Koruyun Nasıl
Şüpheli Bağlantılara tıklamayın: Kimlik avı URL'lerinden ve alan işgalcilerinden kaçınmak için, dApp'lere ve hizmetlere erişmek için yalnızca doğrulanmış URL'yi kullanın. Şüpheniz varsa proje URL'si genellikle doğrulanmış Twitter hesaplarında bulunur.
İmzalamadan önce işlemi doğrulayın: Amaçladığınız eylemlerin gerçekleştirilmesini sağlamak için Metamask'ta veya başka bir cüzdanda imzalamadan önce işlemin ayrıntılarını okumanız önemlidir.
Kripto varlıklarınızı birden çok cüzdan aracılığıyla yönetin: Kripto para varlıklarınızı dağıtın, uzun vadeli yatırımları ve değerli NFT'leri donanım cüzdanları gibi soğuk depolamada saklayın ve düzenli işlemler ve daha aktif dApp'ler için fonları farklı bir sıcak cüzdanda tutun.
Ödeneği periyodik olarak gözden geçirin ve iptal edin: Bir dapp'ı aktif olarak kullanmadığınız zamanlarda, özellikle NFT pazaryerleri için tahsisatlarınızı periyodik olarak gözden geçirmek ve iptal etmek her zaman iyi bir fikirdir. Bu, istismarlara veya saldırılara para kaybetme şansınızı en aza indirir ve kimlik avı dolandırıcılıklarının etkisini azaltır. Kullanabilirsiniz iptal.cash or Etherscan belirteç onay denetleyicisi bunun için.
Onlardan kaçınmak için Dolandırıcılıklardan haberdar olun: Dolandırıcılıklara dikkat edin ve olağandışı davranışları bildirin. Dolandırıcılıkları bildirmek, güvenlik profesyonellerinin ve kolluk kuvvetlerinin dolandırıcıları çok fazla zarara yol açmadan yakalamalarına yardımcı olacaktır.
Sonuç
Buzdan kimlik avı saldırıları ve diğer kripto para birimi sahtekarlıkları, kripto pazarı yükselmeye devam ettikçe muhtemelen daha da yaygınlaşacaktır. Dikkat ve eğitim en iyi güvenlik önlemleridir. Kullanıcılar, kendilerini güvende tutmak için uygun önlemleri alabilmeleri için bu dolandırıcılıkların nasıl işlediğinin farkında olmalıdır. Etkileşimde bulunduğunuz URL'nin hem zincir üzerinde hem de güvenilir bir kaynak tarafından doğrulandığını doğrulamak için fazladan bir dakika ayırmaya her zaman değer.
FAQs
Buzla kimlik avı girişiminden şüphelenirsem ne yapmalıyım?
Cüzdanınızı tehlikeye atmış olabilecek tüm adresler için onaylarınızı kontrol edin ve iptal edin. https://etherscan.io/tokenapprovalchecker. Ayrıca, tüm paranızı diğer cüzdanlara aktarın.
Kendimi ice phishing'den nasıl koruyabilirim?
Kendinizi buzdan kimlik avı saldırısından korumak için, saygın bir kaynaktan geliyor gibi görünseler bile, istenmeyen e-postalara, mesajlara ve telefon aramalarına karşı dikkatli olmalısınız. İmzalamadan önce işlemi doğrulayın.
Bir adres için onaylar nasıl iptal edilir?
Sen kullanabilirsiniz iptal.cash or Etherscan belirteç onay denetleyicisi bir adres için onayları kaldırmak için.
24 Görünümler
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- Yapabilmek
- yukarıdaki
- erişim
- Hesap
- Hesaplar
- Action
- eylemler
- aktif
- aktif
- faaliyetler
- eylemler
- adres
- adresleri
- avantaj
- Türkiye
- Izin
- veriyor
- zaten
- her zaman
- arasında
- miktar
- ve
- api
- uygulamayı yükleyeceğiz
- görünmek
- uygulamaları
- uygun
- onay
- etrafında
- Varlıklar
- saldırı
- saldırılar
- Denemeler
- Dikkat
- mevcut
- bakiyeler
- önce
- altında
- blockchain
- Borçlanma
- aramalar
- dava
- Nakit
- Sebeb olmak
- ihtiyatlı
- şans
- seçti
- berraklık
- CloudFlare
- Soğuk depo
- nasıl
- ortak
- tamamlamak
- Uzlaşılmış
- Onaylamak
- Sosyal medya
- bağlantı
- önemli
- kurmak
- devam ediyor
- sözleşme
- kontrol
- kapak
- Oluşturma
- KİMLİK
- kripto
- Kripto Pazarı
- kripto-varlıklar
- cryptocurrency
- DAO
- Dapp
- DApps
- gün
- Aralık
- Merkezi olmayan
- Merkezi Olmayan Uygulamalar
- Defi
- DEFI PROTOKOLÜ
- DeFi protokolleri
- mevduat
- ayrıntılar
- gelişen
- Dex
- farklı
- zor
- dağıtmak
- domain
- şüphe
- kazanmak
- Eğitim
- çaba
- başkasının
- e-postalar
- uygulama
- sağlamak
- özellikle
- gerekli
- vb
- ETH
- etherscan
- Hatta
- sonunda
- kesinlikle
- örnek
- yürütmek
- çalıştırır
- sömürmek
- patlatır
- ekstra
- göz
- korku
- Ad
- FOMO
- formlar
- dolandırıcıların
- sahte
- sık
- itibaren
- ön
- Başlangıç aşaması
- işlev
- para
- karşılanabilir
- Kazanç
- almak
- alma
- hediye
- verilmiş
- Go
- Tercih Etmenizin
- vermek
- verilmiş
- yardımlar
- Büyümek
- donanım
- Donanım Cüzdanları
- yardım et
- daha yüksek
- Holdings
- SICAK
- Sıcak cüzdan
- Ne kadar
- Nasıl Yapılır
- HTTPS
- ICE
- Fikir
- görüntü
- Acil
- darbe
- in
- bireyler
- Altyapı
- başlangıçta
- yerine
- etkileşim
- etkileşim
- etkileşimleri
- faiz
- Yatırımlar
- Yatırımcılar
- dahil
- IT
- atlama
- tutmak
- koruma
- anahtar
- anahtarlar
- bilme
- Eksiklik
- Kanun
- Kolluk
- borç verme
- bağlantılar
- uzun süreli
- bakıyor
- kaybetme
- YAPAR
- pazar
- pazaryerleri
- mesajları
- MetaMask
- yöntem
- milyon
- milyonlarca
- eksik
- an
- para
- Daha
- çoklu
- yeni
- NFT
- NFT Pazaryeri
- NFT'ler
- Zincir Üzerinde
- ONE
- işletmek
- operasyon
- Diğer
- Diğer
- sahip
- sahibi
- özellikle
- İnsanlar
- Yapmak
- izin
- Kimlik avı
- Kimlik avı saldırısı
- kimlik avı saldırıları
- phishing Dolandırıcılar
- telefon
- telefon görüşmeleri
- Platon
- Plato Veri Zekası
- PlatoVeri
- pop-up
- yaygın
- özel
- Özel Anahtarlar
- muhtemelen
- PLATFORM
- profesyoneller
- proje
- promosyon
- korumak
- protokol
- protokolleri
- sağlamak
- Satın alma
- itme
- tüyo
- Okumak
- tanınan
- azaltır
- düzenli
- güvenilir
- kalmak
- kaldırma
- rapor
- Raporlama
- saygın
- gerektirir
- sonuç
- yorum
- Yükselmek
- güvenli
- Aldatmaca
- dolandırıcılığı
- güvenlik
- duyu
- Dizi
- Hizmetler
- meli
- işaret
- imzalı
- imza
- Basit
- beri
- tek
- akıllı
- akıllı sözleşme
- So
- biraz
- Birisi
- Kaynak
- özel
- özellikle
- geçirmek
- Basamaklar
- Yine
- çalıntı
- hafızası
- başarılı olmak
- böyle
- Sushiswap
- şüpheli
- Bizi daha iyi tanımak için
- Hedef
- Teknoloji
- şartlar
- The
- ve bazı Asya
- kendilerini
- Düşünme
- tehdit
- İçinden
- boyunca
- zaman
- için
- simge
- Jeton
- çok
- işlem
- işlemler
- transfer
- transfer
- transferler
- gerçek
- tweets
- altında
- anlamak
- UNI
- Istenmemiş
- güncellenmiş
- aciliyet
- URL
- us
- kullanım
- kullanıcı
- kullanıcılar
- genellikle
- valide
- Değerli
- çeşitlilik
- Doğrulanmış
- doğrulamak
- Kurban
- Cüzdan
- Cüzdan
- Web2
- Web3
- Web3 dünyası
- web siteleri
- Ne
- olup olmadığını
- hangi
- süre
- irade
- çalışır
- Dünya
- değerli
- Yol ver
- Sen
- kendiniz
- zefirnet