پڑھنے کا وقت: 6 منٹ
ویب 3 دنیا میں، فشنگ کی کوششیں مختلف شکلوں میں آتی ہیں۔ چونکہ ٹیکنالوجی اب بھی ترقی کر رہی ہے، نئے قسم کے حملے ہو سکتے ہیں۔ کچھ حملے، جیسے کہ آئس فشنگ، Web3 کے لیے مخصوص ہیں، جب کہ دیگر Web2 پر زیادہ عام اسنادی فشنگ حملوں سے مشابہت رکھتے ہیں۔
یہ جاننے سے پہلے کہ آئس فشنگ اٹیک بالکل کیا ہے اور یہ کیسے کام کرتا ہے، آئیے پہلے یہ سمجھیں کہ بلاکچین میں لین دین کیسے سائن کیے جاتے ہیں اور ٹوکن الاؤنس کیا ہیں۔
لین دین پر دستخط کرنا
ہم بٹوے کا استعمال کرتے ہوئے وکندریقرت ایپلی کیشنز سے جڑ سکتے ہیں۔ میٹاماسک قرض دینا، قرض لینا، این ایف ٹی خریدنا وغیرہ جیسے اعمال انجام دینے کے لیے۔ بدنیتی پر مبنی صارفین اس حقیقت کا فائدہ اٹھانے کی کوشش کر رہے ہیں کہ صارفین کو ان کارروائیوں کو انجام دینے کے لیے اپنے میٹاماسک کا استعمال کرتے ہوئے لین دین پر دستخط کرنا ہوں گے۔
میٹاماسک پاپ اپ ظاہر ہوگا اور صارف سے پوچھے گا کہ کیا وہ لین دین کی تصدیق یا منسوخ کرنا چاہتے ہیں جب کسی ایپ کو آن چین آپریشن کرنا ہوتا ہے۔ نیچے دی گئی تصویر دیکھیں۔
مندرجہ بالا مثال میں، ہم دیکھ سکتے ہیں کہ جب ہم UNI ٹوکنز کے لیے ETH کو تبدیل کر رہے ہوتے ہیں تو میٹاماسک ہمیں تصدیق کے لیے اشارہ کرتا ہے۔ جب ہم اس کی تصدیق کر لیں گے تو لین دین کو عمل میں لایا جائے گا۔ نتیجے کے طور پر، یہ سمجھنا زیادہ مشکل ہو سکتا ہے کہ آپ کچھ لین دین میں کن سرگرمیوں کی اجازت دیتے ہیں، خاص طور پر اگر ہم کسی ایک فوری کارروائی کی بجائے سلسلہ وار کارروائیوں کی اجازت دے رہے ہوں۔ حملہ آور جب آئس فشنگ کرتے ہیں تو وضاحت کی اس کمی کا فائدہ اٹھانا چاہتے ہیں۔
ٹوکن الاؤنس
ایک لین دین جس میں ٹوکن کا مالک ٹوکن خرچ کرنے والے کو ٹوکن کے مالک کی جانب سے ٹوکن کی رقم خرچ کرنے کا اختیار دیتا ہے۔ ایک مالک کے لیے ٹوکن الاؤنس فراہم کر سکتا ہے۔ غیر فنگی اور فنگیبل ٹوکن. مالک وہ اکاؤنٹ ہے جو ٹوکنز کا مالک ہے اور خرچ کرنے والے کو الاؤنس دیتا ہے۔
آئس فشنگ کیا ہے؟
سادہ الفاظ میں، آئس فشنگ میں صارف کو دھوکہ دہی سے ایک نقصان دہ لین دین پر دستخط کرنا شامل ہے تاکہ حملہ آور کرپٹو اثاثوں پر کنٹرول حاصل کر سکے۔
"آئس فشنگ" کے طریقہ کار میں کسی اور کی نجی چابیاں چرانا شامل نہیں ہے۔ اس کے بجائے، اس کے لیے صارف کو ٹرانزیکشن کی منظوری کے لیے دھوکہ دینے کی کوشش کی ضرورت ہوتی ہے جو حملہ آور کو صارف کے ٹوکنز پر کنٹرول فراہم کرتا ہے۔
منظوری ایک متواتر قسم کی لین دین ہے جو DeFi پروٹوکول کے ساتھ صارفین کے تعامل کی اجازت دیتی ہے۔ یہ آئس فشنگ کو Web3 سرمایہ کاروں کے لیے کافی خطرہ بنا دیتا ہے کیونکہ DeFi پروٹوکول کے ساتھ تعامل کرنے کے لیے آپ کو تعامل کی اجازت دینے کی ضرورت ہوتی ہے۔
حملہ کیسے کام کرتا ہے؟
حملہ آور اس حملے کو دو مراحل میں انجام دیتا ہے:
1. شکار کو دھوکہ دہی سے منظوری کے لین دین پر دستخط کرنا:
حملہ آور DEX کی نقالی کرتے ہوئے جعلی ویب سائٹس بناتے ہیں، جیسے SushiSwap، یا کرپٹو پروڈکٹ کے لیے مدد کے صفحے کے طور پر۔
حملہ آور عام طور پر ان بدنیتی پر مبنی لنکس کو پروموشنل تحفے اور "خصوصی" NFTs منٹس، فشنگ ای میلز، ٹویٹس، ڈسکارڈز وغیرہ کے لیے بھیجتا ہے، لوگوں کو عجلت کا غلط احساس پیدا کرکے اور FOMO (خوف) کو ہوا دے کر ان بدنیتی پر مبنی ویب سائٹس میں جانے کے لیے مجبور کرتا ہے۔ غائب ہونے کا) صارفین کے درمیان۔ ذیل کی مثال دیکھیں:
دھوکہ باز اس وقت کامیاب ہوتے ہیں جب وہ صارفین کو بٹوے کو ان کی نقصان دہ ویب سائٹس سے جوڑنے کے لیے دھوکہ دے سکتے ہیں اور صارفین کو اپنے اثاثے خرچ کرنے کے لیے منظوریوں پر دستخط کرنے کے لیے جوڑ توڑ کر سکتے ہیں۔
2. صارفین کے بٹوے سے ٹوکن چوری کرنا:
جیسے ہی صارف بدنیتی پر مبنی حملہ آور کے پتے پر ٹوکن کی منظوری دیتا ہے۔ حملہ آور TransferFrom فنکشن کو کال کرتا ہے اور تمام ٹوکن اپنے بٹوے میں منتقل کرتا ہے۔ گھوٹالے میں عام طور پر کم از کم دو بٹوے شامل ہوتے ہیں۔ ابتدائی طور پر، آئس فشنگ والیٹ، جسے صارفین نے اپنی منظوری دے دی تھی، اور پھر وصول کنندہ والیٹ، جہاں حملہ آور نے ٹوکن منتقل کیے تھے۔
بیجر ڈی اے او کیس اسٹڈی
بیجر ایک ڈی فائی پروٹوکول ہے جو کسی کو ڈپازٹ پر سود حاصل کرنے کی اجازت دیتا ہے۔ 2 دسمبر 2021 کو، BadgerDAO ایک آئس فشنگ حملے کی زد میں تھا۔ بیجر کی کلاؤڈ فلیئر API کلید سے سمجھوتہ کیا گیا تھا، جس سے حملہ آور کو فرنٹ اینڈ انفراسٹرکچر پر قبضہ کرنے کا موقع ملا۔
اس طرح حملہ آور سامنے والے سرے پر بدنیتی پر مبنی اسکرپٹ کو انجیکشن کرنے میں کامیاب رہا۔ اب، صارفین نے BadgerDAO سے رابطہ قائم کرنے کی کوشش کی، یہ سوچ کر کہ وہ پیداوار حاصل کرنے کے لیے ٹوکن جمع کر رہے ہیں۔ پھر بھی، ان کے دستخط کردہ اصل لین دین نے حملہ آوروں کو ان کے اثاثوں تک مکمل رسائی فراہم کی۔
حملہ آوروں نے متاثرین کے اکاؤنٹس سے لاکھوں روپے لیے اور خاص طور پر زیادہ بیلنس والے افراد کو نشانہ بنانے کے لیے منتخب کیا۔ ان کا پتہ نہ چلنے کی کوشش میں دن بھر اپنا اسکرپٹ بدلتے رہے۔ بالآخر، BadgerDAO نے حملے کو تسلیم کر لیا اور سمارٹ کنٹریکٹ کو روک دیا، لیکن استحصال کرنے والے پہلے ہی 121 اکاؤنٹس سے تقریباً 200 ملین ڈالر چرا چکے تھے۔
خود کی حفاظت کرنے کے لئے کس طرح
مشکوک لنکس پر کلک نہ کریں: فشنگ URLs اور ڈومین اسکواٹرز سے بچنے کے لیے، dApps اور خدمات تک رسائی کے لیے صرف تصدیق شدہ URL کا استعمال کریں۔ اگر شک ہو تو پروجیکٹ یو آر ایل عام طور پر ان کے تصدیق شدہ ٹویٹر اکاؤنٹ پر دستیاب ہوتا ہے۔
دستخط کرنے سے پہلے لین دین کی تصدیق کریں: میٹاماسک یا کسی دوسرے پرس میں دستخط کرنے سے پہلے لین دین کی تفصیلات کو پڑھنا ضروری ہے تاکہ اس بات کو یقینی بنایا جا سکے کہ آپ جو اقدامات کرنا چاہتے ہیں ان کو انجام دیا جائے گا۔
متعدد بٹوے کے ذریعے اپنے کرپٹو اثاثوں کا نظم کریں: اپنی کریپٹو کرنسی ہولڈنگز کو تقسیم کریں، طویل مدتی سرمایہ کاری اور قیمتی NFTs کو کولڈ اسٹوریج جیسے ہارڈ ویئر والیٹس میں محفوظ کریں جبکہ باقاعدہ لین دین کے لیے فنڈز رکھیں اور زیادہ فعال dApps کو ایک مختلف گرم والیٹ میں رکھیں۔
وقفے وقفے سے الاؤنس کا جائزہ لیں اور منسوخ کریں۔: وقتاً فوقتاً اپنے الاؤنسز کا جائزہ لینا اور اسے منسوخ کرنا ہمیشہ ایک اچھا خیال ہوتا ہے، خاص طور پر NFT بازاروں کے لیے، جب بھی آپ ڈی اے پی کو فعال طور پر استعمال نہیں کر رہے ہوں۔ یہ آپ کے استحصال یا حملوں میں پیسے کھونے کے موقع کو کم کرتا ہے اور فریب دہی کے گھوٹالوں کے اثرات کو کم کرتا ہے۔ آپ استعمال کر سکتے ہیں Revoke.cash or ایتھر اسکین ٹوکن منظوری چیکر اس کے لئے.
گھوٹالوں سے بچنے کے لیے ان کے ساتھ اپ ڈیٹ حاصل کریں: گھوٹالوں پر نظر رکھیں اور کسی بھی غیر معمولی رویے کی اطلاع دیں۔ گھوٹالوں کی اطلاع دینے سے سیکورٹی کے پیشہ ور افراد اور قانون نافذ کرنے والے اداروں کو دھوکہ دہی کرنے والوں کو پکڑنے میں مدد ملے گی اس سے پہلے کہ وہ بہت زیادہ نقصان پہنچائیں۔
نتیجہ
آئس فشنگ حملے اور کرپٹو کرنسی کے دیگر فراڈ شاید زیادہ پھیل جائیں گے کیونکہ کرپٹو مارکیٹ میں مسلسل اضافہ ہو رہا ہے۔ توجہ اور تعلیم بہترین حفاظتی تدابیر ہیں۔ صارفین کو اس بات سے آگاہ ہونا چاہیے کہ یہ گھوٹالے کیسے کام کرتے ہیں تاکہ وہ خود کو محفوظ رکھنے کے لیے مناسب احتیاطی تدابیر اختیار کر سکیں۔ اس بات کی تصدیق کرنے کے لیے ایک اضافی لمحہ نکالنا ہمیشہ مفید ہے کہ آپ جس URL کے ساتھ بات چیت کر رہے ہیں اس کی توثیق آن چین اور ایک قابل اعتماد ذریعہ سے ہوئی ہے۔
اکثر پوچھے گئے سوالات
اگر مجھے آئس فشنگ کی کوشش کا شبہ ہو تو مجھے کیا کرنا چاہیے؟
کسی بھی ایسے پتے کے لیے اپنی منظوریوں کو چیک کریں اور منسوخ کریں جس نے آپ کے بٹوے سے سمجھوتہ کیا ہو۔ https://etherscan.io/tokenapprovalchecker. اس کے علاوہ، اپنے تمام فنڈز دوسرے بٹوے میں منتقل کریں۔
میں اپنے آپ کو آئس فشنگ سے کیسے بچا سکتا ہوں؟
اپنے آپ کو آئس فشنگ حملے سے بچانے کے لیے، آپ کو غیر منقولہ ای میلز، پیغامات اور فون کالز سے محتاط رہنا چاہیے، چاہے وہ کسی معتبر ذریعہ سے ہی کیوں نہ ہوں۔ اس پر دستخط کرنے سے پہلے لین دین کی تصدیق کریں۔
ایڈریس کی منظوری کیسے منسوخ کی جائے؟
آپ استعمال کر سکتے ہیں Revoke.cash or ایتھر اسکین ٹوکن منظوری چیکر ایڈریس کی منظوریوں کو ہٹانے کے لیے۔
24 مناظر
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- قابلیت
- اوپر
- تک رسائی حاصل
- اکاؤنٹ
- اکاؤنٹس
- عمل
- اعمال
- فعال
- فعال طور پر
- سرگرمیوں
- کام کرتا ہے
- پتہ
- پتے
- فائدہ
- تمام
- اجازت دے رہا ہے
- کی اجازت دیتا ہے
- پہلے ہی
- ہمیشہ
- کے درمیان
- رقم
- اور
- اے پی آئی
- اپلی کیشن
- ظاہر
- ایپلی کیشنز
- مناسب
- منظوری
- ارد گرد
- اثاثے
- حملہ
- حملے
- کوششیں
- توجہ
- دستیاب
- توازن
- اس سے پہلے
- نیچے
- blockchain
- قرض ادا کرنا
- کالز
- کیس
- کیش
- کیونکہ
- محتاط
- موقع
- کا انتخاب کیا
- وضاحت
- CloudFlare کے
- برف خانہ
- کس طرح
- کامن
- مکمل
- سمجھوتہ کیا
- کی توثیق
- رابطہ قائم کریں
- مربوط
- کافی
- تعمیر
- جاری ہے
- کنٹریکٹ
- کنٹرول
- احاطہ
- تخلیق
- کریڈینٹل
- کرپٹو
- کرپٹو مارکیٹ
- کریپٹو اثاثوں
- cryptocurrency
- ڈی اے او
- ڈپ
- DApps
- دن
- دسمبر
- مہذب
- وکندریقرت ایپلی کیشنز
- ڈی ایف
- ڈیفی پروٹوکول
- ڈیفائی پروٹوکول
- ذخائر
- تفصیلات
- ترقی
- اس Dex
- مختلف
- مشکل
- تقسیم کرو
- ڈومین
- شک
- کما
- تعلیم
- کوشش
- ورنہ
- ای میل
- نافذ کرنے والے
- کو یقینی بنانے کے
- خاص طور پر
- ضروری
- وغیرہ
- ETH
- ایتھرسکن
- بھی
- آخر میں
- بالکل
- مثال کے طور پر
- عملدرآمد
- پھانسی
- دھماکہ
- استحصال
- اضافی
- آنکھ
- خوف
- پہلا
- FOMO
- فارم
- دھوکہ دہی
- دھوکہ دہی
- بار بار اس
- سے
- سامنے
- سامنے کے آخر میں
- تقریب
- فنڈز
- مستحکم
- حاصل کرنا
- حاصل
- حاصل کرنے
- دے دو
- دی
- Go
- اچھا
- عطا
- عطا کی
- گرانٹ
- بڑھائیں
- ہارڈ ویئر
- ہارڈ ویئر والیٹ
- مدد
- اعلی
- ہولڈنگز
- HOT
- گرم پرس۔
- کس طرح
- کیسے
- HTTPS
- ICE
- خیال
- تصویر
- فوری طور پر
- اثر
- in
- افراد
- انفراسٹرکچر
- ابتدائی طور پر
- کے بجائے
- بات چیت
- بات چیت
- بات چیت
- دلچسپی
- سرمایہ کاری
- سرمایہ
- شامل
- IT
- کودنے
- رکھیں
- رکھتے ہوئے
- کلیدی
- چابیاں
- جاننا
- نہیں
- قانون
- قانون نافذ کرنے والے اداروں
- قرض دینے
- لنکس
- طویل مدتی
- تلاش
- کھونے
- بناتا ہے
- مارکیٹ
- بازاریں۔
- پیغامات
- میٹا ماسک
- طریقہ
- دس لاکھ
- لاکھوں
- لاپتہ
- لمحہ
- قیمت
- زیادہ
- ایک سے زیادہ
- نئی
- Nft
- این ایف ٹی مارکیٹ پلیسز
- این ایف ٹیز
- آن چین
- ایک
- کام
- آپریشن
- دیگر
- دیگر
- مالک
- مالک ہے
- خاص طور پر
- لوگ
- انجام دیں
- اجازت
- فشنگ
- فشنگ اٹیک
- فشنگ حملوں
- فشنگ گھوٹالے
- فون
- فون کالز
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پاپ اپ
- موجودہ
- نجی
- نجی چابیاں
- شاید
- مصنوعات
- پیشہ ور ماہرین
- منصوبے
- پروموشنل
- حفاظت
- پروٹوکول
- پروٹوکول
- فراہم
- خریداری
- دھکیلنا
- Quillhash
- پڑھیں
- تسلیم شدہ
- کم
- باقاعدہ
- قابل اعتماد
- رہے
- کو ہٹانے کے
- رپورٹ
- رپورٹ
- قابل بھروسہ
- کی ضرورت ہے
- نتیجہ
- کا جائزہ لینے کے
- اضافہ
- محفوظ
- دھوکہ
- گھوٹالے
- سیکورٹی
- احساس
- سیریز
- سروسز
- ہونا چاہئے
- سائن ان کریں
- دستخط
- دستخط کی
- سادہ
- بعد
- ایک
- ہوشیار
- سمارٹ معاہدہ
- So
- کچھ
- کسی
- ماخذ
- مخصوص
- خاص طور پر
- خرچ
- مراحل
- ابھی تک
- چوری
- ذخیرہ
- کامیاب ہوں
- اس طرح
- سشیشوپ
- مشکوک
- لے لو
- ہدف
- ٹیکنالوجی
- شرائط
- ۔
- ان
- خود
- سوچنا
- خطرہ
- کے ذریعے
- بھر میں
- وقت
- کرنے کے لئے
- ٹوکن
- ٹوکن
- بھی
- ٹرانزیکشن
- معاملات
- منتقل
- منتقل
- منتقلی
- سچ
- ٹویٹس
- ٹویٹر
- کے تحت
- سمجھ
- یو این آئی۔
- غیر اعلانیہ
- اپ ڈیٹ
- فوری طور پر
- URL
- us
- استعمال کی شرائط
- رکن کا
- صارفین
- عام طور پر
- توثیقی
- قیمتی
- مختلف اقسام کے
- تصدیق
- اس بات کی تصدیق
- وکٹم
- بٹوے
- بٹوے
- Web2
- Web3
- ویب 3 دنیا
- ویب سائٹ
- کیا
- چاہے
- جس
- جبکہ
- گے
- کام کرتا ہے
- دنیا
- قابل قدر
- پیداوار
- تم
- اور
- اپنے آپ کو
- زیفیرنیٹ