Thơi gian đọc: 6 phút
Trong thế giới web3, các nỗ lực lừa đảo có nhiều dạng khác nhau. Vì công nghệ vẫn đang phát triển nên các kiểu tấn công mới có thể phát sinh. Một số cuộc tấn công, chẳng hạn như lừa đảo trên băng, dành riêng cho Web3, trong khi những cuộc tấn công khác giống với các cuộc tấn công lừa đảo thông tin xác thực phổ biến hơn trên Web2.
Trước khi biết chính xác cuộc tấn công lừa đảo trên băng là gì và cách thức hoạt động của nó, trước tiên hãy hiểu cách các giao dịch được ký kết trong Chuỗi khối và trợ cấp mã thông báo là gì.
Ký giao dịch
Chúng tôi có thể kết nối với các ứng dụng phi tập trung bằng ví như Metamask để thực hiện các hành động như cho vay, mượn, mua NFT, v.v. Những người dùng độc hại đang cố lợi dụng việc người dùng phải ký các giao dịch bằng Metamask của họ để thực hiện các hành vi này.
Cửa sổ bật lên Metamask sẽ xuất hiện và hỏi người dùng xem họ muốn xác nhận hay hủy giao dịch khi một ứng dụng phải thực hiện một hoạt động trên chuỗi. Xem hình bên dưới.
Trong ví dụ trên, chúng ta có thể thấy rằng metamask nhắc chúng ta xác nhận khi chúng ta hoán đổi ETH lấy mã thông báo UNI. Giao dịch sẽ được thực hiện sau khi chúng tôi xác nhận. Do đó, có thể khó hiểu bạn cho phép những hoạt động nào trong một số giao dịch, đặc biệt nếu chúng tôi đang cho phép một loạt hành động thay vì một hành động ngay lập tức. Những kẻ tấn công đang tìm cách khai thác sự thiếu rõ ràng này khi chúng thực hiện hành vi lừa đảo băng.
Trợ cấp mã thông báo
Giao dịch trong đó chủ sở hữu mã thông báo ủy quyền cho người chi tiêu mã thông báo chi tiêu số tiền mã thông báo thay mặt cho chủ sở hữu mã thông báo. Chủ sở hữu có thể cung cấp trợ cấp mã thông báo cho mã thông báo không thể thay thế và có thể thay thế. Chủ sở hữu là tài khoản sở hữu mã thông báo và cấp cho người chi tiêu khoản trợ cấp.
Lừa đảo trên băng là gì
Nói một cách đơn giản, Ice Phishing liên quan đến việc lừa người dùng ký một giao dịch độc hại để kẻ tấn công có thể giành quyền kiểm soát tài sản tiền điện tử.
Phương pháp "lừa đảo trên băng" không liên quan đến việc đánh cắp khóa riêng của người khác. Thay vào đó, nó yêu cầu cố gắng lừa người dùng phê duyệt một giao dịch cấp cho kẻ tấn công quyền kiểm soát đối với mã thông báo của người dùng.
Phê duyệt là một loại giao dịch thường xuyên cho phép người dùng tương tác với Giao thức DeFi. Điều này làm cho lừa đảo trên băng trở thành mối đe dọa đáng kể đối với các nhà đầu tư Web3 vì việc tương tác với các giao thức DeFi yêu cầu bạn cấp quyền tương tác.
Làm thế nào để cuộc tấn công hoạt động?
Kẻ tấn công thực hiện cuộc tấn công này theo hai bước:
1. Lừa Nạn nhân ký các Giao dịch Phê duyệt:
Những kẻ tấn công xây dựng các trang web lừa đảo mạo danh DEX, chẳng hạn như SushiSwap hoặc dưới dạng trang trợ giúp cho một sản phẩm tiền điện tử.
Kẻ tấn công thường gửi các liên kết độc hại này đến các quà tặng khuyến mãi và NFT “độc quyền”, Email lừa đảo, Tweet, Discord, v.v., đẩy mọi người nhảy vào các trang web độc hại này bằng cách tạo ra cảm giác cấp bách sai lầm và kích động FOMO (sợ hãi). bỏ lỡ) giữa những người dùng. Xem ví dụ dưới đây:
Những kẻ lừa đảo thành công khi chúng có thể lừa người dùng kết nối ví với các trang web độc hại của chúng và lôi kéo người dùng ký phê duyệt để chi tiêu tài sản của họ.
2. Đánh cắp token từ ví của người dùng:
Ngay sau khi người dùng phê duyệt mã thông báo đến địa chỉ của kẻ tấn công độc hại. Kẻ tấn công gọi hàm transferFrom và chuyển tất cả các mã thông báo vào ví của anh ta. Lừa đảo thường liên quan đến ít nhất hai ví. Ban đầu là ví Ice Phishing mà người dùng đã chấp thuận và sau đó là ví Người nhận, nơi kẻ tấn công chuyển các mã thông báo.
Nghiên cứu điển hình về DAO của lửng
Badger là một giao thức DeFi cho phép một người kiếm được tiền lãi từ tiền gửi. Vào ngày 2 tháng 2021 năm XNUMX, BadgerDAO đã bị tấn công lừa đảo băng. Khóa API Cloudflare của Badger đã bị xâm phạm, cho phép kẻ tấn công chiếm lấy cơ sở hạ tầng giao diện người dùng.
Do đó, kẻ tấn công có thể đưa tập lệnh độc hại vào giao diện người dùng. Bây giờ, người dùng đã cố gắng kết nối với BadgerDAO, nghĩ rằng họ đang gửi mã thông báo để nhận được lợi nhuận. Tuy nhiên, giao dịch thực tế mà họ đã ký đã cấp cho những kẻ tấn công quyền truy cập hoàn toàn vào tài sản của họ.
Những kẻ tấn công đã lấy hàng triệu USD từ tài khoản của nạn nhân và đặc biệt chọn những cá nhân có số dư cao hơn để nhắm mục tiêu. Họ đã thay đổi kịch bản suốt cả ngày để cố gắng không bị phát hiện. Cuối cùng, BadgerDAO đã nhận ra cuộc tấn công và tạm dừng hợp đồng thông minh, nhưng những kẻ khai thác đã đánh cắp khoảng 121 triệu đô la từ 200 tài khoản.
Làm thế nào để bảo vệ mình
Không nhấp vào Liên kết đáng ngờ: Để tránh các URL lừa đảo và chiếm đoạt tên miền, chỉ sử dụng URL đã được xác minh để truy cập các ứng dụng và dịch vụ. URL của dự án thường có sẵn trên tài khoản Twitter đã được xác minh của họ nếu có nghi ngờ.
Xác minh giao dịch trước khi ký: Điều cần thiết là phải đọc chi tiết của giao dịch trước khi đăng nhập vào Metamask hoặc bất kỳ ví nào khác để đảm bảo các hành động bạn dự định sẽ được thực hiện.
Quản lý tài sản tiền điện tử của bạn thông qua nhiều ví: Phân phối các khoản nắm giữ tiền điện tử của bạn, lưu trữ các khoản đầu tư dài hạn và NFT có giá trị trong kho lạnh như ví phần cứng trong khi vẫn giữ tiền cho các giao dịch thông thường và các dApp tích cực hơn trong một ví nóng khác.
Định kỳ xem xét và thu hồi Trợ cấp: Định kỳ xem xét và thu hồi các khoản trợ cấp của bạn luôn là một ý tưởng hay, đặc biệt là đối với các thị trường NFT, bất cứ khi nào bạn không tích cực sử dụng dapp. Điều này giảm thiểu khả năng bạn mất tiền do bị khai thác hoặc tấn công và giảm tác động của các trò gian lận lừa đảo. Bạn có thể dùng Thu hồi.cash or Trình kiểm tra phê duyệt mã thông báo Etherscan cho nó.
Được cập nhật với Lừa đảo để tránh chúng: Theo dõi các trò gian lận và báo cáo bất kỳ hành vi bất thường nào. Báo cáo các vụ lừa đảo sẽ giúp các chuyên gia bảo mật và cơ quan thực thi pháp luật bắt được những kẻ lừa đảo trước khi chúng gây ra quá nhiều tác hại.
Kết luận
Các cuộc tấn công lừa đảo băng và các hành vi gian lận tiền điện tử khác có thể sẽ ngày càng phổ biến hơn khi thị trường tiền điện tử tiếp tục tăng trưởng. Sự chú ý và giáo dục là biện pháp phòng ngừa an ninh tốt nhất. Người dùng nên biết cách thức hoạt động của những trò gian lận này để họ có thể thực hiện các biện pháp phòng ngừa thích hợp để giữ an toàn cho bản thân. Bạn nên dành thêm thời gian để xác nhận rằng URL mà bạn đang tương tác đã được xác thực cả trên chuỗi và bởi một nguồn đáng tin cậy.
Câu Hỏi Thường Gặp
Tôi nên làm gì nếu nghi ngờ có hành vi lừa đảo băng?
Kiểm tra và thu hồi sự chấp thuận của bạn đối với bất kỳ địa chỉ nào có thể đã xâm phạm ví của bạn. https://etherscan.io/tokenapprovalchecker. Ngoài ra, hãy chuyển tất cả tiền của bạn sang các ví khác.
Làm cách nào tôi có thể tự bảo vệ mình khỏi lừa đảo trên băng?
Để tự bảo vệ mình khỏi tấn công lừa đảo băng, bạn nên thận trọng với các email, tin nhắn và cuộc gọi điện thoại không mong muốn, ngay cả khi chúng có vẻ đến từ một nguồn có uy tín. Xác minh giao dịch trước khi ký tên.
Làm cách nào để thu hồi phê duyệt cho một địa chỉ?
Bạn có thể sử dụng Thu hồi.cash or Trình kiểm tra phê duyệt mã thông báo Etherscan để xóa phê duyệt cho một địa chỉ.
24 Lượt xem
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- Có khả năng
- ở trên
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- Hoạt động
- hành động
- hoạt động
- tích cực
- hoạt động
- hành vi
- địa chỉ
- địa chỉ
- Lợi thế
- Tất cả
- Cho phép
- cho phép
- Đã
- luôn luôn
- trong số
- số lượng
- và
- api
- ứng dụng
- xuất hiện
- các ứng dụng
- thích hợp
- phê duyệt
- xung quanh
- Tài sản
- tấn công
- Các cuộc tấn công
- Nỗ lực
- sự chú ý
- có sẵn
- số dư
- trước
- phía dưới
- blockchain
- Mượn
- Cuộc gọi
- trường hợp
- tiền mặt
- Nguyên nhân
- dè dặt
- cơ hội
- chọn
- rõ ràng
- CloudFlare
- Kho lạnh
- Đến
- Chung
- hoàn thành
- Thỏa hiệp
- Xác nhận
- Kết nối
- Kết nối
- đáng kể
- xây dựng
- liên tiếp
- hợp đồng
- điều khiển
- che
- Tạo
- CHỨNG CHỈ
- Crypto
- Thị trường tiền điện tử
- tài sản mật mã
- cryptocurrency
- DAO
- dapp
- DApps
- ngày
- Tháng mười hai
- Phân quyền
- Ứng dụng phi tập trung
- Defi
- GIAO THỨC DEFI
- Giao thức DeFi
- tiền gửi
- chi tiết
- phát triển
- Dex
- khác nhau
- khó khăn
- phân phát
- miền
- nghi ngờ
- kiếm được
- Đào tạo
- nỗ lực
- Của người khác
- thực thi
- đảm bảo
- đặc biệt
- thiết yếu
- vv
- ETH
- eterscan
- Ngay cả
- cuối cùng
- chính xác
- ví dụ
- thi hành
- Thi công
- Khai thác
- khai thác
- thêm
- mắt
- sợ hãi
- Tên
- FOMO
- các hình thức
- kẻ lừa đảo
- lừa đảo
- thường xuyên
- từ
- trước mặt
- Mặt trận cuối cùng
- chức năng
- quỹ
- Nấm
- Thu được
- được
- nhận được
- quà tặng
- được
- Go
- tốt
- cấp
- cấp
- tài trợ
- Phát triển
- phần cứng
- Ví phần cứng
- giúp đỡ
- cao hơn
- Holdings
- NÓNG BỨC
- Ví nóng
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- ICE
- ý tưởng
- hình ảnh
- lập tức
- Va chạm
- in
- các cá nhân
- Cơ sở hạ tầng
- ban đầu
- thay vì
- tương tác
- tương tác
- tương tác
- quan tâm
- Đầu Tư
- Các nhà đầu tư
- liên quan
- IT
- nhảy
- Giữ
- giữ
- Key
- phím
- Biết
- Thiếu sót
- Luật
- thực thi pháp luật
- cho vay
- liên kết
- lâu
- tìm kiếm
- mất
- LÀM CHO
- thị trường
- chợ
- tin nhắn
- MetaMask
- phương pháp
- triệu
- hàng triệu
- mất tích
- thời điểm
- tiền
- chi tiết
- nhiều
- Mới
- NFT
- Thị trường NFT
- NFT
- trên chuỗi
- ONE
- hoạt động
- hoạt động
- Nền tảng khác
- Khác
- chủ sở hữu
- sở hữu
- đặc biệt
- người
- Thực hiện
- cho phép
- Lừa đảo
- Tấn công lừa đảo
- tấn công lừa đảo
- Scams lừa đảo
- điện thoại
- gọi điện thoại
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- pop-up
- thịnh hành
- riêng
- Khóa riêng
- có lẽ
- Sản phẩm
- chuyên gia
- dự án
- quảng cáo
- bảo vệ
- giao thức
- giao thức
- cho
- mua
- Đẩy
- quillhash
- Đọc
- công nhận
- làm giảm
- đều đặn
- đáng tin cậy
- vẫn
- loại bỏ
- báo cáo
- Báo cáo
- có uy tín
- đòi hỏi
- kết quả
- xem xét
- Tăng lên
- an toàn
- Lừa đảo
- lừa đảo
- an ninh
- ý nghĩa
- Loạt Sách
- DỊCH VỤ
- nên
- đăng ký
- Ký kết
- ký
- Đơn giản
- kể từ khi
- duy nhất
- thông minh
- hợp đồng thông minh
- So
- một số
- Một người nào đó
- nguồn
- riêng
- đặc biệt
- tiêu
- Các bước
- Vẫn còn
- ăn cắp
- là gắn
- thành công
- như vậy
- hoán đổi sushi
- đáng ngờ
- Hãy
- Mục tiêu
- Công nghệ
- về
- Sản phẩm
- cung cấp their dịch
- tự
- Suy nghĩ
- mối đe dọa
- Thông qua
- khắp
- thời gian
- đến
- mã thông báo
- Tokens
- quá
- giao dịch
- Giao dịch
- chuyển
- chuyển
- chuyển
- đúng
- tweet của quý vị
- Dưới
- hiểu
- UNI
- không được yêu cầu
- cập nhật
- khẩn cấp
- URL
- us
- sử dụng
- người sử dang
- Người sử dụng
- thường
- xác nhận
- Quý báu
- nhiều
- xác minh
- xác minh
- nạn nhân
- ví
- Ví
- Web2
- Web3
- Thế giới web3
- trang web
- Điều gì
- liệu
- cái nào
- trong khi
- sẽ
- công trinh
- thế giới
- đáng giá
- Năng suất
- Bạn
- trên màn hình
- mình
- zephyrnet