阅读时间: 6 分钟
在 web3 世界中,网络钓鱼尝试有多种形式。 由于技术仍在发展,可能会出现新的攻击类型。 某些攻击(例如冰网络钓鱼)是 Web3 特有的,而其他攻击则类似于 Web2 上更常见的凭据网络钓鱼攻击。
在了解 Ice 网络钓鱼攻击到底是什么及其工作原理之前,让我们先了解一下区块链中的交易是如何签名的以及什么是代币配额。
签署交易
我们可以使用钱包连接到去中心化应用程序,例如 Metamask 执行借贷、购买 NFT 等操作。恶意用户正试图利用用户必须使用其 Metamask 签署交易才能执行这些操作的事实。
当应用程序必须执行链上操作时,将出现 Metamask 弹出窗口并询问用户是要确认还是取消交易。 请参见下图。
在上面的示例中,我们可以看到当我们将 ETH 兑换成 UNI 代币时,metamask 会提示我们进行确认。 交易将在我们确认后执行。 因此,可能更难理解您在某些交易中允许的活动,特别是如果我们允许一系列行为而不是单一的即时行为。 攻击者在进行冰上网络钓鱼时希望利用这种不明确的情况。
代币津贴
代币所有者授权代币花费者代表代币所有者花费代币金额的交易。 所有者可以提供象征性的津贴 不可替代和可替代的代币. 所有者是拥有代币并向消费者授予津贴的账户。
什么是冰钓鱼
简单来说,Ice Phishing 涉及诱骗用户签署恶意交易,以便攻击者可以获得对加密资产的控制权。
“冰钓鱼”方法不涉及窃取他人的私钥。 相反,它需要尝试诱骗用户批准允许攻击者控制用户令牌的交易。
批准是一种常见的交易类型,允许用户与 DeFi 协议进行交互。 这使得 ice 网络钓鱼对 Web3 投资者构成了相当大的威胁,因为与 DeFi 协议进行交互需要您授予交互权限。
攻击是如何进行的?
攻击者分两步执行此攻击:
1. 诱骗受害者签署批准交易:
攻击者构建欺诈网站冒充 DEX,例如 SushiSwap,或作为加密产品的帮助页面。
攻击者通常会将这些恶意链接发送到促销赠品和“独家”NFT 铸币厂、网络钓鱼电子邮件、推文、Discord 等,通过营造一种虚假的紧迫感并引发 FOMO(恐惧),促使人们跳入这些恶意网站错过)在用户中。 请参见下面的示例:
当诈骗者可以诱骗用户将钱包连接到他们的恶意网站并操纵用户签署批准以使用他们的资产时,他们就会成功。
2. 从用户钱包中窃取代币:
一旦用户批准令牌到恶意攻击者的地址。 攻击者调用 transferFrom 函数并将所有代币转移到他的钱包中。 该骗局通常涉及至少两个钱包。 最初是用户批准的 Ice 网络钓鱼钱包,然后是攻击者转移代币的收件人钱包。
Badger DAO 案例研究
Badger 是一种 DeFi 协议,允许人们从存款中赚取利息。 2 年 2021 月 XNUMX 日,BadgerDAO 遭到冰钓鱼攻击。 Badger 的 Cloudflare API 密钥被泄露,允许攻击者接管前端基础设施。
因此,攻击者能够将恶意脚本注入前端。 现在,用户试图连接到 BadgerDAO,认为他们存入代币是为了获得收益。 尽管如此,他们签署的实际交易仍授予攻击者对其资产的完全访问权限。
攻击者从受害者的账户中拿走了数百万美元,并专门选择了余额较高的个人作为目标。 为了不被发现,他们整天都在改变剧本。 最终,BadgerDAO 识别出这次攻击并停止了智能合约,但攻击者已经从 121 个账户中窃取了大约 200 亿美元。
如何保护自己
不要点击可疑链接: 为避免网络钓鱼 URL 和域名抢注者,请仅使用经过验证的 URL 访问 dApp 和服务。 如果有疑问,项目 URL 通常可以在他们经过验证的 Twitter 帐户上找到。
签署前验证交易: 在 Metamask 或任何其他钱包中签署交易之前,必须阅读交易的详细信息,以确保执行您打算执行的操作。
通过多个钱包管理您的加密资产: 分配您的加密货币资产,将长期投资和有价值的 NFT 存储在硬件钱包等冷库中,同时将资金用于定期交易和更活跃的 dApp,并将其保存在不同的热钱包中。
定期检讨及撤销津贴:定期审查和撤销您的配额始终是一个好主意,尤其是对于 NFT 市场,只要您不积极使用 dapp。 这可以最大限度地减少您因漏洞利用或攻击而蒙受损失的机会,并减少网络钓鱼诈骗的影响。 您可以使用 撤销现金 or Etherscan 令牌批准检查器 为了它。
获取有关诈骗的最新信息以避免它们: 留意诈骗并报告任何异常行为。 报告诈骗将帮助安全专业人员和执法部门在诈骗者造成太大伤害之前将其抓获。
结论
随着加密货币市场的持续增长,Ice 网络钓鱼攻击和其他加密货币欺诈可能会变得更加普遍。 关注和教育是最好的安全预防措施。 用户应该了解这些骗局的运作方式,以便他们可以采取适当的预防措施来保护自己的安全。 花额外的时间来确认您正在交互的 URL 已经过链上和可靠来源的验证总是值得的。
常见问题
如果我怀疑有 ice phishing 尝试,我该怎么办?
检查并撤销您对任何可能危及您钱包的地址的批准。 https://etherscan.io/tokenapprovalchecker. 另外,将所有资金转移到其他钱包。
我怎样才能保护自己免受冰钓?
为了保护自己免受 ice phishing 攻击,您应该警惕未经请求的电子邮件、消息和电话,即使它们看起来来自信誉良好的来源。 在签署之前验证交易。
如何撤销对地址的批准?
您可以使用 撤销现金 or Etherscan 令牌批准检查器 用于删除地址的批准。
24 观点
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://blog.quillhash.com/2023/01/19/what-are-ice-phishing-attacks-and-how-to-avoid-getting-hooked/
- 2021
- 7
- a
- Able
- 以上
- ACCESS
- 账号管理
- 账户
- 操作
- 行动
- 要积极。
- 积极地
- 活动
- 行为
- 地址
- 地址
- 优点
- 所有类型
- 允许
- 允许
- 已经
- 时刻
- 其中
- 量
- 和
- API
- 应用
- 出现
- 应用领域
- 适当
- 批准
- 围绕
- 办公室文员:
- 攻击
- 攻击
- 尝试
- 关注我们
- 可使用
- 结余
- before
- 如下。
- blockchain
- 借贷
- 呼叫
- 案件
- 现金
- 原因
- 谨慎
- 机会
- 选择
- 明晰
- CloudFlare的
- 冷库
- 如何
- 相当常见
- 完成
- 妥协
- 确认
- 分享链接
- 连接
- 大量
- 建设
- 继续
- 合同
- 控制
- 外壳
- 创造
- 凭据
- 加密
- 加密市场
- 加密资产
- cryptocurrency
- DAO
- DAPP
- DApps
- 天
- 十二月
- 分散
- 分散的应用程序
- DEFI
- Defi 协议
- DeFi协议
- 存款
- 详情
- 发展
- 地塞米松
- 不同
- 难
- 分发
- 域
- 怀疑
- 赚
- 教育
- 努力
- 其他的
- 电子邮件
- 强制
- 确保
- 特别
- 必要
- 等
- ETH
- etherscan
- 甚至
- 终于
- 究竟
- 例子
- 执行
- 执行
- 利用
- 功勋
- 额外
- 眼
- 恐惧
- 姓氏:
- 富友
- 形式
- 骗子
- 欺诈
- 频繁
- 止
- 前
- 前端
- 功能
- 资金
- 可互换
- Gain增益
- 得到
- 越来越
- 赠品
- 特定
- Go
- 非常好
- 授予
- 授予
- 补助金
- 增长
- 硬件
- 五金钱包
- 帮助
- 更高
- 控股
- 热卖
- 热钱包
- 创新中心
- How To
- HTTPS
- ICE
- 主意
- 图片
- 即时
- 影响力故事
- in
- 个人
- 基础设施
- 原来
- 代替
- 相互作用
- 互动
- 互动
- 兴趣
- 投资
- 投资者
- 涉及
- IT
- 跳
- 保持
- 保持
- 键
- 键
- 会心
- 缺乏
- 法律
- 执法
- 贷款
- 链接
- 长期
- 寻找
- 失去
- 制作
- 市场
- 交易市场
- 条未读消息
- MetaMask
- 方法
- 百万
- 百万
- 失踪
- 时刻
- 钱
- 更多
- 多
- 全新
- NFT
- NFT市场
- NFT
- 链上
- 一
- 操作
- 操作
- 其他名称
- 其它
- 业主
- 拥有
- 尤其
- 员工
- 演出
- 允许
- 钓鱼
- 网络钓鱼攻击
- 网络钓鱼攻击
- 网络钓鱼诈骗
- 电话
- 电话
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 弹出式
- 流行
- 私立
- 私钥
- 大概
- 产品
- 专业人士
- 项目
- 促销
- 保护
- 协议
- 协议
- 提供
- 购买
- 推动
- 散列
- 阅读
- 确认
- 减少
- 定期
- 可靠
- 留
- 删除
- 报告
- 报告
- 信誉良好
- 需要
- 导致
- 检讨
- 上升
- 安全
- 诈骗
- 诈骗
- 保安
- 感
- 系列
- 特色服务
- 应该
- 签署
- 签
- 签约
- 简易
- 自
- 单
- 智能
- 聪明的合同
- So
- 一些
- 有人
- 来源
- 具体的
- 特别是
- 花
- 步骤
- 仍
- 被盗
- 存储
- 走向成功
- 这样
- sushiswap
- 可疑
- 采取
- 目标
- 专业技术
- 条款
- 其
- 他们自己
- 思维
- 威胁
- 通过
- 始终
- 次
- 至
- 象征
- 令牌
- 也有
- 交易
- 交易
- 转让
- 转移
- 转让
- true
- 鸣叫
- 下
- 理解
- UNI
- 不请自来
- 更新
- 急
- 网址
- us
- 使用
- 用户
- 用户
- 平时
- 验证
- 有价值
- 各种
- 专利
- 确认
- 受害者
- 钱包
- 钱包
- Web2
- Web3
- Web3 世界
- 网站
- 什么是
- 是否
- 这
- 而
- 将
- 合作
- 世界
- 合算
- 产量
- 完全
- 您一站式解决方案
- 你自己
- 和风网