Компания CertiK, занимающаяся безопасностью блокчейна, напомнила криптосообществу о необходимости быть настороже в отношении мошенничества с «ледяным фишингом» — уникального типа фишингового мошенничества, нацеленного на пользователей Web3, — впервые выявленного Microsoft ранее в этом году.
В аналитическом отчете от 20 декабря CertiK описано ледяной фишинг как атака, которая обманом заставляет пользователей Web3 подписывать разрешения, что в конечном итоге позволяет мошеннику тратить свои токены.
Это отличается от традиционных фишинговых атак, которые пытаются получить доступ к конфиденциальной информации, такой как закрытые ключи или пароли, такие как созданные поддельные веб-сайты, которые утверждают, что помогают Инвесторы FTX возвращают средства потерял на обмене.
1/ Ледяной фишинг представляет собой серьезную угрозу для сообщества Web3
Вместо того, чтобы получить доступ к вашему закрытому ключу, мошенники обманом заставляют вас подписывать разрешения на использование ваших активов.
Ниже мы расскажем, на что следует обратить внимание и как защитить себя!
— Предупреждение CertiK (@CertiKAlert) 20 декабря 2022
Мошенничество 17 декабря, когда 14 скучающих обезьян были украдены является примером тщательно продуманной ледовой фишинговой аферы. Инвестора убедили подписать запрос на транзакцию, замаскированный под контракт на фильм, что в конечном итоге позволило мошеннику продать себе всех обезьян пользователя за ничтожную сумму.
Фирма отметила, что этот тип мошенничества представляет собой «значительную угрозу», встречающуюся только в мире Web3, поскольку от инвесторов часто требуется подписывать разрешения на протоколы децентрализованного финансирования (DeFi), с которыми они взаимодействуют, что может быть легко подделано.
«Хакеру просто нужно заставить пользователя поверить в то, что вредоносный адрес, которому он дает разрешение, является законным. Как только пользователь разрешил мошеннику тратить токены, активы рискуют быть истощенными».
Как только мошенник получил одобрение, он может перевести активы на адрес по своему выбору.
Чтобы защитить себя от ледяного фишинга, CertiK рекомендовала инвесторам отозвать разрешения для адресов, которые они не распознают на сайтах обозревателя блокчейнов, таких как Etherscan, с помощью инструмента утверждения токенов.
Связанный: Соучредитель аферы OneCoin на 4 миллиарда долларов признал себя виновным, ему грозит 60 лет тюрьмы
Кроме того, адреса, с которыми пользователи планируют взаимодействовать, следует проверять в этих обозревателях блокчейнов на наличие подозрительной активности. В своем анализе CertiK указывает на адрес, который финансировался за счет снятия Tornado Cash, как на пример подозрительной активности.
CertiK также предложил пользователям взаимодействовать только с официальными сайтами, которые они могут проверить, и проявлять особую осторожность в отношении сайтов социальных сетей, таких как Twitter, выделив в качестве примера поддельную учетную запись Optimism в Twitter.
Фирма также посоветовала пользователям потратить пару минут на проверку надежного сайта, такого как CoinMarketCap или Coingecko, пользователи могли бы увидеть, что связанный URL-адрес не является законным сайтом, и его следует избегать.
Технический гигант Microsoft был первым, кто обратил внимание на эту практику в блоге от 16 февраля. после, заявив в то время, что, хотя фишинг учетных данных очень распространен в мире Web2, ледяной фишинг дает отдельным мошенникам возможность украсть часть криптоиндустрии, сохраняя при этом «почти полную анонимность».
Они рекомендовали проектам Web3 и провайдерам кошельков повысить безопасность своих услуг на уровне программного обеспечения, чтобы не допустить, чтобы бремя предотвращения ледяных фишинговых атак возлагалось исключительно на конечного пользователя.
Источник: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik