Ледяной фишинг – это вид мошенничества, который существует только в Web3 и представляет собой “значительную угрозу” для криптосообщества, утверждают в компании.
Компания CertiK, специализирующаяся на безопасности блокчейна, напомнила криптосообществу о необходимости сохранять бдительность в связи с “ледяным фишингом” – уникальным видом фишинговых афер, направленных на пользователей Web3, который был впервые выявлен компанией Microsoft в начале этого года.
В аналитическом отчете от 20 декабря CertiK описал ледяной фишинг как атаку, которая обманом заставляет пользователей Web3 подписывать разрешения, что в итоге позволяет мошеннику потратить их токены.
Это отличается от традиционных фишинговых атак, которые пытаются получить доступ к конфиденциальной информации, такой как закрытые ключи или пароли, с помощью методов, подобных поддельным веб-сайтам, которые утверждают, что помогают инвесторам FTX вернуть потерянные средства.
1/ Ледяной фишинг представляет собой серьезную угрозу для сообщества Web3
Вместо того, чтобы получить доступ к вашему закрытому ключу, мошенники обманом заставляют вас подписывать разрешения на использование ваших активов.
Ниже мы расскажем, на что следует обратить внимание и как защитить себя!
— Предупреждение CertiK (@CertiKAlert) 20 декабря 2022 г.
Афера от 17 декабря, в ходе которой были украдены 14 Bored Apes, является примером изощренной ледяной фишинговой атаки. Инвестора убедили подписать запрос на сделку, замаскированный под контракт на съемку фильма, что в итоге позволило мошеннику продать всех обезьян пользователя самому себе за ничтожно малую сумму.
Фирма отметила, что этот тип мошенничества представляет собой “значительную угрозу” и встречается только в мире Web3, где от инвесторов часто требуется подписать разрешения на децентрализованные финансовые протоколы (DeFi), которые можно легко подделать. CertiK пишет:
«Хакеру просто нужно заставить пользователя поверить в то, что вредоносный адрес, которому он дает разрешение, является законным. Как только пользователь разрешил мошеннику тратить токены, активы рискуют быть истощенными».
Как только мошенник получил одобрение, он может перевести активы на адрес по своему выбору.
Чтобы защитить себя от ледяного фишинга, CertiK рекомендует инвесторам использовать инструмент для утверждения токенов и сайт-исследователя блокчейна, такой как Etherscan, чтобы отозвать разрешения для адресов, которые они не узнают.
Кроме того, адреса, с которыми пользователи планируют взаимодействовать, должны быть проверены на этих блокчейн-сайтах на предмет подозрительной активности. В своем анализе CertiK указывает на адрес, который был профинансирован за счет снятия средств с Tornado Cash, как на пример подозрительной активности.
CertiK также предлагает пользователям взаимодействовать только с официальными сайтами, которые они могут проверить, и с особой осторожностью относиться к социальным сетям, таким как Twitter, приводя в качестве примера поддельный аккаунт Optimism в Twitter.
Компания также посоветовала пользователям потратить пару минут на проверку надежных сайтов, таких как CoinMarketCap или CoinGecko, чтобы убедиться, что URL-адрес ссылается на законный сайт.
Технологический гигант Microsoft первым обратил внимание на эту практику в своем блоге от 16 февраля, заявив тогда, что, хотя фишинг учетных данных очень распространен в мире Web2, лед-фишинг дает отдельным мошенникам возможность украсть часть криптоиндустрии, сохраняя “почти полную анонимность”.
Они рекомендовали проектам Web3 и провайдерам кошельков повысить уровень безопасности на программном уровне, чтобы бремя предотвращения атак ледяного фишинга не ложилось исключительно на конечного пользователя.
[ad_2]