Ледяной фишинг – это вид мошенничества, который существует только в Web3 и представляет собой “значительную угрозу” для криптосообщества, утверждают в компании.

Компания CertiK, специализирующаяся на безопасности блокчейна, напомнила криптосообществу о необходимости сохранять бдительность в связи с “ледяным фишингом” – уникальным видом фишинговых афер, направленных на пользователей Web3, который был впервые выявлен компанией Microsoft в начале этого года.

В аналитическом отчете от 20 декабря CertiK описал ледяной фишинг как атаку, которая обманом заставляет пользователей Web3 подписывать разрешения, что в итоге позволяет мошеннику потратить их токены.

Это отличается от традиционных фишинговых атак, которые пытаются получить доступ к конфиденциальной информации, такой как закрытые ключи или пароли, с помощью методов, подобных поддельным веб-сайтам, которые утверждают, что помогают инвесторам FTX вернуть потерянные средства.

Афера от 17 декабря, в ходе которой были украдены 14 Bored Apes, является примером изощренной ледяной фишинговой атаки. Инвестора убедили подписать запрос на сделку, замаскированный под контракт на съемку фильма, что в итоге позволило мошеннику продать всех обезьян пользователя самому себе за ничтожно малую сумму.

Фирма отметила, что этот тип мошенничества представляет собой “значительную угрозу” и встречается только в мире Web3, где от инвесторов часто требуется подписать разрешения на децентрализованные финансовые протоколы (DeFi), которые можно легко подделать. CertiK пишет:

«Хакеру просто нужно заставить пользователя поверить в то, что вредоносный адрес, которому он дает разрешение, является законным. Как только пользователь разрешил мошеннику тратить токены, активы рискуют быть истощенными».

Как только мошенник получил одобрение, он может перевести активы на адрес по своему выбору.

Пример работы ледяной фишинговой атаки на Etherscan. Источник: Сертик

Чтобы защитить себя от ледяного фишинга, CertiK рекомендует инвесторам использовать инструмент для утверждения токенов и сайт-исследователя блокчейна, такой как Etherscan, чтобы отозвать разрешения для адресов, которые они не узнают.

Кроме того, адреса, с которыми пользователи планируют взаимодействовать, должны быть проверены на этих блокчейн-сайтах на предмет подозрительной активности. В своем анализе CertiK указывает на адрес, который был профинансирован за счет снятия средств с Tornado Cash, как на пример подозрительной активности.

CertiK также предлагает пользователям взаимодействовать только с официальными сайтами, которые они могут проверить, и с особой осторожностью относиться к социальным сетям, таким как Twitter, приводя в качестве примера поддельный аккаунт Optimism в Twitter.

Твиттер-аккаунт с поддельным оптимизмом. Источник: Сертик

Компания также посоветовала пользователям потратить пару минут на проверку надежных сайтов, таких как CoinMarketCap или CoinGecko, чтобы убедиться, что URL-адрес ссылается на законный сайт.

Технологический гигант Microsoft первым обратил внимание на эту практику в своем блоге от 16 февраля, заявив тогда, что, хотя фишинг учетных данных очень распространен в мире Web2, лед-фишинг дает отдельным мошенникам возможность украсть часть криптоиндустрии, сохраняя “почти полную анонимность”.

Они рекомендовали проектам Web3 и провайдерам кошельков повысить уровень безопасности на программном уровне, чтобы бремя предотвращения атак ледяного фишинга не ложилось исключительно на конечного пользователя.

 

[ad_2]

Источник

Предыдущая статья3 причины, по которым цена BNB рискует упасть еще на 30% к январю
Следующая статьяVisa придумывает планы, чтобы вы могли автоматически оплачивать счета с помощью своего криптокошелька