Компанията за сигурност на блокчейн CertiK напомни на крипто общността да бъде нащрек за измами с „леден фишинг“ – уникален вид фишинг измама, насочена към потребителите на Web3 – идентифицирана за първи път от Microsoft по-рано тази година.
В доклад за анализ от 20 декември CertiK описан измами с леден фишинг като атака, която подмамва потребителите на Web3 да подпишат разрешения, което в крайна сметка позволява на измамник да изразходва техните токени.
Това се различава от традиционните фишинг атаки, които се опитват да получат достъп до поверителна информация като частни ключове или пароли, като например създадените фалшиви уебсайтове, които твърдят, че помагат Инвеститорите на FTX възстановяват средства загубени на борсата.
1/ Леденият фишинг е значителна заплаха за Web3 общността
Вместо да получат достъп до личния ви ключ, измамниците ви подвеждат да подпишете разрешения за изразходване на вашите активи.
По-долу ще посочим за какво да внимавате и как да се предпазите!
— Сигнал за CertiK (@CertiKAlert) Декември 20, 2022
Измама от 17 дек 14 Bored Apes бяха откраднати е пример за сложна измама с леден фишинг. Инвеститор беше убеден да подпише искане за транзакция, маскирано като договор за филм, което в крайна сметка позволи на измамника да продаде всички маймуни на потребителя на себе си за незначителна сума.
Фирмата отбеляза, че този тип измама е „значителна заплаха“, открита само в света на Web3, тъй като от инвеститорите често се изисква да подписват разрешения за протоколи за децентрализирано финансиране (DeFi), с които взаимодействат, което лесно може да бъде фалшифицирано.
„Хакерът просто трябва да накара потребителя да повярва, че злонамереният адрес, на който те дават одобрение, е легитимен. След като потребителят е одобрил разрешения за измамника да харчи токени, активите са изложени на риск от източване.“
След като измамникът получи одобрение, той може да прехвърли активи на адрес по свой избор.
За да се предпазят от леден фишинг, CertiK препоръча на инвеститорите да отменят разрешенията за адреси, които не разпознават в сайтове за изследване на блокчейн като Etherscan, като използват инструмент за одобрение на токени.
Свързани: Съосновател на измама с OneCoin за $4 милиарда се призна за виновен, изправен пред 60 години затвор
Освен това адресите, с които потребителите планират да взаимодействат, трябва да се търсят в тези блокчейн изследователи за подозрителна дейност. В своя анализ CertiK посочва адрес, който е финансиран от тегления на Tornado Cash като пример за подозрителна дейност.
CertiK също предложи потребителите да взаимодействат само с официални сайтове, които могат да проверят, и да бъдат особено предпазливи към сайтове за социални медии като Twitter, подчертавайки фалшив акаунт в Twitter на Optimism като пример.
Фирмата също така посъветва потребителите да отделят няколко минути, за да проверят доверен сайт като CoinMarketCap или Coingecko, потребителите биха могли да видят, че свързаният URL адрес не е легитимен сайт и трябва да се избягва.
Технологичният гигант Microsoft беше първият, който подчерта тази практика в блог на 16 февруари пускат, като каза по това време, че докато фишингът на идентификационни данни е много преобладаващ в света на Web2, леденият фишинг дава на отделни измамници възможността да откраднат част от крипто индустрията, като същевременно поддържат „почти пълна анонимност“.
Те препоръчаха на Web3 проектите и доставчиците на портфейли да увеличат сигурността на своите услуги на софтуерно ниво, за да предотвратят тежестта на избягването на ледени фишинг атаки да бъдат поставени единствено върху крайния потребител.
Източник: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik