Sigurnosna tvrtka za blockchain CertiK podsjetila je zajednicu kriptovaluta da ostane na oprezu u vezi s “ice phishing” prijevarama — jedinstvenom vrstom phishing prijevare koja cilja korisnike Web3 — koju je Microsoft prvi identificirao ranije ove godine.
U izvješću o analizi objavljenom 20. prosinca, CertiK je opisao krađu identiteta na snowboardingu kao napad koji vara korisnike Web3 da potpišu dopuštenja koja na kraju omogućuju prevarantu da potroši njihove tokene.
Ovo se razlikuje od tradicionalnih phishing napada koji pokušavaju pristupiti povjerljivim informacijama kao što su privatni ključevi ili lozinke, kao što su postavljene lažne web stranice koje tvrde da pomažu FTX investitorima u povratu izgubljenih sredstava na burzi.
1/ Ice phishing velika je prijetnja Web3 zajednici
Umjesto da dobiju pristup vašem privatnom ključu, prevaranti vas varaju da potpišete dopuštenja za trošenje vaše imovine.
U nastavku ćemo navesti na što pripaziti i kako se zaštititi!
– CertiK upozorenje (CertiKAlert) 20. prosinca 2022
Prijevara od 17. prosinca u kojoj je opljačkano 14 majmuna koji se dosađuju primjer je razrađene prijevare s ribolovom na ledu. Ulagač je bio uvjeren da potpiše nalog za transakciju prerušen u filmski ugovor, što je na kraju omogućilo prevarantu da proda sve korisnikove majmune sebi za bagatelu.
Tvrtka je primijetila da je ova vrsta prijevare “velika prijetnja” koja postoji samo u Web3 svijetu, gdje se od investitora često traži da potpišu dopuštenja za protokole decentraliziranog financiranja (DeFi) s kojima komuniciraju, a koji se lako mogu krivotvoriti.
“Haker samo treba natjerati korisnika da povjeruje da je zlonamjerna adresa za koju daju privolu legitimna. Jednom kada korisnik pristane na dopuštenja prevarantu da troši tokene, imovina je u opasnosti da bude ispražnjena.”
Nakon što prevarant dobije odobrenje, može premjestiti sredstva na adresu po vlastitom izboru.
Kako bi se zaštitili od krađe identiteta na ledu, CertiK je preporučio ulagačima da povuku dopuštenja za adrese koje ne prepoznaju na web-mjestima za istraživanje blokova kao što je Etherscan, koristeći alat za odobravanje tokena.
Povezano: Suosnivač OneCoina priznaje krivnju i suočava se sa 60 godina zatvora
Osim toga, adrese s kojima korisnici planiraju komunicirati trebale bi se skenirati na ovim blockchain istraživačima radi sumnjive aktivnosti. CertiK u svojoj analizi kao primjer sumnjive aktivnosti ukazuje na adresu financiranu podizanjem Tornado Casha.
CertiK je također sugerirao da korisnici komuniciraju samo sa službenim stranicama koje mogu provjeriti, te da budu posebno oprezni prema stranicama društvenih medija kao što je Twitter, s Twitter računom varljivog optimizma kao primjerom.
Tvrtka je također savjetovala korisnicima da odvoje dvije minute kako bi provjerili pouzdanu stranicu kao što je CoinMarketCap ili Coingecko, a korisnici bi mogli vidjeti da povezani URL nije legitimna stranica i da bi je trebalo izbjegavati.
Tehnički div Microsoft prvi je istaknuo tu praksu u postu na blogu od 16. veljače, rekavši tada da, iako je phishing vjerodajnica vrlo raširen u Web2 svijetu, phishing na ledu pojedinačnim prevarantima daje mogućnost da ukradu velik dio kripto industrije. zadržavši “gotovo potpunu anonimnost”.
Preporučili su da Web3 projekti i pružatelji novčanika povećaju sigurnost svojih usluga na razini softvera kako bi spriječili da teret izbjegavanja phishing napada bude stavljen samo na krajnjeg korisnika.
