Blockchainová bezpečnostní společnost CertiK připomněla kryptokomunitě, aby zůstala ve střehu ohledně podvodů typu „ice phishing“ – unikátního typu phishingového podvodu zaměřeného na uživatele Web3 – který Microsoft poprvé identifikoval začátkem tohoto roku.
V analytické zprávě z 20. prosince CertiK popsáno ice phishing scams jako útok, který přiměje uživatele Web3 k podpisu oprávnění, což nakonec umožní podvodníkovi utratit jejich tokeny.
To se liší od tradičních phishingových útoků, které se pokoušejí získat přístup k důvěrným informacím, jako jsou soukromé klíče nebo hesla, jako jsou vytvořené falešné webové stránky, které tvrdily, že pomáhají FTX investoři získávají prostředky prohrál na směně.
1/ Ice phishing je značnou hrozbou pro komunitu Web3
Místo toho, abyste získali přístup k vašemu soukromému klíči, podvodníci vás oklamou, abyste podepsali oprávnění k utrácení vašeho majetku.
Níže nastíníme, na co si dát pozor a jak se chránit!
— Upozornění CertiK (@CertiKAlert) 20. prosince 2022
Podvod ze 17. prosince kde Bylo ukradeno 14 Bored Apes je příkladem propracovaného podvodu s phishingem. Investor byl přesvědčen, aby podepsal transakční žádost maskovanou jako filmovou smlouvu, která nakonec podvodníkovi umožnila prodat si všechny opice uživatele za zanedbatelnou částku.
Firma poznamenala, že tento typ podvodu byl „značnou hrozbou“, kterou lze nalézt pouze ve světě Web3, protože investoři jsou často povinni podepsat povolení k protokolům decentralizovaných financí (DeFi), se kterými komunikují, což lze snadno zfalšovat.
„Hacker pouze potřebuje přesvědčit uživatele, že škodlivá adresa, které uděluje souhlas, je legitimní. Jakmile uživatel schválí oprávnění pro podvodníka utrácet tokeny, hrozí, že budou aktiva vyčerpána.“
Jakmile podvodník získá souhlas, může převést majetek na adresu, kterou si zvolí.
Aby se ochránili před ice phishingem, společnost CertiK doporučila investorům, aby pomocí nástroje pro schvalování tokenů zrušili oprávnění pro adresy, které neznají na stránkách průzkumníků blockchainu, jako je Etherscan.
Související: Spoluzakladatel podvodu $4B OneCoin se přiznal, hrozí mu 60 let vězení
Kromě toho by adresy, se kterými uživatelé plánují interagovat, měli být vyhledáni na těchto blockchainových průzkumnících kvůli podezřelé aktivitě. CertiK ve své analýze poukazuje na adresu, která byla financována výběry hotovosti Tornado jako příklad podezřelé aktivity.
CertiK také navrhl, že uživatelé by měli interagovat pouze s oficiálními stránkami, které jsou schopni ověřit, a měli by se mít na pozoru zejména před weby sociálních médií, jako je Twitter, přičemž jako příklad zdůraznil falešný účet Optimism Twitter.
Společnost také uživatelům doporučila, aby si pár minut prohlédli důvěryhodné stránky, jako je CoinMarketCap nebo Coingecko, uživatelé by mohli vidět, že odkazovaná adresa URL není legitimní stránka a je třeba se jí vyhnout.
Technologický gigant Microsoft byl první, kdo na tuto praxi upozornil na blogu 16. února zveřejnit, který v té době uvedl, že zatímco phishing pověření je ve světě Web2 velmi převládající, ice phishing dává jednotlivým podvodníkům možnost ukrást část kryptoprůmyslu při zachování „téměř úplné anonymity“.
Doporučili, aby projekty Web3 a poskytovatelé peněženek zvýšili zabezpečení svých služeb na softwarové úrovni, aby se zabránilo tomu, že by zátěž spojená s předcházením útokům typu ice phishing byla kladena pouze na koncového uživatele.
Zdroj: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik