如何避免被加密貨幣“冰上網絡釣魚”詐騙者上鉤 — CertiK

區塊鏈安全公司 CertiK 提醒加密社區對“冰釣魚”詐騙保持警惕——一種針對 Web3 用戶的獨特網絡釣魚詐騙類型——今年早些時候由微軟首次發現。 

在 20 月 XNUMX 日的分析報告中,CertiK 描述 ice 網絡釣魚詐騙是一種欺騙 Web3 用戶簽署權限的攻擊,最終允許詐騙者花費他們的代幣。

這不同於傳統的網絡釣魚攻擊,後者試圖訪問私鑰或密碼等機密信息,例如建立的假冒網站聲稱可以幫助 FTX投資者收回資金 在交易所丟失。

17 月 XNUMX 日的騙局 14 只無聊的猿被盜 是精心設計的 ice 網絡釣魚騙局的示例。 一位投資者被說服簽署了一份偽裝成電影合同的交易請求,這最終使騙子能夠以微不足道的金額將用戶的所有猿猴賣給自己。

該公司指出,這種類型的騙局是僅在 Web3 世界中發現的“相當大的威脅”,因為投資者通常需要簽署與他們交互的去中心化金融 (DeFi) 協議的許可,而這些協議很容易被偽造。

“黑客只需要讓用戶相信他們批准的惡意地址是合法的。 一旦用戶批准了詐騙者使用代幣的權限,那麼資產就有被耗盡的風險。”

一旦騙子獲得批准,他們就可以將資產轉移到他們選擇的地址。

冰網絡釣魚攻擊如何在 Etherscan 上起作用的示例。 資料來源:Certik

為了保護自己免受 ice phishing 的侵害,CertiK 建議投資者使用令牌批准工具撤銷他們在 Etherscan 等區塊鏈瀏覽器網站上不認識的地址的權限。

相關新聞: $4B OneCoin 詐騙聯合創始人認罪,面臨 60 年監禁

此外,應在這些區塊鏈瀏覽器中查找用戶計劃與之交互的地址以查找可疑活動。 在其分析中,CertiK 將一個由 Tornado Cash 提款資助的地址作為可疑活動的一個例子。

CertiK 還建議用戶只與他們能夠驗證的官方網站互動,並特別警惕 Twitter 等社交媒體網站,並以假冒的 Optimism Twitter 帳戶為例。

虛假的樂觀主義 Twitter 帳戶。 資料來源:Certik

該公司還建議用戶花幾分鐘時間檢查 CoinMarketCap 或 Coingecko 等受信任的網站,用戶將能夠看到鏈接的 URL 不是合法網站,應避免使用。

科技巨頭微軟是第一個在 16 月 XNUMX 日的博客中強調這種做法的人 發表,當時表示雖然憑據網絡釣魚在 Web2 世界中非常普遍,但 Ice 網絡釣魚使個人詐騙者能夠竊取加密行業的大部分內容,同時保持“幾乎完全匿名”。

他們建議 Web3 項目和錢包提供商在軟件層面提高其服務的安全性,以防止將避免冰釣魚攻擊的負擔完全放在最終用戶身上。