Blockchain sigurnosna kompanija CertiK podsjetila je kripto zajednicu da bude na oprezu u vezi s prevarama “ice phishing” – jedinstvenom vrstom phishing prijevare usmjerene na korisnike Web3 – koju je prvi otkrio Microsoft ranije ove godine.
U izvještaju o analizi od 20. decembra, CertiK opisano ice phishing prevare kao napad koji obmanjuje korisnike Web3 da potpišu dozvole koje na kraju dozvoljavaju prevarantu da potroši svoje tokene.
Ovo se razlikuje od tradicionalnih phishing napada koji pokušavaju pristupiti povjerljivim informacijama kao što su privatni ključevi ili lozinke, kao što su postavljene lažne web stranice koje su tvrdile da pomažu FTX investitori vraćaju sredstva izgubio na razmjeni.
1/ Ice phishing je značajna prijetnja Web3 zajednici
Umjesto da dobijete pristup vašem privatnom ključu, prevaranti vas prevare da potpišete dozvole za trošenje vaših sredstava.
U nastavku ćemo navesti na šta treba paziti i kako se zaštititi!
— CertiKAlert (@CertiKAlert) Decembar 20, 2022
Prevara od 17. decembra gdje Ukradeno je 14 Dosadnih majmuna je primjer razrađene ice phishing prevare. Investitor je bio uvjeren da potpiše zahtjev za transakciju prerušen u ugovor o filmu, što je na kraju omogućilo prevarantu da sam sebi proda sve majmune korisnika za zanemarljiv iznos.
Firma je napomenula da je ova vrsta prevare “značajna prijetnja” koja se može naći samo u svijetu Web3, budući da se od investitora često traži da potpišu dozvole za protokole decentraliziranog financiranja (DeFi) s kojima komuniciraju, a koji se lako mogu lažirati.
“Haker samo treba natjerati korisnika da povjeruje da je zlonamjerna adresa kojoj daje odobrenje legitimna. Jednom kada korisnik odobri dozvole prevarantu za trošenje tokena, tada postoji opasnost da će imovina biti iscrpljena.”
Nakon što prevarant dobije odobrenje, može prenijeti imovinu na adresu po svom izboru.
Kako bi se zaštitili od ice phishinga, CertiK je preporučio investitorima da povuku dozvole za adrese koje ne prepoznaju na web-lokacijama blockchain explorera kao što je Etherscan, koristeći alat za odobravanje tokena.
Povezano: Suosnivač OneCoin prevare od 4 milijarde dolara priznao je krivicu, prijeti mu 60 godina zatvora
Osim toga, adrese s kojima korisnici planiraju komunicirati trebaju se potražiti u ovim istraživačima blokova u potrazi za sumnjivim aktivnostima. CertiK u svojoj analizi kao primjer sumnjive aktivnosti ukazuje na adresu koja je finansirana podizanjem Tornado Cash-a.
CertiK je također sugerirao da korisnici trebaju komunicirati samo sa službenim stranicama koje mogu provjeriti, te da budu posebno oprezni prema stranicama društvenih medija poput Twittera, ističući lažni Twitter nalog Optimizma kao primjer.
Firma je također savjetovala korisnike da odvoje nekoliko minuta da provjere pouzdane stranice kao što su CoinMarketCap ili Coingecko, korisnici bi mogli vidjeti da link na URL nije legitiman i da ga treba izbjegavati.
Tehnološki gigant Microsoft je bio prvi koji je istakao ovu praksu u blogu od 16. februara pošta, rekavši u to vrijeme da, iako je phishing vjerodajnica vrlo dominantan u svijetu Web2, ice phishing daje pojedinačnim prevarantima mogućnost da ukradu dio kripto industrije uz zadržavanje “gotovo potpune anonimnosti”.
Preporučili su da Web3 projekti i dobavljači novčanika povećaju sigurnost svojih usluga na softverskom nivou kako bi spriječili da se teret izbjegavanja ice phishing napada prebaci isključivo na krajnjeg korisnika.
Izvor: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik