" Компания CertiK, занимающаяся безопасностью блокчейна, напомнила криптосообществу о необходимости быть настороже в отношении «ледяного фишинга» — уникального типа мошенничества, нацеленного на пользователей Web3, — впервые выявленного Microsoft ранее в этом году.
В аналитическом отчете от 20 декабря CertiK описал «ледяной фишинг» как атаку, которая обманом заставляет пользователей Web3 подписывать разрешения, что в конечном итоге позволяет мошеннику тратить его токены.
Это отличается от традиционных фишинговых атак, которые пытаются получить доступ к конфиденциальной информации, такой как закрытые ключи или пароли, например, создание поддельных веб-сайтов, которые якобы помогают инвесторам FTX вернуть средства, потерянные на бирже.
«Ледяной фишинг представляет собой серьезную угрозу для сообщества Web3. Вместо того, чтобы получить доступ к вашему закрытому ключу, мошенники обманом заставляют вас подписывать разрешения на использование ваших активов. Ниже мы расскажем, на что следует обратить внимание и как защитить себя!» - говорится в сообщении CertiK Alert.
Мошенничество 17 декабря, когда были украдены 14 Bored Apes, является примером изощренной аферы «ледового фишинга». Инвестора убедили подписать запрос на транзакцию, замаскированный под контракт на фильм, что в конечном итоге позволило мошеннику продать себе всех обезьян пользователя за ничтожную сумму.
Фирма отметила, что этот тип мошенничества представляет собой «значительную угрозу», встречающуюся только в мире Web3, поскольку от инвесторов часто требуется подписывать разрешения на протоколы децентрализованного финансирования (DeFi), с которыми они взаимодействуют, а их можно относительно легко подделать.
«Хакеру просто нужно заставить пользователя поверить в то, что вредоносный адрес, которому он дает разрешение, является законным. Как только пользователь разрешил мошеннику тратить токены, активы рискуют быть украденными», – говорится в сообщении CertiK.
Как только мошенник получил одобрение, он может перевести активы на адрес по своему выбору.
Пример работы атаки «ледяного фишинга» на Etherscan. Источник: CertiK.
Чтобы защитить себя от ледяного фишинга, CertiK рекомендовала инвесторам отозвать разрешения для адресов, которые они не распознают на сайтах обозревателя блокчейнов, таких как Etherscan, с помощью инструмента утверждения токенов.
Кроме того, адреса, с которыми пользователи планируют взаимодействовать, следует проверять в обозревателях блокчейнов на наличие подозрительной активности. В своем анализе CertiK указывает на адрес, который финансировался за счет снятия Tornado Cash, как на пример подозрительной активности.
CertiK также предложил пользователям взаимодействовать только с официальными сайтами, которые они могут проверить, и проявлять особую осторожность в отношении сайтов социальных сетей, таких как Twitter, выделив в качестве примера поддельную учетную запись Optimism в Twitter.
Поддельный твиттер-аккаунт Optimism с фишинговым «аирдропом». Источник: CertiK.
Фирма также посоветовала пользователям потратить пару минут на проверку с помощью рейтингового сайта, такого как CoinMarketCap или Coingecko, чтоб пользователи могли бы увидеть, что связанный URL-адрес не является законным сайтом, и его следует избегать.
Технический гигант Microsoft был первым, кто обратил внимание на эту практику в своем блоге от 16 февраля, заявив, что в то время, как фишинг учетных данных очень распространен в мире Web2, ледяной фишинг дает отдельным мошенникам возможность красть криптоивалюты и NFT при сохранении «практически полной анонимности».
Они рекомендовали проектам Web3 и провайдерам кошельков повысить безопасность своих услуг на уровне программного обеспечения, чтобы не допустить, чтобы бремя предотвращения ледяных фишинговых атак возлагалось исключительно на конечного пользователя.
