این شرکت گفت که فیشینگ یخ نوعی کلاهبرداری است که فقط در وب 3 وجود دارد و یک “تهدید مهم” برای جامعه ارزهای دیجیتال است.
شرکت امنیتی بلاک چین CertiK به جامعه رمزارز یادآوری کرد که برای کلاهبرداری های «فیشینگ یخ»، یک نوع منحصربفرد از کلاهبرداری فیشینگ که کاربران Web3 را هدف قرار می دهد، که برای اولین بار توسط مایکروسافت در اوایل سال جاری شناسایی شد، هوشیار باشند.
در یک گزارش تحلیلی در 20 دسامبر، CertiK کلاهبرداری های فیشینگ یخی را به عنوان حمله ای تعریف کرد که کاربران Web3 را فریب می دهد تا مجوزهای امضا را دریافت کنند و در نهایت به یک کلاهبردار اجازه می دهد توکن های خود را خرج کند.
این با حملات فیشینگ سنتی که تلاش میکنند به اطلاعات محرمانه مانند کلیدهای خصوصی یا رمزهای عبور دسترسی پیدا کنند، مانند وبسایتهای جعلی که ظاهراً به سرمایهگذاران FTX کمک میکنند وجوه از دست رفته در صرافی را بازیابی میکنند، متفاوت است.
1/ یخ فیشینگ یک تهدید مهم برای جامعه Web3 است
کلاهبرداران شما را فریب می دهند تا دارایی های خود را خرج کنید و به جای دسترسی به کلید خصوصی به شما اجازه امضا می دهند.
در زیر به مواردی که باید مراقب باشید و چگونه از خود محافظت کنید اشاره می کنیم!
– هشدار CertiK (@CertikAlert) 20 دسامبر 2022
کلاهبرداری 17 دسامبر که در آن 14 Bored Monkeys به سرقت رفت، نمونه ای از کلاهبرداری پیچیده یخ فیشینگ است. یک سرمایه گذار متقاعد شد تا درخواست معامله ای را امضا کند که به عنوان یک قرارداد فیلم پنهان شده بود، که به کلاهبردار اجازه می داد در نهایت تمام میمون های کاربر را به مبلغ ناچیزی به آنها بفروشد.
این شرکت خاطرنشان کرد که این نوع کلاهبرداری یک “تهدید مهم” است که فقط در دنیای Web3 یافت می شود، زیرا سرمایه گذاران باید مجوزهای پروتکل های مالی غیرمتمرکز (DeFi) را امضا کنند که با آنها تعامل دارند، که به راحتی می تواند کلاهبرداری باشد.
تنها کاری که یک هکر باید انجام دهد این است که کاربر را متقاعد کند که آدرس مخربی که تایید کرده است قانونی است. وقتی کاربر مجوزهای کلاهبردار را برای خرج کردن توکن ها تایید می کند، خطر تمام شدن دارایی ها وجود دارد.”
پس از تایید، یک کلاهبردار می تواند دارایی ها را به آدرس مورد نظر خود انتقال دهد.
CertiK برای محافظت از خود در برابر یخ فیشینگ، به سرمایه گذاران توصیه کرد که مجوزهای آدرس های ناشناخته در سایت های خزنده بلاک چین مانند Etherscan را با استفاده از ابزار اعتبار سنجی توکن لغو کنند.
مربوط: یکی از بنیانگذاران کلاهبرداری 4 میلیارد دلاری OneCoin به گناه خود اعتراف کرد و با 60 سال زندان روبرو شد
علاوه بر این، آدرسهایی که کاربران قصد تعامل دارند باید در این کاوشگرهای زنجیره بلوکی برای فعالیت مشکوک جستجو شوند. CertiK در تحلیل خود به آدرسی اشاره می کند که توسط برداشت های نقدی Tornado Cash تامین شده است.
CertiK همچنین توصیه کرد که کاربران فقط با سایتهای رسمی تعامل داشته باشند که میتوانند آنها را تأیید کنند و بهویژه در مورد سایتهای رسانههای اجتماعی مانند توییتر محتاط باشند، و به عنوان مثال یک حساب کاربری جعلی Optimism Twitter را برجسته میکند.
این شرکت همچنین به کاربران توصیه کرد که چند دقیقه وقت بگذارند تا یک سایت قابل اعتماد مانند CoinMarketCap یا Coiningecko را بررسی کنند، کاربران می توانند ببینند که URL پیوند شده یک سایت قانونی نیست و باید از آن اجتناب شود.
غول فناوری مایکروسافت اولین کسی بود که این رویه را در یک پست وبلاگی در 16 فوریه برجسته کرد و گفت در حالی که فیشینگ اعتباری در آن زمان در دنیای Web2 بسیار غالب بود، فیشینگ یخی به کلاهبرداران فردی توانایی سرقت بخشی از صنعت رمزنگاری را می داد. با حفظ “ناشناس بودن تقریباً کامل”.
آنها توصیه کردند که پروژه های Web3 و ارائه دهندگان کیف پول، امنیت خدمات خود را در سطح نرم افزار افزایش دهند تا از بار اجتناب از حملات فیشینگ یخی که فقط بر دوش کاربر نهایی قرار می گیرد، جلوگیری کنند.
نویسنده: Luke Huigsloot
