Sigurnosna tvrtka za blockchain CertiK podsjetila je kripto zajednicu da bude na oprezu zbog prijevara "ice phishing" — jedinstvene vrste phishing prijevare koja cilja korisnike Web3 — koju je Microsoft prvi identificirao ranije ove godine.
U izvješću o analizi od 20. prosinca, CertiK opisan ice phishing prijevare kao napad koji vara korisnike Web3 da potpišu dopuštenja koja na kraju omogućuju prevarantu da potroši njihove tokene.
Ovo se razlikuje od tradicionalnih phishing napada koji pokušavaju pristupiti povjerljivim informacijama kao što su privatni ključevi ili lozinke, kao što su postavljena lažna web-mjesta koja tvrde da pomažu FTX investitori vraćaju sredstva izgubio na razmjeni.
1/ Ice phishing je značajna prijetnja Web3 zajednici
Umjesto da dobiju pristup vašem privatnom ključu, prevaranti vas varaju da potpišete dopuštenja za trošenje vaše imovine.
U nastavku ćemo opisati na što trebate pripaziti i kako se zaštititi!
— CertiKAlert (@CertiKAlert) Prosinac 20, 2022
Prijevara od 17. prosinca gdje Ukradeno je 14 Bored Apesa je primjer razrađene phishing prijevare. Investitor je bio uvjeren da potpiše zahtjev za transakciju prerušen u filmski ugovor, što je na kraju omogućilo prevarantu da sebi proda sve korisnikove majmune za zanemariv iznos.
Tvrtka je napomenula da je ova vrsta prijevare "značajna prijetnja" koja se može naći samo u Web3 svijetu, budući da se od investitora često traži da potpišu dopuštenja za protokole decentraliziranog financiranja (DeFi) s kojima komuniciraju, što se lako može lažirati.
“Haker samo treba natjerati korisnika da povjeruje da je zlonamjerna adresa kojoj daje odobrenje legitimna. Nakon što korisnik odobri dopuštenja prevarantu za trošenje tokena, tada postoji rizik da će imovina biti iscrpljena.”
Nakon što prevarant dobije odobrenje, može prenijeti imovinu na adresu koju odabere.
Kako bi se zaštitili od lažnog krađe identiteta, CertiK je preporučio investitorima da povuku dopuštenja za adrese koje ne prepoznaju na web-mjestima blockchain explorer kao što je Etherscan, koristeći alat za odobravanje tokena.
Povezano: Suosnivač prevare OneCoina od 4 milijarde dolara priznao krivnju, prijeti mu 60 godina zatvora
Osim toga, adrese s kojima korisnici planiraju komunicirati trebale bi se potražiti na ovim blockchain istraživačima zbog sumnjivih aktivnosti. CertiK u svojoj analizi kao primjer sumnjive aktivnosti ukazuje na adresu koja se financirala podizanjem Tornado Casha.
CertiK je također sugerirao da bi korisnici trebali komunicirati samo sa službenim stranicama koje mogu provjeriti, te da budu posebno oprezni sa stranicama društvenih medija poput Twittera, ističući lažni Optimism Twitter račun kao primjer.
Tvrtka je također savjetovala korisnicima da odvoje nekoliko minuta i provjere pouzdanu stranicu kao što su CoinMarketCap ili Coingecko, korisnici bi mogli vidjeti da povezani URL nije legitimna stranica i da bi je trebalo izbjegavati.
Tehnološki div Microsoft bio je prvi koji je istaknuo ovu praksu u blogu od 16. veljače pošta, rekavši u to vrijeme da, iako je krađa identiteta vjerodajnica vrlo prevladavajuća u svijetu Web2, krađa identiteta na ledu daje pojedinačnim prevarantima mogućnost da ukradu dio kripto industrije uz zadržavanje "gotovo potpune anonimnosti".
Preporučili su da Web3 projekti i pružatelji novčanika povećaju sigurnost svojih usluga na softverskoj razini kako bi spriječili da se teret izbjegavanja ice phishing napada stavlja isključivo na krajnjeg korisnika.
Izvor: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik