Pinaalalahanan ng kumpanya ng seguridad ng Blockchain na CertiK ang komunidad ng crypto na manatiling alerto sa mga “ice phishing” scam — isang natatanging uri ng phishing scam na nagta-target sa mga user ng Web3 — na unang kinilala ng Microsoft noong unang bahagi ng taong ito.
Sa isang ulat ng pagsusuri noong Disyembre 20, ang CertiK inilarawan ice phishing scam bilang isang pag-atake na nanlilinlang sa mga user ng Web3 sa pag-sign ng mga pahintulot na hahantong sa pagpapahintulot sa isang scammer na gastusin ang kanilang mga token.
Naiiba ito sa mga tradisyunal na pag-atake sa phishing na nagtatangkang mag-access ng kumpidensyal na impormasyon gaya ng mga pribadong key o password, gaya ng mga pekeng website na naka-set up na nagsasabing nakakatulong ito. Ang mga mamumuhunan ng FTX ay nakakakuha ng mga pondo nawala sa palitan.
1/ Ang Ice phishing ay isang malaking banta sa komunidad ng Web3
Sa halip na makakuha ng pag-access sa iyong pribadong key, nanlilinlang ka ng mga scammer na pumirma ng mga pahintulot na gastusin ang iyong mga asset.
Ilalarawan namin sa ibaba kung ano ang dapat abangan, at kung paano protektahan ang iyong sarili!
— CertiKAlert (@CertiKAlert) Disyembre 20, 2022
Isang panloloko noong Disyembre 17 kung saan 14 Ninakaw ang mga Bored Apes ay isang halimbawa ng isang detalyadong ice phishing scam. Nakumbinsi ang isang mamumuhunan na pumirma sa isang kahilingan sa transaksyon na itinago bilang isang kontrata ng pelikula, na sa huli ay nagbigay-daan sa scammer na ibenta ang lahat ng mga unggoy ng user sa kanilang sarili para sa isang maliit na halaga.
Napansin ng firm na ang ganitong uri ng scam ay isang "malaking banta" na matatagpuan lamang sa mundo ng Web3, dahil ang mga mamumuhunan ay madalas na kinakailangan na pumirma ng mga pahintulot sa mga protocol ng desentralisadong pananalapi (DeFi) na nakikipag-ugnayan sa kanila, na madaling mapeke.
“Kailangan lang ng hacker na papaniwalain ang isang user na ang malisyosong address na binibigyan nila ng pag-apruba ay lehitimo. Kapag naaprubahan na ng user ang mga pahintulot para sa scammer na gumastos ng mga token, ang mga asset ay nasa panganib na maubos.”
Kapag nakakuha na ng pag-apruba ang isang scammer, magagawa nilang ilipat ang mga asset sa isang address na kanilang pinili.
Upang maprotektahan ang kanilang sarili mula sa ice phishing, inirerekomenda ng CertiK na bawiin ng mga mamumuhunan ang mga pahintulot para sa mga address na hindi nila nakikilala sa mga site ng blockchain explorer gaya ng Etherscan, gamit ang tool sa pag-apruba ng token.
Nauugnay: Ang $4B OneCoin scam co-founder ay umamin na nagkasala, nahaharap sa 60 taong pagkakakulong
Bilang karagdagan, ang mga address na pinaplano ng mga user na makipag-ugnayan ay dapat na hanapin sa mga blockchain explorer na ito para sa kahina-hinalang aktibidad. Sa pagsusuri nito, itinuturo ng CertiK ang isang address na pinondohan ng mga withdrawal ng Tornado Cash bilang isang halimbawa ng kahina-hinalang aktibidad.
Iminungkahi din ng CertiK na ang mga user ay dapat lamang makipag-ugnayan sa mga opisyal na site na na-verify nila, at maging partikular na maingat sa mga social media site tulad ng Twitter, na nagha-highlight ng isang pekeng Optimism Twitter account bilang isang halimbawa.
Pinayuhan din ng firm ang mga user na maglaan ng ilang minuto upang suriin ang isang pinagkakatiwalaang site tulad ng CoinMarketCap o Coingecko, makikita ng mga user na ang naka-link na URL ay hindi isang lehitimong site at dapat na iwasan.
Ang higanteng tech na Microsoft ang unang nag-highlight ng kasanayang ito sa isang blog noong Pebrero 16 magpaskil, na nagsasabing habang ang kredensyal na phishing ay lubhang nangingibabaw sa mundo ng Web2, ang ice phishing ay nagbibigay sa mga indibidwal na scammer ng kakayahang magnakaw ng isang bahagi ng industriya ng crypto habang pinapanatili ang "halos kumpletong pagkawala ng lagda."
Inirerekomenda nila na ang mga proyekto ng Web3 at mga provider ng pitaka ay dagdagan ang seguridad ng kanilang mga serbisyo sa antas ng software upang maiwasan ang pasanin ng pag-iwas sa mga pag-atake ng ice phishing na inilalagay lamang sa end-user.
Pinagmulan: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik