在众多欺诈类别中,钓鱼攻击是欺诈者们最常使用的方式之一。
然而,在Web3.0??领域,不止有着钓鱼攻击,还有一种会对社区产生重大威胁的「IcePhishing」攻击。
2022?年早些时候,微软首次于?blog?中阐述了该类攻击的具体形式——子无需取用户的私钥以及助记词,而是直接诱使用户批准将资产转移到子钱包的操作。
截至目前,IcePhishing?已经造成了Web3.0?领域数百万美元的资产损失。
什么是?IcePhishing?
IcePhishing?是一种Web3.0?世界独有的攻击类型,用户被诱签署权限,允许欺诈者直接消费用户账户内的资产。
DeBank工程师:Uniswap已使用Permit 2,用户需认真检查签名内容以防资产损失:金色财经报道,DeBank工程师galenyuan.eth发推表示,Uniswap网页已经在使用新的代币授权标准Permit 2了,这意味着你的资产已经被放在这个潘多拉的魔盒中,不要签名任何看不懂的签名(包括文本签名),魔盒一旦打开很可能一笔签名就可以转走你所有资产。[2023/2/7 11:51:36]
这与传统的网络钓鱼攻击不同,后者作为一种社会工程攻击手段,通常用于窃取用户数据,包括登录凭证和钱包或资产信息,如私人钥匙或密码。
Ice?Phishing?相较于此,对Web3.0?用户具备更大的威胁——与?DeFi?协议的互动需要用户授予权限,欺诈者只需要让用户相信他们所批准的恶意地址是合法的。一旦用户批准欺诈者花费其资产,那么账户就有可能被盗。
Index Coop推出多元化ETH质押指数Token dsETH:1月25日消息,加密货币指数协议Index Coop宣布推出多元化ETH质押指数Token dsETH,dsETH在发布时将由rETH(RocketPool),stETH(Lido)和sETH2(StakeWise)组成。
据悉,dsETH的目标是为Token持有者提供对流动性质押Token的多元化风险敞口。[2023/1/25 11:30:01]
链上?IcePhishing
IcePhishing?攻击的第一阶段往往是:受害者被,批准?EOA?或恶意合约来花费受害者钱包中的资产。
数据:熊市在30天内导致25家加密货币交易所消失:7月6日消息,截至7月6日,全球加密货币交易所数量为500家,较前几个月的高位有所下降。根据CoinMarketCap的数据,考虑到6月6日的数字为525,Finbold通过使用网络存档工具确定该行业在30天内失去了25家交易所。(Finbold)[2022/7/6 1:55:18]
下图中的交易可作为示例:
来源:Etherescan
如果你看到一个你不认识的地址,或者一个未经你批准就启动交易的地址,那么请立即撤销权限。
如何通过扫描网站撤销权限?
1.访问?https://etherscan.io/tokenapprovalchecker?并搜索钱包
2.连接钱包
3.点击?ERC-20、ERC-721?或?ERC-1155?标签,找到你想撤销的地址。
4.点击撤销按钮
如何辨认?IcePhishing?
用户判定自己是否落入?IcePhishing?陷阱的第一个辨认信号就是查看他们正在使用的?URL?或?DApp。
恶意网站会山寨合法项目的页面,或者假冒合法机构的合作方。
比如我们经常会看到一些网站挂着与?CertiK?的合作关系或是上传山寨的?CertiK?审计报告。
下方是众多假冒矿池事件的其中一例,它违法使用了?CertiK?的?logo?与其它正规机构的相关标志。
来源:推特
通过调查一些受害者的钱包和社交媒体上的投诉发文,我们发现了一个假的?MaximusDAO?推特页面,这很可能与?IcePhishing?钱包有关。
如何保护自己?
防止自己成为?IcePhishing?受害者的最简单方法就是访问可信的网站以验证信息真实性,如?Coinmarketcap.com、coingecko.com?和?certik.com。
许多?IcePhishing?的局可以在社交媒体上找到,比如一些欺诈项目会伪造成合法项目并宣传空投之类的虚假活动。
在下图示例中,我们可以看到一个假的?Optimism?推特账户在宣传一个钓鱼网站。
来源:@CertiKAlert
请花点时间来验证你正在互动的?URL?或?DApp?是否合法。如果不确定,可以通过访问可信的来源进行双重检查。
写在最后
钓鱼网站是我们在Web3.0?领域看到最常见的类型之一,用户有时甚至无法意识到他们已经落入陷阱,因为他们没有给出任何敏感信息。
因此除了你靠自己进行一番链上检查以外,也需要花费更多的时间来仔细检查互动的?URL?是否经过可信来源的验证——这些花费的时间总有一天给你回报。
标签:INGICESHIPHIYearn Compounding veCRV yVaultVICEXSHIBAKENSeraphium
ForesightNews消息,美国司法部已在迈阿密逮捕加密货币交易所Bitzlato的大股东和联合创办人AnatolyLegkodymov,并指控其处理7亿美元的非法资金.
1900/1/1 0:00:00親愛的用戶:幣安槓桿將於2023年02月10日14:00移除JST、SNM、SUN全倉槓桿可借資產:全倉槓桿交易對:JST/BUSD、JST/BTC、JST/USDT、SNM/BUSD、SUN/.
1900/1/1 0:00:001月19日消息,对于去年12月发生的黑客攻击事件,Web3多链钱包BitKeep近日在电报群公告中表示,将在二月第一周上线具体的赔付入口,预计在2月底前完成50%资金的赔付.
1900/1/1 0:00:00ShibaInumeme-coin正在推出一个名为Shibarium的二层。以6.2B美元的市值计算,它将成为第二大L2解决方案.
1900/1/1 0:00:00金色财经报道,FTX在一份声明中说,FTX的债务人已经确定了17亿美元的现金,35亿美元的加密货币资产和300万美元的证券。FTX在11月申请了破产保护,可能欠其前50名债权人31亿美元.
1900/1/1 0:00:00原文作者:ArthurHayes原文编译:GaryMa吴说区块链USCPI同比指数从上图中可以看出,由美国劳工统计局发布的消费者价格指数系列衡量的通货膨胀率在2022年年中达到9%左右的峰值.
1900/1/1 0:00:00
月亮链