该公司表示,Ice phishing只存在于一种Web3中的骗局对加密社区构成了相当大的威胁。
区块链安全公司CertiK提醒加密社区Ice Phishing对骗局保持警惕,这是一种目标Web微软今年早些时候首次发现了用户独特类型的网络钓鱼骗局。
在12月20日的一份分析报告中,CertiK将Ice Phishing骗局被描述为欺骗Web3.用户签署权限攻击,最终允许诈骗者花费代币。
与传统的钓鱼攻击不同,传统的钓鱼攻击试图获取私钥或密码等机密信息,如建立虚假网站,声称有帮助FTX投资者在交易所追回损失的资金。
12月17日,14个Bored Apes被盗是精心策划的Ice Phishing骗局。一名投资者被说服签署一份伪装成电影合同的交易请求,最终使诈骗者以微不足道的价格将所有用户交易Bored Apes卖给自己。
该公司指出,这种类型的骗局只存在于Web世界上的相当大的威胁,因为投资者通常需要签署他们与之互动的分散金融(DeFi)很容易伪造协议的许可。
黑客只需要让用户相信他们批准的恶意地址是合法的。一旦用户批准了欺诈者花费代币的权限,资产就有耗尽的风险。
一旦骗子获得批准,他们可以将资产转移到他们选择的地址。
Etherscan上Ice Phishing攻击如何工作的例子
保护自己免受Ice Phishing的伤害,CertiK建议投资者使用代币授权工具撤销Etherscan在区块链浏览器网站上不知道地址的权限。
此外,用户计划与这些区块链浏览器互动的地址是否有可疑的活动应该在这些区块链浏览器上查询。CertiK在分析中指出,一个是由Tornado Cash提供资金的地址是可疑活动的一个例子。
CertiK还建议用户只与能验证的官方网站互动,特别警惕推特等社交媒体网站,并使用伪造网站Optimism以推特账户为例。
该公司还建议用户花几分钟检查可信网站CoinMarketCap或Coingecko,如果用户能看到链接URL不是合法网站,要避免访问。
科技巨头微软在2月16日的一篇博客文章中首次强调了这种行为。当时,它说,尽管证书网络钓鱼正在进行中Web2世界很流行,但是Ice Phishing在保持几乎完全匿名的同时,诈骗者可以窃取加密行业的大量资金。
他们建议Web3项目和钱包提供商在软件层面提高服务安全性,避免避免Ice Phishing攻击的负担完全放在终端用户身上。
