Blockchain-säkerhetsföretaget CertiK har påmint kryptocommunityt om att vara uppmärksamt på "isfiske"-bedrägerier - en unik typ av nätfiske-bedrägeri som riktar sig till Web3-användare - först identifierades av Microsoft tidigare i år.
I en analysrapport den 20 december skriver CertiK beskriven phishing-bedrägerier som en attack som lurar Web3-användare att signera behörigheter som slutar med att en bedragare kan spendera sina tokens.
Detta skiljer sig från traditionella nätfiskeattacker som försöker komma åt konfidentiell information som privata nycklar eller lösenord, som de falska webbplatser som skapats som påstod sig hjälpa FTX-investerare återvinner medel förlorade på börsen.
1/ Nätfiske är ett avsevärt hot mot Web3-gemenskapen
Istället för att få tillgång till din privata nyckel, lurar bedragare dig att signera behörigheter för att spendera dina tillgångar.
Vi kommer att beskriva nedan vad du ska hålla utkik efter och hur du skyddar dig själv!
— CertiKAlert (@CertiKAlert) December 20, 2022
En 17 december bluff där 14 Bored Apes stals är ett exempel på en utarbetad isfiske-bluff. En investerare var övertygad om att underteckna en transaktionsbegäran förklädd som ett filmkontrakt, vilket i slutändan gjorde det möjligt för bedragaren att sälja alla användarens apor till sig själva för ett försumbart belopp.
Företaget noterade att denna typ av bedrägeri var ett "avsevärt hot" som bara finns i Web3-världen, eftersom investerare ofta måste underteckna tillstånd till decentraliserade finansprotokoll (DeFi) de interagerar med, vilket lätt kan förfalskas.
"Hackaren behöver bara få en användare att tro att den skadliga adressen som de ger godkännande till är legitim. När en användare har godkänt tillstånd för bedragaren att spendera tokens, riskerar tillgångarna att tömmas.”
När en bedragare har fått godkännande kan de överföra tillgångar till en adress som de väljer.
För att skydda sig mot isfiske rekommenderade CertiK att investerare återkallar tillstånd för adresser de inte känner igen på blockchain explorer-sajter som Etherscan, med hjälp av ett token-godkännandeverktyg.
Relaterat: $4B OneCoin-bedrägerimedgrundare erkänner sig skyldig, riskerar 60 års fängelse
Dessutom bör adresser som användare planerar att interagera med slås upp på dessa blockkedjeutforskare för misstänkt aktivitet. I sin analys pekar CertiK på en adress som finansierades av Tornado Cash-uttag som ett exempel på misstänkt aktivitet.
CertiK föreslog också att användare endast skulle interagera med officiella webbplatser som de kan verifiera, och att vara särskilt försiktig med webbplatser för sociala medier som Twitter, och lyfta fram ett falskt Optimism Twitter-konto som ett exempel.
Företaget rådde också användare att ta ett par minuter för att kontrollera en betrodd webbplats som CoinMarketCap eller Coingecko, användare skulle ha kunnat se att den länkade webbadressen inte var en legitim webbplats och bör undvikas.
Teknikjätten Microsoft var först med att lyfta fram denna praxis i en blogg den 16 februari inlägg, sade då att även om nätfiske med inloggningsuppgifter är mycket dominerande i Web2-världen, ger nätfiske individuella bedragare möjligheten att stjäla en del av kryptoindustrin samtidigt som de bibehåller "nästan fullständig anonymitet."
De rekommenderade att Web3-projekt och plånboksleverantörer skulle öka säkerheten för sina tjänster på mjukvarunivå för att förhindra att bördan av att undvika isfiskeattacker enbart placeras på slutanvändaren.
Källa: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik