洗劫数百万美元,警惕Web3.0独有升级版钓鱼攻击Ice Phishing_ING:SHI

在众多欺诈类别中,钓鱼攻击是欺诈者们最常使用的方式之一。

然而,在Web3.0??领域,不止有着钓鱼攻击,还有一种会对社区产生重大威胁的「IcePhishing」攻击。

2022?年早些时候,微软首次于?blog?中阐述了该类攻击的具体形式——子无需取用户的私钥以及助记词,而是直接诱使用户批准将资产转移到子钱包的操作。

截至目前,IcePhishing?已经造成了Web3.0?领域数百万美元的资产损失。

什么是?IcePhishing?

IcePhishing?是一种Web3.0?世界独有的攻击类型,用户被诱签署权限,允许欺诈者直接消费用户账户内的资产。

Hut 8 CEO:该公司的重点是与美国比特币公司完成合并:金色财经报道,北美比特币矿企Hut 8在发布第四季度和2022年全年业绩后,管理层于周四上午与投资者进行了交谈。在Hut 8 Mining(HUT)试图与美国比特币公司的合并时,其整个比特币矿场的运营问题正在对其造成压力。

Hut 8首席执行官Jaime Leverton在周四上午的收益电话会议上向分析师询问进展情况时表示,该公司正在评估为矿工提供能源的机会,但没有给出任何具体的替代方案。Hut 8 确实收到了加拿大竞争管理机构关于其与美国比特币公司合并的不采取行动的信函,这意味着该机构不打算挑战此举。该公司的主要重点是完成合并,这将使其能够获得额外的采矿设备电力。[2023/3/10 12:53:15]

这与传统的网络钓鱼攻击不同,后者作为一种社会工程攻击手段,通常用于窃取用户数据,包括登录凭证和钱包或资产信息,如私人钥匙或密码。

Nansen报告:FTX和Alameda持有的大量FTT从未进入流通市场,这也成为Alameda一大弱点:11月18日消息,据Nansen于11月17日发布的《链上分析:Alameda与FTX的崩塌》报告,FTX和Alameda从一开始就有着紧密的联系。FTX的平台币FTT,从被创建的第一天起就涉及Alameda。两者垄断了FTT总供应量中的大部分代币,这部分从未真正进入流通市场。Alameda、FTX的初步成功,以及FTT的快速上涨都很可能提升了Alameda资产负债表中的资产价值。其中的FTT头寸很可能被Alameda用作抵押借款。如果借来的资金用于非流动性投资,FTT将成为Alameda的一大弱点。

随着5月Terra/UST的崩溃,流动性紧缺接踵而至,许多债权人在3AC和Celsius崩溃后开始收回贷款。Alameda需要依然愿意用现有的抵押品发放贷款的资金来源,来提供流动资金。Alameda在FTX上存放了价值约30亿美元的FTT,其中大部分一直保留到事件发生后。[2022/11/18 13:20:42]

Ice?Phishing?相较于此,对Web3.0?用户具备更大的威胁——与?DeFi?协议的互动需要用户授予权限,欺诈者只需要让用户相信他们所批准的恶意地址是合法的。一旦用户批准欺诈者花费其资产,那么账户就有可能被盗。

范一飞:从信息交互、业务流程、技术规范等维度推动数字人民币标准化建设:9月8日消息,在2022中国(北京)数字金融论坛上,人民银行党委委员、副行长范一飞在主旨发言时表示,数字人民币作为央行向人民群众提供的公共服务,要体现人民性。要从信息交互、业务流程、技术规范等维度,推动数字人民币标准化建设。(证券时报)[2022/9/8 13:16:01]

链上?IcePhishing

IcePhishing?攻击的第一阶段往往是:受害者被,批准?EOA?或恶意合约来花费受害者钱包中的资产。

下图中的交易可作为示例:

来源:Etherescan

如果你看到一个你不认识的地址,或者一个未经你批准就启动交易的地址,那么请立即撤销权限。

如何通过扫描网站撤销权限?

1.访问?https://etherscan.io/tokenapprovalchecker?并搜索钱包

2.连接钱包

3.点击?ERC-20、ERC-721?或?ERC-1155?标签,找到你想撤销的地址。

4.点击撤销按钮

如何辨认?IcePhishing?

用户判定自己是否落入?IcePhishing?陷阱的第一个辨认信号就是查看他们正在使用的?URL?或?DApp。

恶意网站会山寨合法项目的页面,或者假冒合法机构的合作方。

比如我们经常会看到一些网站挂着与?CertiK?的合作关系或是上传山寨的?CertiK?审计报告。

下方是众多假冒矿池事件的其中一例,它违法使用了?CertiK?的?logo?与其它正规机构的相关标志。

来源:推特

通过调查一些受害者的钱包和社交媒体上的投诉发文,我们发现了一个假的?MaximusDAO?推特页面,这很可能与?IcePhishing?钱包有关。

如何保护自己?

防止自己成为?IcePhishing?受害者的最简单方法就是访问可信的网站以验证信息真实性,如?Coinmarketcap.com、coingecko.com?和?certik.com。

许多?IcePhishing?的局可以在社交媒体上找到,比如一些欺诈项目会伪造成合法项目并宣传空投之类的虚假活动。

在下图示例中,我们可以看到一个假的?Optimism?推特账户在宣传一个钓鱼网站。

来源:@CertiKAlert

请花点时间来验证你正在互动的?URL?或?DApp?是否合法。如果不确定,可以通过访问可信的来源进行双重检查。

写在最后

钓鱼网站是我们在Web3.0?领域看到最常见的类型之一,用户有时甚至无法意识到他们已经落入陷阱,因为他们没有给出任何敏感信息。

因此除了你靠自己进行一番链上检查以外,也需要花费更多的时间来仔细检查互动的?URL?是否经过可信来源的验证——这些花费的时间总有一天给你回报。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

LTC开春最强疯狂送 限时充送100%!!_HTT:ETH

尊敬的唯客用户您好! 活动时间:2023/1/2800:00至2023/1/3123:59兔年财源滚滚来!大家期待的疯狂送活动终于来了!新的一年就是要让你数钱数到兔!把财富和好运通通兔You活动.

[0:15ms0-0:724ms