Varnostno podjetje za verigo blokov CertiK je kripto skupnost opomnilo, naj bo pozorna na prevare z lažnim predstavljanjem – edinstveno vrsto lažnega predstavljanja, ki cilja na uporabnike Web3 – ki jo je Microsoft prvič odkril v začetku tega leta.
V analiznem poročilu z dne 20. decembra CertiK opisano ice phishing prevare kot napad, ki uporabnike Web3 pretenta, da podpišejo dovoljenja, kar na koncu omogoči prevarantu, da porabi njihove žetone.
To se razlikuje od tradicionalnih napadov z lažnim predstavljanjem, ki poskušajo dostopati do zaupnih informacij, kot so zasebni ključi ali gesla, kot so postavljena lažna spletna mesta, ki trdijo, da pomagajo Vlagatelji FTX povrnejo sredstva izgubil na menjavi.
1/ Ledeno lažno predstavljanje je velika grožnja skupnosti Web3
Namesto da bi pridobili dostop do vašega zasebnega ključa, vas prevaranti zavedejo, da podpišete dovoljenja za porabo svojih sredstev.
Spodaj bomo opisali, na kaj morate biti pozorni in kako se zaščititi!
— Opozorilo CertiK (@CertiKAlert) December 20, 2022
Prevara 17. dec., kjer 14 Bored Apes je bilo ukradenih je primer dodelane prevare z lažnim predstavljanjem. Vlagatelja so prepričali, da je podpisal zahtevo za transakcijo, prikrito kot filmska pogodba, kar je prevarantu na koncu omogočilo, da je sam sebi prodal vse uporabnikove opice za zanemarljiv znesek.
Podjetje je opozorilo, da je ta vrsta prevare "precejšnja grožnja", ki jo najdemo le v svetu Web3, saj morajo vlagatelji pogosto podpisati dovoljenja za protokole decentraliziranega financiranja (DeFi), s katerimi komunicirajo, kar bi bilo mogoče zlahka ponarediti.
»Heker mora le prepričati uporabnika, da je zlonamerni naslov, ki mu daje odobritev, zakonit. Ko uporabnik prevarantu odobri dovoljenja za porabo žetonov, obstaja tveganje, da bodo sredstva izčrpana.«
Ko prevarant pridobi odobritev, lahko sredstva prenese na naslov po lastni izbiri.
Da bi se zaščitili pred lažnim predstavljanjem, je CertiK vlagateljem priporočil, da z uporabo orodja za odobritev žetonov prekličejo dovoljenja za naslove, ki jih ne prepoznajo na spletnih mestih za raziskovanje verig blokov, kot je Etherscan.
Povezano: Soustanovitelj prevare OneCoin s 4 milijardami dolarjev priznal krivdo, grozi mu 60 let zapora
Poleg tega je treba naslove, s katerimi nameravajo uporabniki komunicirati, poiskati v teh raziskovalcih blockchain za sumljivo dejavnost. CertiK v svoji analizi kot primer sumljive dejavnosti navaja naslov, ki je bil financiran z dvigi Tornado Cash.
CertiK je tudi predlagal, naj uporabniki komunicirajo le z uradnimi spletnimi mesti, ki jih lahko preverijo, in naj bodo še posebej previdni pri spletnih mestih družbenih medijev, kot je Twitter, pri čemer je kot primer izpostavil lažni račun Optimism Twitter.
Podjetje je uporabnikom tudi svetovalo, naj si vzamejo nekaj minut časa in preverijo zaupanja vredno spletno mesto, kot sta CoinMarketCap ali Coingecko, uporabniki bi lahko videli, da povezani URL ni legitimno spletno mesto in se mu je treba izogibati.
Tehnološki velikan Microsoft je bil prvi, ki je poudaril to prakso v blogu 16. februarja objava, ki je takrat dejal, da medtem ko je lažno predstavljanje poverilnic zelo prevladujoče v svetu Web2, lažno predstavljanje na ledu daje posameznim prevarantom možnost, da ukradejo del kripto industrije, hkrati pa ohranijo "skoraj popolno anonimnost."
Priporočili so, da projekti Web3 in ponudniki denarnic povečajo varnost svojih storitev na ravni programske opreme, da bi preprečili, da bi se breme izogibanja napadom z lažnim predstavljanjem naložilo izključno na končnega uporabnika.
Vir: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik