• CertiK напомнили о существовании ориентированной на Web3-пользователей атаки «ледяной фишинг» (ice phishing).
  • Ледяной фишинг — это когда мошенники обманным путем стимулируют жертву дать разрешение в кошельке на расходование криптоактивов. 
  • CertiK рассказали о мерах безопасности для защиты от ледяного фишинга.

Компания по безопасности блокчейна CertiK напомнила криптовалютному сообществу о необходимости быть настороже и не забывать о существовании такого вида атаки, как «ледяной фишинг» (ice phishing) — это уникальный тип мошенничества, нацеленный только на пользователей Web 3.0. Ранее в этом году о нем впервые сообщила Microsoft. 

Если в случае с традиционным фишингом мошенники пытаются получить доступ к конфиденциальной информации, такой как приватные ключи или пароли, то в случае с ледяным фишингом они обманом заставляют подписывать разрешения на расходование токенов и криптовалют. В результате такого мошенничества 17 декабря были украдены 14 Bored Apes. В данном случае владельца NFT заставили подписать транзакцию, которая замаскирована под контракт на фильм. В итоге мошенник продал NFT-обезьян по дешевым ценам. 

Как это работает? В DeFi-сегменте для осуществления тех или иных операций нужно подключать свой криптокошелек и подписывать транзакции, давая одобрение на осуществление той или иной сделки. Например, это нужно делать для обменов на Uniswap или клейма NFT-токенов. Хакеры же подделывают одобрение мошеннической транзакции под что-то законное, заставляя пользователя в это поверить. В результате юзер дает разрешение тратить токены, которые впоследствии воруются. 

Пример ледяной фишинговой атаки. Источник

Чтобы не попасться на уловку мошенников, не следует подписывать те транзакции, в которых вы не уверены на 100%. Адреса, с которыми пользователи взаимодействуют, нужно проверять в обозревателях блокчейнов, таких как Etherscan, на наличие подозрительной активности. Для проверки выданных разрешений прав доступа также можно использовать Etherscan. В блоке «More Info» выберите пункт «Token Approvals». 

Просмотр выданных разрешений. Источник.

Если вы обнаружили подозрительный адрес, который не узнаете, отозвите разрешение. Это можно сделать на таких сайтах, как https://revoke.cash/. Подключите свой кошелек — и сервис автоматически проверит наличие разрешений для различных смарт-контрактов. Отозвите те, которые считаете подозрительными и ненадежными. 

Также лучше всего взаимодействовать только с официальными сайтами проверенных проектов и проявлять особую осторожность в отношении рекламируемых сайтов в социальных сетях. 

Пример рекламы мошеннического сайта в Twitter. Источник.

Официальные сайты популярных проектов можно найти на криптоагрегаторах, таких как CoinMarketCap или Coingecko. 

Пример сайта Uniswap на CoinMarketCap. Источник

Microsoft, в свою очередь, рекомендует Web3-проектам и провайдерам кошельков повысить безопасность своих сервисов на уровне программного обеспечения, чтобы не перекладывать ответственность за предотвращение ледяных фишинговых атак только на конечных пользователей.