قامت شركة CertiK للأمان في Blockchain بتذكير مجتمع العملات المشفرة بالبقاء في حالة تأهب بشأن عمليات الاحتيال "التصيد الاحتيالي على الجليد" - وهي نوع فريد من احتيال التصيد الذي يستهدف مستخدمي Web3 - تم تحديده لأول مرة بواسطة Microsoft في وقت سابق من هذا العام.
في تقرير تحليل 20 ديسمبر ، CertiK وصف خدع التصيد الاحتيالي على الجليد باعتباره هجومًا يخدع مستخدمي Web3 لتوقيع أذونات تنتهي بالسماح للمخادع بإنفاق الرموز المميزة الخاصة بهم.
يختلف هذا عن هجمات التصيد الاحتيالي التقليدية التي تحاول الوصول إلى معلومات سرية مثل المفاتيح الخاصة أو كلمات المرور ، مثل المواقع المزيفة التي تم إعدادها والتي تدعي أنها تساعد يسترد مستثمرو FTX الأموال خسر في الصرف.
1 / يمثل تصيد الجليد تهديدًا كبيرًا لمجتمع Web3
بدلاً من الوصول إلى مفتاحك الخاص ، يخدعك المحتالون في أذونات التوقيع لإنفاق أصولك.
سنحدد أدناه ما الذي تبحث عنه وكيف تحمي نفسك!
- تنبيه CertiK (CertiKAlert) 20 كانون الأول، 2022
عملية احتيال في 17 كانون الأول (ديسمبر) حيث تم سرقة 14 قردًا مملًا هو مثال على عملية احتيال معقدة للتصيد الاحتيالي على الجليد. كان المستثمر مقتنعًا بالتوقيع على طلب معاملة متخفيًا في صورة عقد فيلم ، مما مكن المحتال في النهاية من بيع جميع قرود المستخدم لأنفسهم مقابل مبلغ ضئيل.
أشارت الشركة إلى أن هذا النوع من الاحتيال كان "تهديدًا كبيرًا" موجودًا فقط في عالم Web3 ، حيث يُطلب من المستثمرين غالبًا توقيع أذونات لبروتوكولات التمويل اللامركزي (DeFi) التي يتفاعلون معها ، والتي يمكن تزويرها بسهولة.
"يحتاج المتسلل فقط إلى جعل المستخدم يعتقد أن العنوان الضار الذي يمنح الموافقة عليه شرعي. بمجرد موافقة المستخدم على الأذونات للمخادع لإنفاق الرموز ، تصبح الأصول معرضة لخطر الاستنزاف ".
بمجرد حصول المخادع على الموافقة ، يمكنه نقل الأصول إلى عنوان من اختياره.
لحماية أنفسهم من التصيد الاحتيالي على الجليد ، أوصت CertiK المستثمرين بإلغاء أذونات العناوين التي لا يتعرفون عليها على مواقع مستكشفات blockchain مثل Etherscan ، باستخدام أداة الموافقة على الرمز المميز.
هذا الموضوع ذو علاقة بـ: يقر الشريك المؤسس لـ OneCoin بالذنب ويواجه 4 عامًا في السجن
بالإضافة إلى ذلك ، يجب البحث عن العناوين التي يخطط المستخدمون للتفاعل معها على مستكشفي blockchain بحثًا عن أي نشاط مشبوه. في تحليلها ، تشير CertiK إلى عنوان تم تمويله بواسطة سحوبات Tornado Cash كمثال على نشاط مشبوه.
اقترحت CertiK أيضًا أن يتفاعل المستخدمون فقط مع المواقع الرسمية التي يمكنهم التحقق منها ، وأن يكونوا حذرين بشكل خاص من مواقع التواصل الاجتماعي مثل Twitter ، مع إبراز حساب Twitter التفاؤل الوهمي كمثال.
كما نصحت الشركة المستخدمين بأخذ دقيقتين للتحقق من موقع موثوق به مثل CoinMarketCap أو Coingecko ، وكان بإمكان المستخدمين رؤية أن عنوان URL المرتبط ليس موقعًا شرعيًا ويجب تجنبه.
كانت شركة مايكروسوفت العملاقة للتكنولوجيا هي أول من سلط الضوء على هذه الممارسة في مدونة بتاريخ 16 فبراير بريد.. اعلاني، قائلًا في ذلك الوقت أنه في حين أن التصيد الاحتيالي لبيانات الاعتماد هو السائد جدًا في عالم Web2 ، فإن التصيد الاحتيالي على الجليد يمنح المحتالين الأفراد القدرة على سرقة جزء كبير من صناعة التشفير مع الحفاظ على "إخفاء الهوية بشكل شبه كامل".
وأوصوا بأن تزيد مشاريع Web3 ومزودي المحفظة من أمان خدماتهم على مستوى البرنامج من أجل منع عبء تجنب هجمات التصيد على الجليد التي يتم فرضها على المستخدم النهائي فقط.
المصدر: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik