Blockchaini turvaettevõte CertiK tuletas krüptokogukonnale meelde, et nad peaksid olema valvsad jää-andmepüügipettuste suhtes – unikaalset tüüpi andmepüügipettuste suhtes, mis on suunatud Web3 kasutajatele –, mille Microsoft tuvastas selle aasta alguses.
20. detsembri analüüsiaruandes on CertiK kirjeldatud jää andmepüügipettused kui rünnak, mis meelitab Web3 kasutajaid allkirjastama lube, mis lõpuks võimaldavad petturil oma märke kulutada.
See erineb traditsioonilistest andmepüügirünnakutest, mis püüavad pääseda juurde konfidentsiaalsele teabele, nagu privaatvõtmed või paroolid, näiteks loodud võltsveebisaidid, mis väidetavalt aitavad FTX investorid saavad raha tagasi börsil kaotatud.
1/ Jää andmepüük on märkimisväärne oht Web3 kogukonnale
Selle asemel, et pääseda juurde teie privaatvõtmele, meelitavad petturid teid oma varade kulutamiseks lubasid allkirjastama.
Allpool kirjeldame, millele tähelepanu pöörata ja kuidas end kaitsta!
— CertiKAlert (@CertiKAlert) Detsember 20, 2022
17. detsembri kelmus kus Varastati 14 igavlevat ahvi on näide keerukast jää andmepüügipettusest. Investor oli veendunud, et allkirjastas filmilepinguna maskeeritud tehingutaotluse, mis lõpuks võimaldas petturil kõik kasutaja ahvid tühise summa eest endale maha müüa.
Ettevõte märkis, et seda tüüpi kelmus oli "märkimisväärne oht", mida leiti ainult Web3 maailmas, kuna investoritelt nõutakse sageli allkirja luba detsentraliseeritud rahastamise (DeFi) protokollidele, millega nad suhtlevad, mida saab kergesti võltsida.
"Häkker peab lihtsalt panema kasutaja uskuma, et pahatahtlik aadress, millele nad nõusoleku annavad, on seaduslik. Kui kasutaja on andnud petturile loa žetoonide kulutamiseks, on varade tühjendamise oht.
Kui pettur on heakskiidu saanud, saab ta vara enda valitud aadressile üle kanda.
Et kaitsta end jääandmepüügi eest, soovitas CertiK investoritel tühistada nende aadresside load, mida nad plokiahela uurija saitidel (nt Etherscan) ei tunne, kasutades märgi kinnitamise tööriista.
Lisaks tuleks nendelt plokiahela uurijatelt otsida kahtlase tegevuse tuvastamiseks aadresse, millega kasutajad kavatsevad suhelda. CertiK viitab oma analüüsis kahtlase tegevuse näitena aadressile, mida rahastati Tornado sularaha väljamaksetest.
CertiK soovitas ka, et kasutajad peaksid suhtlema ainult ametlike saitidega, mida nad saavad kontrollida, ja olla eriti ettevaatlikud selliste sotsiaalmeedia saitide suhtes nagu Twitter, tuues näitena välja võltsitud Optimismi Twitteri konto.
Samuti soovitas ettevõte kasutajatel võtta paar minutit aega, et kontrollida usaldusväärset saiti, nagu CoinMarketCap või Coingecko, sest kasutajad oleksid näinud, et lingitud URL ei ole legitiimne sait ja seda tuleks vältida.
Tehnikagigant Microsoft oli esimene, kes seda tava 16. veebruari ajaveebis esile tõstis pärast, ütles toona, et kuigi mandaatide andmepüük on Web2 maailmas väga domineeriv, annab jääandmepüük üksikutele petturitele võimaluse varastada osa krüptotööstusest, säilitades samal ajal "peaaegu täieliku anonüümsuse".
Nad soovitasid, et Web3 projektid ja rahakoti pakkujad suurendaksid oma teenuste turvalisust tarkvara tasemel, et vältida jääandmepüügi rünnakute vältimise koormuse asetamist ainult lõppkasutajale.
Allikas: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik