什么是冰钓攻击？如何侦查和防范冰钓攻击？

近月加密货币出现新型骗局，NFT 收藏家sevenseason 早前在社交媒体上发文，指其个人收藏共计14 枚Bored Ape Yacht Club（BAYC）无聊猿NFT 已全部被偷，随即在二手市场成交，交易者共获利约968.95 以太币，涉资近千万港元。

有别于过去「勒索软件」及「网络钓鱼」，这次黑客用上了新式的「冰钓攻击」（ice phishing）。微软更发出警告，称有可能出现针对区块链和Web3 环境的网络钓鱼攻击变种，提醒用户提防。

什么是冰钓攻击？

一直以来，网络钓鱼都是黑客用来窃取受害者资产的流行方法之一，「冰钓攻击」则是Web3 中独有的一种攻击。

简单而言，黑客诱骗Web3 用户签署许可而解锁权限，让他们可偷取用户钱包内的资产。与传统的网络钓鱼攻击不同，虽同样可获取用户机密信息，如私人钥匙或密码，但因与DeFi 协议的互动需先获取授予权限，加上Web3 特征之一是去中心化，较Web2 应用程式少了第三方平台保护，用户一旦签署许可，资产就有可能直接被抽走，危险程度较「网络钓鱼」高。

冰钓攻击的例子

根据微软365 Defender 研究团队发表的文章，Badger DAO 攻击于2021 年底成功从用户手中窃取逾一亿美元。

当时Badger 为一种DeFi 协议，允许人们从比特币存款中赚取利息。当时智能合约前端基础设施遭到破坏，允许攻击者将恶意脚本（Script）注入Badger 智能合约，并要求用户签署交易。

2021 年12 月2 日凌晨，受害者账户中的资金被抽走，在10 小时内有近200 个账户被提取1.21 亿美元。

如何侦查冰钓攻击？

如用户不肯定地址是否「冰钓攻击」，可通过例如CertiK的验证网站，查看有没有显示虚假审计或合作伙伴关系。 CertiK 亦建议用户使用代币批准工具和区块链浏览器，如Etherscan，来查看地址的交易记录。

如果看到一个不认识的地址，或者一个地址在未经批准下发起交易，应撤销其权限。用户可通过revoke.cash等网站，或将钱包连接到扫描网站来撤销。

如何防范冰钓攻击？

预防胜于治疗，要防范冰钓攻击，最佳简单方法是只登入信任的官方网站，而在Twitter 等社交网络上，可以发现许多冰钓攻击诈骗，包括利用虚假资料伪装成合法项目，并宣传虚假空投，因此用户使用社交网络时，要相当小心。

微软建议，用户应时刻检查合约地址是否正确、Web3 项目是否设有可以部署修复程序、合约是否具有事件响应或紧急功能，亦应了解可否暂停或取消。

另外，可通过defiyield 评估智能合约是否经过审计；CertiK Skynet 则可通过链上监控跟踪部署后的安全情报，亦可定期审查和撤销代币配额，如使用etherscan.io。

Tags：

转载请注明出处：https://www.eoje.cn/qklzs/4972.html