什么是冰钓攻击?如何侦查和防范冰钓攻击?
2024-04-19分类:区块链技术 阅读()
近月加密货币出现新型骗局,NFT 收藏家sevenseason 早前在社交媒体上发文,指其个人收藏共计14 枚Bored Ape Yacht Club(BAYC)无聊猿NFT 已全部被偷,随即在二手市场成交,交易者共获利约968.95 以太币,涉资近千万港元。
有别于过去「勒索软件」及「网络钓鱼」,这次黑客用上了新式的「冰钓攻击」(ice phishing)。微软更发出警告,称有可能出现针对区块链和Web3 环境的网络钓鱼攻击变种,提醒用户提防。
什么是冰钓攻击?
一直以来,网络钓鱼都是黑客用来窃取受害者资产的流行方法之一,「冰钓攻击」则是Web3 中独有的一种攻击。
简单而言,黑客诱骗Web3 用户签署许可而解锁权限,让他们可偷取用户钱包内的资产。与传统的网络钓鱼攻击不同,虽同样可获取用户机密信息,如私人钥匙或密码,但因与DeFi 协议的互动需先获取授予权限,加上Web3 特征之一是去中心化,较Web2 应用程式少了第三方平台保护,用户一旦签署许可,资产就有可能直接被抽走,危险程度较「网络钓鱼」高。
冰钓攻击的例子
根据微软365 Defender 研究团队发表的文章,Badger DAO 攻击于2021 年底成功从用户手中窃取逾一亿美元。
当时Badger 为一种DeFi 协议,允许人们从比特币存款中赚取利息。当时智能合约前端基础设施遭到破坏,允许攻击者将恶意脚本(Script)注入Badger 智能合约,并要求用户签署交易。
2021 年12 月2 日凌晨,受害者账户中的资金被抽走,在10 小时内有近200 个账户被提取1.21 亿美元。
如何侦查冰钓攻击?
如用户不肯定地址是否「冰钓攻击」,可通过例如CertiK的验证网站,查看有没有显示虚假审计或合作伙伴关系。 CertiK 亦建议用户使用代币批准工具和区块链浏览器,如Etherscan,来查看地址的交易记录。
如果看到一个不认识的地址,或者一个地址在未经批准下发起交易,应撤销其权限。用户可通过revoke.cash等网站,或将钱包连接到扫描网站来撤销。
如何防范冰钓攻击?
预防胜于治疗,要防范冰钓攻击,最佳简单方法是只登入信任的官方网站,而在Twitter 等社交网络上,可以发现许多冰钓攻击诈骗,包括利用虚假资料伪装成合法项目,并宣传虚假空投,因此用户使用社交网络时,要相当小心。
微软建议,用户应时刻检查合约地址是否正确、Web3 项目是否设有可以部署修复程序、合约是否具有事件响应或紧急功能,亦应了解可否暂停或取消。
另外,可通过defiyield 评估智能合约是否经过审计;CertiK Skynet 则可通过链上监控跟踪部署后的安全情报,亦可定期审查和撤销代币配额,如使用etherscan.io。
Tags: