Ледяной фишинг: как обезопаситься от Web3-мошенничества
Ледяной фишинг — хакерская атака, при которой мошенники обманом убеждают подписать транзакцию, инициирующую передачу средств с вашего криптокошелька на их адрес.
Ice Phishing характерен только для Web3-направления. Он отличается от классического фишинга тем, что не подразумевает выманивания конфиденциальных данных, таких как пароли и закрытые ключи. Также при этом виде атаки злоумышленникам не обязательно создавать поддельный сайт или страницу в соцсетях компании, выдавая их за официальные. Они могут организовать новый проект, чтобы использовать его как приманку.
Ледяной фишинг достаточно распространенное явление. Отчасти, это связано с пользовательскими интерфейсами криптокошельков. Они не содержат полной информации о смарт-контрактах, которая могла бы их скомпрометировать. С другой стороны, многие участники Web3 не всегда могут отличить надежный криптовалютный проект от скама, что позволяет их обманывать.
Как происходит Ice-фишинг?
Для атаки ледяного фишинга злоумышленнику нужно создать вредоносный смарт-контракт и получить подтверждение от пользователя для перевода токенов. Затем автоматически проводится транзакция, при которой средства поступают с адреса жертвы на адрес мошенника.
Хакер маскирует вредоносный смарт-контракт под сайты, которые требуют согласия на подключение к ним криптокошелька. Обычно людей заманивают на такие ресурсы обещаниями бесплатных токенов и высоких вознаграждений.
Например, мошенник может разместить ссылку в соцсетях на якобы эйрдроп в надежде, что пользователи перейдут по ней и согласятся стать его жертвами.
Данная схема рассчитана на привлечение большого количества пользователей: хакеры сначала продолжительное время собирают соглашения, а затем списывают цифровые активы со всех адресов сразу.
Как предотвратить ледяной фишинг?
Прежде чем подключать криптокошелек к DeFi-приложению или другому dApp, нужно провести анализ проекта. Убедиться в безопасности ресурса можно с помощью обозревателей блокчейнов, например Etherscan. Они предоставляют историю транзакций платформы, фрагменты кода, текущее состояние, проведение аудитов и так далее.
Также проверяйте смарт-контракт с помощью обозревателя блоков. Правильно ли там указан ваш адрес, нет ли там посторонних адресов. Убедитесь, что смарт-контракт проходил аудит от компаний по кибербезопасности блокчейнов.
Внимательно изучите аккаунт в Твиттере, если хотите перейти по ссылке эйрдропа, которая там размещена. Всегда есть опасность случайно попасть на клона известного проекта, проводящего ледяной фишинг.
Поэтому следует ожидать последующего сообщения от аккаунта и быть внимательным к новостям, так как злоумышленники часто взламывают аккаунты известных личностей и компаний для проведения таких атак.
В общем, потратьте время на проверку легитимности и надежности проекта, сайта, страницы в соцсетях и смарт-контракта, иначе рискуете потерять накопленные токены из-за спешки и желания наживы.