Крижаний фішинг: як убезпечити себе від Web3-шахрайства
Крижаний фішинг — хакерська атака, за якої шахраї обманом переконують підписати транзакцію, що ініціює переказ коштів з вашого криптогаманця на їхню адресу.
Ice Phishing характерний лише для Web3. Він відрізняється від класичного фішингу тим, що не передбачає виманювання конфіденційних даних, таких як паролі та закриті ключі. Також для цієї атаки зловмисникам не обов'язково створювати підроблений сайт чи сторінку в соцмережах компанії, видаючи їх за офіційні. Вони можуть організувати новий проєкт, щоб використовувати його як приманку.
Крижаний фішинг досить поширене явище. Частково це пов'язано з інтерфейсами криптогаманців. Вони не містять повної інформації про смартконтракти, яка могла б їх скомпрометувати. З іншого боку, багато учасників Web3 не завжди можуть відрізнити надійний криптовалютний проєкт від скаму, що дозволяє ввести їх в оману.
Як відбувається Ice-фішинг?
Для атаки крижаного фішингу зловмиснику потрібно створити фальшивий смартконтракт і отримати підтвердження від користувача для переказу токенів. Потім автоматично проводиться транзакція, коли кошти надходять з адреси жертви на адресу шахрая.
Хакер маскує небезпечний смартконтракт під сайти, які вимагають згоди на під’єднання до них криптогаманця. Зазвичай людей заманюють на такі ресурси обіцянками безкоштовних токенів та високих винагород.
Наприклад, шахрай може розмістити посилання в соцмережах на нібито ейрдроп, сподіваючись, що користувачі перейдуть за ним і погодяться стати його жертвами.
Ця схема розрахована на залучення великої кількості користувачів. Хакери спочатку тривалий час збирають згоди користувачів, а потім списують цифрові активи з усіх адрес відразу.
Як уникнути крижаного фішингу?
Перш ніж під’єднати криптогаманець до DeFi-застосунку або іншого dApp, потрібно провести аналіз проєкту. Переконатись у безпеці ресурсу можна за допомогою оглядачів блокчейнів, наприклад Etherscan. Вони надають історію транзакцій платформи, фрагменти коду, теперішній стан, проведення аудитів тощо.
Також перевіряйте смартконтракт за допомогою оглядача блоків. Чи правильно там вказано вашу адресу, чи немає сторонніх адрес. Переконайтеся, що смартконтракт проходив аудит від компаній із кібербезпеки блокчейнів.
Уважно вивчіть обліковий запис у твітері, якщо хочете перейти за посиланням ейрдропа, яке розміщено у ньому. Завжди є небезпека випадково потрапити на клон відомого проєкту, що проводить крижаний фішинг.
Тому слід очікувати подальшого повідомлення від облікового запису та слідкувати за новинами, оскільки зловмисники часто зламують облікові записи відомих осіб та компаній для проведення таких атак.
Загалом, витратьте час на перевірку легітимності та надійності проєкту, сайту, сторінки в соцмережах та смартконтракту, інакше ризикуєте втратити накопичені токени через поспіх і бажання наживи.