以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > USDC > Info

洗劫數百萬美元,警惕Web3.0獨有升級版釣魚攻擊Ice Phishing_ING

Author:

Time:1900/1/1 0:00:00

在眾多欺詐類別中,釣魚攻擊是欺詐者們最常使用的方式之一。然而,在Web3.0領域,不止有著釣魚攻擊,還有一種會對社區產生重大威脅的「IcePhishing」攻擊。2022年早些時候,微軟首次于blog中闡述了該類攻擊的具體形式——騙子無需騙取用戶的私鑰以及助記詞,而是直接誘使用戶批準將資產轉移到騙子錢包的操作。截至目前,IcePhishing已經造成了Web3.0領域數百萬美元的資產損失。什么是IcePhishing?

IcePhishing是一種Web3.0世界獨有的攻擊類型,用戶被誘騙簽署權限,允許欺詐者直接消費用戶賬戶內的資產。這與傳統的網絡釣魚攻擊不同,后者作為一種社會工程攻擊手段,通常用于竊取用戶數據,包括登錄憑證和錢包或資產信息,如私人鑰匙或密碼。IcePhishing相較于此,對Web3.0用戶具備更大的威脅——與DeFi協議的互動需要用戶授予權限,欺詐者只需要讓用戶相信他們所批準的惡意地址是合法的。一旦用戶批準欺詐者花費其資產,那么賬戶就有可能被盜。鏈上IcePhishing

Aave社區關于“棄用V2 AMM市場”的ARFC提案已獲投票通過:4月29日消息,Snapshot投票頁面顯示,Aave社區關于“棄用Aave V2 AMM市場”的ARFC提案投票已結束,并以99.99%的支持率獲得通過。

該提案表示,考慮到AMM V2市場的低使用率,以及現在唯一未凍結的資產是V2 ETH和V3 ETH上可用的主要資產(DAI, USDC, USDT, WBTC, ETH),因此建議棄用AMM V2市場。這包括將所有LP代幣的清算閾值設置為零,并凍結所有其他資產,凍結資產不會清算頭寸。目前Aave V2 AMM市場上有大約15萬美元的LP代幣存款。

接下來,該提案將進入AIP提案階段,并留出足夠的通知時間供用戶根據需要調整其倉位。[2023/4/29 14:34:23]

IcePhishing攻擊的第一階段往往是:受害者被騙,批準EOA或惡意合約來花費受害者錢包中的資產。下圖中的交易可作為示例:

Telegram錢包機器人推出支持購買、提取和交易比特幣的Web界面:4月23日消息,根據Telegram錢包機器人@wallet 4月21日發布的公告,該機器人推出了一項功能更新,@wallet用戶現在可以直接通過其更新的Web界面購買、提取、交易比特幣以及進行比特幣P2P交易。之前,比特幣只能在文本機器人中訪問,但現在@wallet中所有用戶都將能夠使用該Web界面。此外該平臺的新特性之一是更新的交易接口。通過這個新的錢包交易接口,用戶可即時交易BTC、USDT和TON代幣。此外,交換對總數增加到6個。

此前消息,TON基金會已向Telegram添加了加密支付功能,用戶可通過Telegram“@wallet(錢包)”機器人功能購買比特幣。去年11月消息,Telegram錢包機器人已支持在應用聊天界面直接交易TON代幣。[2023/4/23 14:21:01]

調查:55%的美國人認為加密貨幣不安全:金色財經報道,YouGov公司對1200名美國公民進行了調查,數據顯示,只有18%的受訪者表示他們認為加密貨幣是安全的,而55%的人表示非常危險或有些不安全。調查結果還顯示,許多美國人希望美國政府加強對加密貨幣的監管,其中46%的受訪者表示他們支持加密貨幣監管。

另外,66%的美國人知道FTX崩潰以及其創始人被捕事件。大多數接受調查的人,尤其是年長的美國人和從事加密工作的人,認為SBF將被判有罪,他應該為此被判入獄。[2023/1/3 22:23:25]

來源:Etherescan下一階段則是釣魚地址發起TransferFrom交易,該交易將資產從受害者轉移到欺詐者選擇的地址。在下圖的例子中,USDT被轉移到0x9ca3b...

成都發布培育元宇宙產業行動方案:金色財經報道,成都發布《成都市培育元宇宙產業行動方案(2022—2025年)(征求意見稿)》(簡稱:行動方案)。《行動方案》顯示,力爭到2025年,成都元宇宙產業體系初具雛形,構建起完整的成都元宇宙產業鏈。成都在元宇宙產業發展方面將從核心技術、市場主體、應用場景、內容儲備、創新生態等五個方面著力。據介紹,成都將主動把握元宇宙產業發展機遇,加快推動成都元宇宙產業建圈強鏈,培育城市元宇宙優勢賽道和未來場景,努力在元宇宙競爭中高位筑基、贏得主動、形成引領,助力“智慧蓉城”建設和數字經濟發展。[2022/11/23 8:00:28]

來源:Etherescan我們可以看到,欺詐者啟動了受害者和接收者之間的交易。這里需要強調的是,收款人地址不一定是對你進行詐騙的錢包,而是發起交易的錢包。欺詐者往往將用戶的資金發送到他們控制的第二個EOA。從下圖的交易流程中可以看出:

韓國前財政部長加入Hashed Open Research,以推廣區塊鏈行業:8月28日消息,韓國前財政部長Kim Yong-beom以顧問身份加入區塊鏈VC Hashed的研究部門,幫助研究加密領域監管政策。他表示,加密技術有潛力在未來的幾十年內為韓國的經濟發展提供動力,同時,他認為只有以新技術為基礎,韓國才有成為世界經濟強國的可能性。(Bitcoinist)[2022/8/28 12:53:59]

來源:CertiK如果你在錢包里看到可疑的交易,就需要檢查一下發起的EOA是否被授予了花費你資產的權限。你可以在Etherscan或Debank等掃描系統上自行檢查。

來源:Etherescan如果你看到一個你不認識的地址,或者一個未經你批準就啟動交易的地址,那么請立即撤銷權限。如何通過掃描網站撤銷權限?1.訪問https://etherscan.io/tokenapprovalchecker并搜索錢包2.連接錢包3.點擊ERC-20、ERC-721或ERC-1155標簽,找到你想撤銷的地址。4.點擊撤銷按鈕如何辨認IcePhishing?

用戶判定自己是否落入IcePhishing陷阱的第一個辨認信號就是查看他們正在使用的URL或DApp。惡意網站會山寨合法項目的頁面,或者假冒合法機構的合作方。比如我們經常會看到一些詐騙網站掛著與CertiK的合作關系或是上傳山寨的CertiK審計報告。下方是眾多假冒礦池事件的其中一例,它違法使用了CertiK的logo與其它正規機構的相關標志。

來源:CertiK調查團隊如果在這個網站上簽署批準,就會允許一個惡意的EOA從你的錢包中無限制花費USDT——這基本上意味著你擁有的所有USDT都處于風險之中。

來源:MetaMask通過登錄certik.com來查驗,你會發現本例中的上述網站并非CertiK的合作伙伴。如果你有相關需求,可以通過點擊CertiK官網上的“ReportanIncident”與CertiK的事件響應團隊聯系。

用戶可以在certik.com上提交惡意合約的報告一些鏈上檢查是用戶可以通過自己DYOR來進行的,比如將的DApp或URL上呈現的地址通過掃描網站來查看其是否有可疑活動。在下方的例子中,我們在EOA0x13a...5dE49上檢測到疑似IcePhishing的活動,并發現它是由Tornado.Cash提款資助的。

來源:Etherescan在進一步調查后,我們發現0x13a…5dE49將Pulse社區作為目標,其主要社區成員已警告了用戶IcePhishing的危險性。

來源:推特通過調查一些受害者的錢包和社交媒體上的投訴發文,我們發現了一個假的MaximusDAO推特頁面,這很可能與IcePhishing錢包有關。如何保護自己?

防止自己成為IcePhishing受害者的最簡單方法就是訪問可信的網站以驗證信息真實性,如Coinmarketcap.com、coingecko.com和certik.com。許多IcePhishing的騙局可以在社交媒體上找到,比如一些欺詐項目會偽造成合法項目并宣傳空投之類的虛假活動。在下圖示例中,我們可以看到一個假的Optimism推特賬戶在宣傳一個釣魚網站。

來源:@CertiKAlert請花點時間來驗證你正在互動的URL或DApp是否合法。如果不確定,可以通過訪問可信的來源進行雙重檢查。寫在最后

釣魚網站是我們在Web3.0領域看到最常見的詐騙類型之一,用戶有時甚至無法意識到他們已經落入陷阱,因為他們沒有給出任何敏感信息。因此除了你靠自己進行一番鏈上檢查以外,也需要花費更多的時間來仔細檢查互動的URL是否經過可信來源的驗證——這些花費的時間總有一天給你回報。

Tags:INGPHIEPHSHINothingMorphie NetworkEPHIATMeta Shiba BSC

USDC
Messari:一覽2023年以太坊和Layer 1的主要趨勢_QUO

Messari報告對以太坊的2022年進行了概述,同時對2023年的轉機進行了預測,在新的一年為區塊鏈原住民的決策提供參考.

1900/1/1 0:00:00
如何通過Emblem Vault讓比特幣NFT在以太坊上流通?_NFT

在比特幣NFT「開荒進行時」:Ordinals協議、FOMO和爭論一文中,筆者向大家介紹了當前比特幣NFT的交易難題——沒有交易市場,全憑OTC.

1900/1/1 0:00:00
以太坊合并后,DVT分布式驗證將成為重要的關鍵性技術_DVT

2022年9月15日,以太坊區塊鏈完成了7年以來最重要的合并,即從PoW過渡到權益證明PoS共識機制.

1900/1/1 0:00:00
《金融時報》:華爾街著名律師事務所是如何陷入FTX風波的?_FTX

AlgernonSydneySullivan和WilliamNelsonCromwell于1879年開設他們的同名律師事務所Sullivan&Cromwell.

1900/1/1 0:00:00
揭秘SUDO空投大贏家:如何獲得價值百萬美元空投?_UDO

1月31日,NFT交易協議sudoswap正式發布治理代幣SUDO并開啟治理模塊,SUDO的Lockdrop和Airdrop也正式開放.

1900/1/1 0:00:00
Zhu Su的新加密債權市場OPNX,想來解救我的“被困”加密資產?_PNX

Odaily星球日報譯者|Moni 2月12日,三箭資本創始人最新推出的加密債權交易市場OpenExchange在社交媒體披露數據,該市場上線短短2天就吸引了超3600人注冊.

1900/1/1 0:00:00
ads