洗劫數百萬美元，警惕Web3.0獨有升級版釣魚攻擊Ice Phishing_SHI

在眾多欺詐類別中，釣魚攻擊是欺詐者們最常使用的方式之一。

然而，在Web3.0??領域，不止有著釣魚攻擊，還有一種會對社區產生重大威脅的「IcePhishing」攻擊。

2022?年早些時候，微軟首次于?blog?中闡述了該類攻擊的具體形式——騙子無需騙取用戶的私鑰以及助記詞，而是直接誘使用戶批準將資產轉移到騙子錢包的操作。

截至目前，IcePhishing?已經造成了Web3.0?領域數百萬美元的資產損失。

什么是?IcePhishing？

IcePhishing?是一種Web3.0?世界獨有的攻擊類型，用戶被誘騙簽署權限，允許欺詐者直接消費用戶賬戶內的資產。

比特幣即將創下連續13年的市場價值記錄:金色財經報道，到今年年底，比特幣即將創下連續13年的市場價值記錄。這13年中有7年圣誕節前后比特幣價格出現了“圣誕老人的反彈”（價格上漲），一直到元旦。13年中有5年從12月1日到12月31日出現了熊市的回報。離2022年結束還有5天，但目前的市場行動似乎指向本月的負回報。[2022/12/27 22:09:12]

這與傳統的網絡釣魚攻擊不同，后者作為一種社會工程攻擊手段，通常用于竊取用戶數據，包括登錄憑證和錢包或資產信息，如私人鑰匙或密碼。

Ice?Phishing?相較于此，對Web3.0?用戶具備更大的威脅——與?DeFi?協議的互動需要用戶授予權限，欺詐者只需要讓用戶相信他們所批準的惡意地址是合法的。一旦用戶批準欺詐者花費其資產，那么賬戶就有可能被盜。

觀點：絕大多數被迫拋售已經發生，市場似乎相對穩定:金色財經消息，圖表中的相對穩定助長了人們的希望，即在Terra事件后，危機可能已經結束，這場崩盤還導致對沖基金三箭資本和經紀公司Voyager Digital相繼宣布破產。Glassnode首席分析師James Check表示，盡管加密世界的很多杠桿都沒有記錄在區塊鏈上，因此不受審查，但可見的情況令人鼓舞。“我認為絕大多數被迫拋售已經發生，”Check在接受采訪時表示，“從本質上講，市場似乎相對穩定。”

Check同時警告稱，現在市場還剩下兩個重要的潛在賣方，其中一方是比特幣礦工，他們的礦機價值隨著代幣的價格暴跌——如果Celsius的挖礦子公司開始卸載其80850臺鉆機中的一部分來籌集資金，這種壓力可能會加劇。另一方是交易員，如果股市再次崩盤，他們會不加區分地拋售各種風險資產。（彭博社）[2022/7/17 2:18:15]

鏈上?IcePhishing

Shiba Inu計劃推出二層網絡、穩定幣、卡牌游戲等一系列新產品:7月7日消息，SHIB首席開發者Shytoshi Kusama發文透露，其計劃通過一種名為SHI的去中心化穩定幣、一種名為TREAT的獎勵代幣以及一款用于元宇宙的可收藏卡牌游戲來擴展Shiba Inu的生態系統。

去中心化穩定幣SHI的具體運行機制未披露，但其計劃在2022年晚些時候推出。TREAT是SHIB元宇宙即將推出的獎勵代幣，將與Shiba收藏卡牌游戲相關聯，該代幣還將幫助為柴犬的穩定幣提供平衡。Kusama為透露TREAT具體是如何運行的，但稱TREAT是供應量是有限的。

作為該計劃的一部分，開發人員正在開發生態系統自己的第二層協議Shibarium，該協議將支持原生應用的部署和開發，包括名為BONE的GAS代幣。該團隊正在單獨構建一個以10萬塊地塊作為虛擬房地產的元宇宙項目，可收藏卡牌游戲將涵蓋在Shiba的元宇宙中。（CoinDesk）[2022/7/7 1:56:59]

IcePhishing?攻擊的第一階段往往是：受害者被騙，批準?EOA?或惡意合約來花費受害者錢包中的資產。

下圖中的交易可作為示例：

來源：Etherescan

如果你看到一個你不認識的地址，或者一個未經你批準就啟動交易的地址，那么請立即撤銷權限。

如何通過掃描網站撤銷權限？

1.訪問?https://etherscan.io/tokenapprovalchecker?并搜索錢包

2.連接錢包

3.點擊?ERC-20、ERC-721?或?ERC-1155?標簽，找到你想撤銷的地址。

4.點擊撤銷按鈕

如何辨認?IcePhishing？

用戶判定自己是否落入?IcePhishing?陷阱的第一個辨認信號就是查看他們正在使用的?URL?或?DApp。

惡意網站會山寨合法項目的頁面，或者假冒合法機構的合作方。

比如我們經常會看到一些詐騙網站掛著與?CertiK?的合作關系或是上傳山寨的?CertiK?審計報告。

下方是眾多假冒礦池事件的其中一例，它違法使用了?CertiK?的?logo?與其它正規機構的相關標志。

來源：推特

通過調查一些受害者的錢包和社交媒體上的投訴發文，我們發現了一個假的?MaximusDAO?推特頁面，這很可能與?IcePhishing?錢包有關。

如何保護自己？

防止自己成為?IcePhishing?受害者的最簡單方法就是訪問可信的網站以驗證信息真實性，如?Coinmarketcap.com、coingecko.com?和?certik.com。

許多?IcePhishing?的騙局可以在社交媒體上找到，比如一些欺詐項目會偽造成合法項目并宣傳空投之類的虛假活動。

在下圖示例中，我們可以看到一個假的?Optimism?推特賬戶在宣傳一個釣魚網站。

來源：@CertiKAlert

請花點時間來驗證你正在互動的?URL?或?DApp?是否合法。如果不確定，可以通過訪問可信的來源進行雙重檢查。

寫在最后

釣魚網站是我們在Web3.0?領域看到最常見的詐騙類型之一，用戶有時甚至無法意識到他們已經落入陷阱，因為他們沒有給出任何敏感信息。

因此除了你靠自己進行一番鏈上檢查以外，也需要花費更多的時間來仔細檢查互動的?URL?是否經過可信來源的驗證——這些花費的時間總有一天給你回報。

Tags：SHIINGPHIICEFSHIBKing of Legendsphi幣項目方METAVICE幣

SOL