วิธีหลีกเลี่ยงการติดกับดักของนักต้มตุ๋น crypto 'ice phishing'

บริษัทรักษาความปลอดภัยบล็อคเชน CertiK ได้เตือนชุมชน crypto ให้ตื่นตัวอยู่เสมอเกี่ยวกับการหลอกลวงแบบ “ice phishing” ซึ่งเป็นการหลอกลวงแบบฟิชชิ่งที่ไม่เหมือนใครซึ่งกำหนดเป้าหมายไปที่ผู้ใช้ Web3 ซึ่งตรวจพบครั้งแรกโดย Microsoft เมื่อต้นปีนี้

ในรายงานการวิเคราะห์เมื่อวันที่ 20 ธันวาคม CertiK อธิบาย การหลอกลวงแบบฟิชชิงน้ำแข็งเป็นการโจมตีที่หลอกผู้ใช้ Web3 ให้ลงนามสิทธิ์ ซึ่งท้ายที่สุดแล้วการอนุญาตให้นักต้มตุ๋นใช้โทเค็นของตนได้

ซึ่งแตกต่างจากการโจมตีแบบฟิชชิ่งแบบดั้งเดิมที่พยายามเข้าถึงข้อมูลที่เป็นความลับ เช่น คีย์ส่วนตัวหรือรหัสผ่าน เช่น เว็บไซต์ปลอมที่ตั้งค่าไว้ซึ่งอ้างว่าช่วย นักลงทุน FTX กู้คืนเงินทุน สูญเสียในการแลกเปลี่ยน

#CertiKskynetAlert
1/ ไอซ์ฟิชชิงเป็นภัยคุกคามที่สำคัญต่อชุมชน Web3
แทนที่จะเข้าถึงคีย์ส่วนตัวของคุณ สแกมเมอร์จะหลอกให้คุณเซ็นสิทธิ์เพื่อใช้ทรัพย์สินของคุณ
เราจะสรุปสิ่งที่ต้องระวังและวิธีป้องกันตัวเองด้านล่าง!
– CertiK Alert (@CertiKAlert) December 20, 2022

17 ธ.ค. หลอกลวงที่ไหน ลิงเบื่อ 14 ตัวถูกขโมย เป็นตัวอย่างของกลลวงฟิชชิ่งน้ำแข็งที่ซับซ้อน นักลงทุนคนหนึ่งถูกโน้มน้าวให้ลงนามในคำขอธุรกรรมที่ปลอมเป็นสัญญาภาพยนตร์ ซึ่งท้ายที่สุดแล้วทำให้นักต้มตุ๋นสามารถขายลิงทั้งหมดของผู้ใช้ให้กับตนเองด้วยจำนวนเงินเพียงเล็กน้อย

บริษัทตั้งข้อสังเกตว่าการหลอกลวงประเภทนี้เป็น "ภัยคุกคามที่สำคัญ" ที่พบในโลกของ Web3 เท่านั้น เนื่องจากนักลงทุนมักต้องลงนามอนุญาตสำหรับโปรโตคอลการเงินแบบกระจายอำนาจ (DeFi) ที่โต้ตอบด้วย ซึ่งอาจปลอมแปลงได้ง่าย

“แฮ็กเกอร์เพียงแค่ต้องทำให้ผู้ใช้เชื่อว่าที่อยู่ที่เป็นอันตรายซึ่งพวกเขาอนุญาตให้อนุมัตินั้นถูกต้องตามกฎหมาย เมื่อผู้ใช้อนุมัติการอนุญาตให้สแกมเมอร์ใช้โทเค็นแล้ว สินทรัพย์นั้นมีความเสี่ยงที่จะถูกระบายออก”

เมื่อสแกมเมอร์ได้รับการอนุมัติแล้ว พวกเขาจะสามารถโอนทรัพย์สินไปยังที่อยู่ที่พวกเขาเลือกได้

*ตัวอย่างของการโจมตีด้วยฟิชชิงน้ำแข็งบน Etherscan ที่มา: Certik*

เพื่อป้องกันตนเองจากการฟิชชิงน้ำแข็ง CertiK แนะนำให้นักลงทุนเพิกถอนการอนุญาตสำหรับที่อยู่ที่พวกเขาไม่รู้จักบนไซต์ blockchain explorer เช่น Etherscan โดยใช้เครื่องมืออนุมัติโทเค็น

ที่เกี่ยวข้อง ผู้ร่วมก่อตั้ง OneCoin หลอกลวงมูลค่า 4 พันล้านดอลลาร์ ยอมรับโทษจำคุก 60 ปี

นอกจากนี้ ควรค้นหาที่อยู่ที่ผู้ใช้วางแผนที่จะโต้ตอบด้วยใน blockchain explorer เหล่านี้เพื่อหากิจกรรมที่น่าสงสัย ในการวิเคราะห์ CertiK ชี้ไปยังที่อยู่ที่ได้รับทุนจากการถอนเงินสดของ Tornado เป็นตัวอย่างของกิจกรรมที่น่าสงสัย

CertiK ยังแนะนำว่าผู้ใช้ควรโต้ตอบกับเว็บไซต์ทางการที่สามารถตรวจสอบได้เท่านั้น และให้ระวังเว็บไซต์โซเชียลมีเดียอย่าง Twitter โดยเฉพาะ โดยเน้นที่บัญชี Optimism Twitter ปลอมเป็นตัวอย่าง

*บัญชี Twitter Optimism ปลอม ที่มา: Certik*

บริษัทยังแนะนำให้ผู้ใช้ใช้เวลาสองสามนาทีในการตรวจสอบเว็บไซต์ที่เชื่อถือได้ เช่น CoinMarketCap หรือ Coingecko ผู้ใช้จะสามารถเห็นว่า URL ที่เชื่อมโยงนั้นไม่ใช่เว็บไซต์ที่ถูกต้องและควรหลีกเลี่ยง

Microsoft ยักษ์ใหญ่ด้านเทคโนโลยีเป็นคนแรกที่เน้นแนวทางปฏิบัตินี้ในบล็อกเมื่อวันที่ 16 กุมภาพันธ์ เสาโดยกล่าวว่าในขณะที่การฟิชชิงข้อมูลประจำตัวนั้นแพร่หลายมากในโลกของ Web2 ฟิชชิ่งน้ำแข็งช่วยให้นักต้มตุ๋นแต่ละคนสามารถขโมยอุตสาหกรรม crypto ในขณะที่ยังคงรักษา "การไม่เปิดเผยตัวตนเกือบสมบูรณ์"

พวกเขาแนะนำให้โครงการ Web3 และผู้ให้บริการกระเป๋าเงินเพิ่มความปลอดภัยในบริการของตนในระดับซอฟต์แวร์ เพื่อป้องกันภาระในการหลีกเลี่ยงการโจมตีด้วยฟิชชิงน้ำแข็งที่ผู้ใช้ปลายทางแต่เพียงผู้เดียว