微软已警告影响区块链技术和 Web3 的新威胁,包括“冰上网络钓鱼”活动。
区块链、去中心化技术、DeFi、智能合约、“元界”概念和 Web3——建立在区块链项目基础的加密系统之上的去中心化基础——都有可能对我们的理解和理解方式产生根本性的改变。立即体验连接。
然而,随着每一项技术创新,也可能为网络攻击者创造新的途径,Web3 也不例外。
当今最常见的威胁包括通过电子邮件和社交媒体平台进行的大量垃圾邮件和网络钓鱼、社会工程和漏洞利用。
2 月 16 日,Microsoft 365 Defender 研究团队表示,网络钓鱼已经蔓延到区块链、托管钱包和智能合约——“重申这些威胁的持久性以及安全基础的必要性。内置到相关的未来系统和框架中。”
微软的网络安全研究人员表示,针对 Web3 和区块链的网络钓鱼攻击可以采取多种形式。
需要注意的威胁之一是攻击者试图获取私有加密密钥以访问包含数字资产 的钱包。
虽然确实发生了电子邮件网络钓鱼尝试,但社交媒体诈骗却很普遍。例如,诈骗者可能会向用户发送直接消息,公开寻求加密货币服务的帮助——并且假装来自支持团队,他们会要求提供密钥。
另一种策略是在社交媒体网站上为免费代币发起虚假空投,当用户试图访问他们的新资产时,他们会被重定向到恶意域,这些域要么试图窃取凭据,要么在受害者的机器上执行加密劫持恶意软件有效载荷。
此外,众所周知,网络犯罪分子会进行抢注以冒充合法的区块链和加密货币服务。他们注册包含小错误或更改的网站域——例如cryptocur ency.com而不是cryptocurrency.com——并设置钓鱼网站直接窃取密钥。
Ice 网络钓鱼是不同的,它完全忽略了私钥。这种攻击方法试图欺骗受害者签署交易,将用户代币的批准交给犯罪分子。
例如,此类交易可用于 DeFi 环境和智能合约,以允许进行代币交换。
“一旦批准交易被签署、提交和挖掘,消费者就可以使用这些资金,”微软指出。“如果发生‘冰网络钓鱼’攻击,攻击者可以在一段时间内积累批准,然后迅速耗尽所有受害者的钱包。”
冰上网络钓鱼最引人注目的例子是去年的 BadgerDAO 妥协。攻击者能够破坏 BadgerDAO 的前端以获得对 Cloudflare API 密钥的访问权限,然后恶意脚本从 Badger 智能合约中注入并删除。
选择余额高的客户,并要求他们签署欺诈性交易批准书。BadgerDAO 在网络钓鱼攻击的事后分析中表示,“该脚本拦截了 Web3 交易并提示用户允许外国地址批准在其钱包中的 ERC-20 代币上进行操作。”
BadgerDAO 说:“在网络钓鱼多次批准后,一个资金账户向开发者的账户发送了 8 个 ETH,以推动对用户批准的代币的一系列 transferFrom 调用。” “这使得攻击者可以代表用户将资金转移到其他账户,然后清算资金并通过 Badger Bridge 转移到 BTC。”
大约 1.21 亿美元被盗。审计和恢复计划正在进行中。
“Badger DAO 攻击凸显了在 Web3 处于发展和采用的早期阶段时,需要在 Web3 中构建安全性,”微软表示。“在较高的层面上,我们建议软件开发人员提高 Web3 的安全可用性。与此同时,最终用户需要通过额外的资源来明确验证信息,例如查看项目的文档和外部声誉/信息网站。”
