La société de sécurité Blockchain CertiK a rappelé à la communauté cryptographique de rester vigilante face aux escroqueries «ice phishing» – un type unique d'escroquerie par hameçonnage ciblant les utilisateurs de Web3 – identifié pour la première fois par Microsoft plus tôt cette année.
Dans un rapport d'analyse du 20 décembre, CertiK décrit les escroqueries par hameçonnage de glace comme une attaque qui incite les utilisateurs Web3 à signer des autorisations qui finissent par permettre à un escroc de dépenser ses jetons.
Cela diffère des attaques de phishing traditionnelles qui tentent d'accéder à des informations confidentielles telles que des clés privées ou des mots de passe, comme les faux sites Web mis en place qui prétendaient aider Les investisseurs FTX récupèrent des fonds perdu au change.
1/ L'ice phishing est une menace considérable pour la communauté Web3
Au lieu d'accéder à votre clé privée, les escrocs vous incitent à signer des autorisations pour dépenser vos actifs.
Nous vous expliquons ci-dessous ce qu'il faut surveiller et comment vous protéger !
— Alerte CertiK (@CertiKAlert) 20 décembre 2022
Une escroquerie du 17 décembre où 14 singes ennuyés ont été volés est un exemple d'escroquerie complexe d'ice phishing. Un investisseur a été convaincu de signer une demande de transaction déguisée en contrat de film, ce qui a finalement permis à l'escroc de se vendre tous les singes de l'utilisateur pour un montant négligeable.
La société a noté que ce type d'escroquerie était une "menace considérable" que l'on ne trouve que dans le monde Web3, car les investisseurs sont souvent tenus de signer des autorisations pour les protocoles de finance décentralisée (DeFi) avec lesquels ils interagissent, ce qui pourrait être facilement falsifié.
"Le pirate a juste besoin de faire croire à un utilisateur que l'adresse malveillante à laquelle il accorde son approbation est légitime. Une fois qu'un utilisateur a approuvé les autorisations permettant à l'escroc de dépenser des jetons, les actifs risquent d'être épuisés. »
Une fois qu'un escroc a obtenu l'approbation, il peut transférer des actifs à l'adresse de son choix.
Pour se protéger de l'ice phishing, CertiK a recommandé aux investisseurs de révoquer les autorisations pour les adresses qu'ils ne reconnaissent pas sur les sites d'exploration de blockchain tels qu'Etherscan, à l'aide d'un outil d'approbation de jeton.
De plus, les adresses avec lesquelles les utilisateurs envisagent d'interagir doivent être recherchées sur ces explorateurs de blockchain pour toute activité suspecte. Dans son analyse, CertiK pointe une adresse qui a été financée par les retraits de Tornado Cash comme exemple d'activité suspecte.
CertiK a également suggéré que les utilisateurs ne doivent interagir qu'avec des sites officiels qu'ils sont en mesure de vérifier, et de se méfier particulièrement des sites de médias sociaux comme Twitter, en mettant en évidence un faux compte Twitter Optimism comme exemple.
La société a également conseillé aux utilisateurs de prendre quelques minutes pour vérifier un site de confiance tel que CoinMarketCap ou Coingecko, les utilisateurs auraient pu voir que l'URL liée n'était pas un site légitime et devrait être évitée.
Le géant de la technologie Microsoft a été le premier à mettre en avant cette pratique dans un blog du 16 février poster, affirmant à l'époque que si l'hameçonnage des informations d'identification est très prédominant dans le monde du Web2, l'ice phishing donne aux escrocs individuels la possibilité de voler une partie de l'industrie de la cryptographie tout en conservant «l'anonymat presque complet».
Ils ont recommandé que les projets Web3 et les fournisseurs de portefeuilles augmentent la sécurité de leurs services au niveau logiciel afin d'éviter que le fardeau d'éviter les attaques d'ice phishing ne soit placé uniquement sur l'utilisateur final.
Source : https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik