شرکت امنیت بلاک چین CertiK به جامعه رمزارز یادآوری کرده است که نسبت به کلاهبرداری های «فیشینگ» هوشیار باشند که یک نوع منحصربفرد از کلاهبرداری فیشینگ که کاربران Web3 را هدف قرار میدهد و اولین بار توسط مایکروسافت در اوایل سال جاری شناسایی شد. در ادامه اخبار ارز دیجیتال با تیم فیبوتک همراه باشید.
در یک گزارش تحلیلی در 20 دسامبر، CertiK کلاهبرداری های فیشینگ را به عنوان حمله ای توصیف کرد که کاربران Web3 را فریب میدهد تا مجوزهایی را امضا کنند که در نهایت به یک کلاهبردار اجازه میدهد تا توکن های خود را خرج کند. این با حملات فیشینگ سنتی که تلاش میکنند از طریق روشهایی مانند وبسایتهای جعلی که ادعا میکنند به سرمایهگذاران FTX کمک میکنند وجوه از دست رفته خود را بازیابی کنند، به اطلاعات محرمانه مانند کلیدهای خصوصی یا رمزهای عبور دسترسی پیدا میکنند، متفاوت است.
کلاهبرداری 17 دسامبر که در آن 14 میمون Bored به سرقت رفتند، نمونه ای از یک حمله فیشینگ پیچیده است. یک سرمایهگذار متقاعد شد که یک درخواست معامله را امضا کند که به عنوان یک قرارداد فیلم پنهان شده بود و در نهایت کلاهبردار را قادر میسازد تا تمام میمونهای کاربر را به مبلغ ناچیزی به خودش بفروشد. این شرکت خاطرنشان کرد که این نوع کلاهبرداری یک “تهدید قابل توجه” است و فقط در دنیای وب 3 یافت می شود، جایی که سرمایه گذاران اغلب ملزم به امضای مجوز برای پروتکل های مالی غیرمتمرکز (Defi) هستند که به راحتی قابل جعل هستند.
هنگامی که یک کلاهبردار تاییدیه را به دست آورد، میتواند دارایی ها را به آدرسی که انتخاب میکند منتقل کند.
برای محافظت از خود در برابر فیشینگ، CertiK توصیه کرد که سرمایهگذاران از یک ابزار تأیید رمز و یک سایت کاوشگر بلاکچین مانند Etherscan برای لغو مجوزهای آدرسهایی که نمیشناسند استفاده کنند. علاوه بر این، آدرسهایی که کاربران قصد دارند با آنها تعامل داشته باشند، باید در این کاوشگرهای بلاک چین برای فعالیت مشکوک جستجو شوند. CertiK در تجزیه و تحلیل خود به آدرسی اشاره میکند که با برداشت Tornado Cash به عنوان نمونه ای از فعالیت های مشکوک تامین شده است.
CertiK همچنین پیشنهاد کرد که کاربران فقط باید با سایتهای رسمی تعامل داشته باشند که میتوانند آنها را تأیید کنند و بهویژه مراقب سایتهای رسانههای اجتماعی مانند توییتر باشند، و به عنوان مثال یک حساب کاربری جعلی Optimism Twitter را برجسته میکند.
این شرکت همچنین به کاربران توصیه کرد که چند دقیقه وقت بگذارند تا یک سایت قابل اعتماد مانند CoinMarketCap یا CoinGecko را بررسی کنند تا مطمئن شوند که یک URL به یک سایت قانونی پیوند دارد. غول فناوری مایکروسافت اولین کسی بود که این رویه را در یک پست وبلاگی در 16 فوریه برجسته کرد و در آن زمان گفت که در حالی که فیشینگ اعتباری در دنیای Web2 بسیار غالب است، فیشینگ به کلاهبرداران فردی توانایی سرقت بخشی از صنعت کریپتو را میدهد.
آنها توصیه کردند که پروژه های Web3 و ارائه دهندگان کیف پول، امنیت نرم افزار خود را افزایش دهند تا از بار اجتناب از حملات فیشینگ که صرفاً بر دوش کاربر نهایی قرار می گیرد، جلوگیری کنند.