洗劫數百萬美元，警惕Web3.0獨有升級版釣魚攻擊Ice Phishing

特邀专栏作者

2023-01-23 10:30

本文約1642字，閱讀全文需要約3分鐘

Ice Phishing已經造成了Web3.0領域數百萬美元的資產損失。

在眾多欺詐類別中，釣魚攻擊是欺詐者們最常使用的方式之一。

然而，在Web3.0 領域，不止有著釣魚攻擊，還有一種會對社區產生重大威脅的「Ice Phishing」攻擊。

2022 年早些時候，微軟首次於blog 中闡述了該類攻擊的具體形式——騙子無需騙取用戶的私鑰以及助記詞，而是直接誘使用戶批准將資產轉移到騙子錢包的操作。

截至目前，Ice Phishing 已經造成了Web3.0 領域數百萬美元的資產損失。

什麼是Ice Phishing？

Ice Phishing 是一種Web3.0 世界獨有的攻擊類型，用戶被誘騙簽署權限，允許欺詐者直接消費用戶賬戶內的資產。

這與傳統的網絡釣魚攻擊不同，後者作為一種社會工程攻擊手段，通常用於竊取用戶數據，包括登錄憑證和錢包或資產信息，如私人鑰匙或密碼。

Ice Phishing 相較於此，對Web3.0 用戶具備更大的威脅——與DeFi 協議的互動需要用戶授予權限，欺詐者只需要讓用戶相信他們所批准的惡意地址是合法的。一旦用戶批准欺詐者花費其資產，那麼賬戶就有可能被盜。

圖片描述

來源：Etherescan

如果你看到一個你不認識的地址，或者一個未經你批准就啟動交易的地址，那麼請立即撤銷權限（可以通過訪問revoke.cash 等網站或將你的錢包連接到掃描系統來撤銷）。

2. 連接錢包

3. 點擊ERC-20、ERC-721 或ERC-1155 標籤，找到你想撤銷的地址。

4. 點擊撤銷按鈕

用戶判定自己是否落入Ice Phishing 陷阱的第一個辨認信號就是查看他們正在使用的URL 或DApp。

惡意網站會山寨合法項目的頁面，或者假冒合法機構的合作方。

圖片描述

用戶可以在certik.com 上提交惡意合約的報告

圖片描述

來源：推特

通過調查一些受害者的錢包和社交媒體上的投訴發文，我們發現了一個假的Maximus DAO 推特頁面，這很可能與Ice Phishing 錢包有關。

防止自己成為Ice Phishing 受害者的最簡單方法就是訪問可信的網站以驗證信息真實性，如Coinmarketcap.com、coingecko.com 和certik.com。

圖片描述

寫在最後

釣魚網站是我們在Web3.0 領域看到最常見的詐騙類型之一，用戶有時甚至無法意識到他們已經落入陷阱，因為他們沒有給出任何敏感信息。

因此除了你靠自己進行一番鏈上檢查以外，也需要花費更多的時間來仔細檢查互動的URL 是否經過可信來源的驗證——這些花費的時間總有一天給你回報。

安全

歡迎加入Odaily官方社群

訂閱群

交流群

官方賬號

交流群