区块链安全公司CertiK提醒加密社区对“Ice Phishing”骗局保持警惕,这是一种针对Web3用户的独特类型的网络钓鱼骗局,今年早些时候由微软首次发现。

在12月20日的一份分析报告中,CertiK将Ice Phishing骗局描述为一种欺骗Web3用户签署权限的攻击,最终允许诈骗者花费他们的代币。

这与传统的钓鱼攻击不同,传统的钓鱼攻击试图获取私钥或密码等机密信息,比如建立虚假网站,声称可以帮助FTX投资者追回在交易所损失的资金

12月17日,14个Bored Apes被盗,这是一个精心策划的Ice Phishing骗局。一名投资者被说服签署了一份伪装成电影合同的交易请求,最终使诈骗者以微不足道的价格将用户的所有Bored Apes出售给自己。

该公司指出,这种类型的骗局是只存在于Web3世界中的“相当大的威胁”,因为投资者通常需要签署他们与之交互的去中心化金融(DeFi)协议的许可,这很容易被伪造。

“黑客只需要让用户相信,他们批准的恶意地址是合法的。一旦用户批准了诈骗者花费代币的权限,那么资产就有被耗尽的风险。”

一旦骗子获得批准,他们就可以将资产转移到他们选择的地址。

Etherscan上Ice Phishing攻击如何运作的示例 来源:Certik

为了保护自己免受Ice Phishing的伤害,CertiK建议投资者使用代币授权工具撤销他们在Etherscan等区块链浏览器网站上不认识的地址的权限。

此外,应在这些区块链浏览器上查询用户计划与之互动的地址是否有可疑的活动。CertiK在分析中指出,一个由Tornado Cash提款提供资金的地址是可疑活动的一个例子。

CertiK还建议用户只与他们能够验证的官方网站交互,并特别警惕像推特这样的社交媒体网站,并以一个伪造的Optimism推特账户为例。

伪造的Optimism推特账户 来源:Certik

该公司还建议用户花几分钟时间检查可信网站,如CoinMarketCap或Coingecko,用户如果能够看到链接的URL不是一个合法的网站,应该避免访问。

科技巨头微软在2月16日的一篇博客文章中首次强调了这种行为,当时它表示,虽然证书网络钓鱼在Web2世界中非常盛行,但Ice Phishing使诈骗者能够在保持“几乎完全匿名”的情况下窃取加密行业的大量资金。

他们建议Web3项目和钱包提供商在软件层面上提高其服务的安全性,以避免将避Ice Phishing攻击的负担完全放在终端用户身上。