Kompania e sigurisë Blockchain CertiK i ka kujtuar komunitetit të kriptove që të qëndrojë vigjilent mbi mashtrimet e "fishing akullit" - një lloj unik mashtrimi phishing që synon përdoruesit e Web3 - i identifikuar për herë të parë nga Microsoft në fillim të këtij viti.
Në një raport analize të 20 dhjetorit, CertiK përshkruar Mashtrimet e phishing në akull si një sulm që mashtron përdoruesit e Web3 në nënshkrimin e lejeve të cilat përfundojnë duke lejuar një mashtrues të shpenzojë argumentet e tyre.
Ky ndryshon nga sulmet tradicionale të phishing që përpiqen të kenë akses në informacione konfidenciale si çelësat privatë ose fjalëkalimet, si p.sh. uebsajtet e rreme të krijuara të cilat pretendonin se ndihmonin Investitorët FTX rikuperojnë fondet humbur në shkëmbim.
1/ Fishing në akull është një kërcënim i konsiderueshëm për komunitetin Web3
Në vend që të fitojnë akses në çelësin tuaj privat, mashtruesit ju mashtrojnë për të nënshkruar lejet për të shpenzuar pasuritë tuaja.
Më poshtë do të përshkruajmë se çfarë duhet të keni kujdes dhe si të mbroheni!
— CertiKAlert (@CertiKAlert) Dhjetor 20, 2022
Një mashtrim i 17 dhjetorit ku U vodhën 14 majmunë të mërzitur është një shembull i një mashtrimi të përpunuar të phishing në akull. Një investitor ishte i bindur të nënshkruante një kërkesë transaksioni të maskuar si një kontratë filmi, e cila në fund i mundësoi mashtruesit t'i shiste vetes të gjithë majmunët e përdoruesit për një shumë të papërfillshme.
Firma vuri në dukje se ky lloj mashtrimi ishte një "kërcënim i konsiderueshëm" që gjendet vetëm në botën e Web3, pasi investitorëve shpesh u kërkohet të nënshkruajnë leje për protokollet e financave të decentralizuara (DeFi) me të cilat ndërveprojnë, të cilat mund të falsifikohen lehtësisht.
“Hakeri thjesht duhet të bëjë që një përdorues të besojë se adresa me qëllim të keq që ata po i japin miratimin është e ligjshme. Sapo një përdorues të ketë miratuar lejet që mashtruesi të shpenzojë argumente, atëherë asetet rrezikohen të thahen.”
Pasi një mashtrues të ketë marrë miratimin, ata janë në gjendje të transferojnë asetet në një adresë që ata zgjedhin.
Për të mbrojtur veten nga phishing në akull, CertiK rekomandoi që investitorët të revokojnë lejet për adresat që nuk i njohin në faqet e eksploruesve të blockchain si Etherscan, duke përdorur një mjet miratimi token.
Për më tepër, adresat me të cilat përdoruesit po planifikojnë të ndërveprojnë duhet të kërkohen në këta eksplorues blockchain për aktivitete të dyshimta. Në analizën e tij, CertiK tregon një adresë që është financuar nga tërheqjet e Tornado Cash si një shembull i aktivitetit të dyshimtë.
CertiK sugjeroi gjithashtu që përdoruesit duhet të ndërveprojnë vetëm me faqet zyrtare që janë në gjendje të verifikojnë, dhe të jenë veçanërisht të kujdesshëm ndaj faqeve të mediave sociale si Twitter, duke theksuar si shembull një llogari të rreme Optimism Twitter.
Firma gjithashtu këshilloi përdoruesit që të kalonin disa minuta për të kontrolluar një sajt të besuar si CoinMarketCap ose Coingecko, përdoruesit do të kishin qenë në gjendje të shihnin se URL-ja e lidhur nuk ishte një sajt legjitim dhe duhet shmangur.
Gjiganti i teknologjisë Microsoft ishte i pari që theksoi këtë praktikë në një blog të 16 shkurtit post, duke thënë në atë kohë se ndërsa phishing-u i kredencialeve është shumë mbizotërues në botën e Web2, phishing në akull u jep mashtruesve individualë mundësinë për të vjedhur një pjesë të industrisë së kriptove duke ruajtur "anonimitet pothuajse të plotë".
Ata rekomanduan që projektet e Web3 dhe ofruesit e portofolit të rrisin sigurinë e shërbimeve të tyre në nivelin e softuerit në mënyrë që të parandalojnë barrën e shmangies së sulmeve të phishing në akull të vendosen vetëm mbi përdoruesin fundor.
Burimi: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik