Trong số nhiều loại gian lận, các cuộc tấn công lừa đảo là một trong những phương pháp phổ biến nhất được sử dụng bởi những kẻ lừa đảo.
Tuy nhiên, trong lĩnh vực Web3.0, không chỉ có các cuộc tấn công lừa đảo, mà còn có một loại tấn công Ice Phishing sẽ gây ra mối đe dọa lớn cho cộng đồng.
Trước đó vào năm 2022, Microsoft lần đầu tiên giải thích hình thức cụ thể của kiểu tấn công này trong một blog - kẻ lừa đảo không cần đánh lừa khóa cá nhân và ghi nhớ của người dùng mà trực tiếp khiến người dùng chấp thuận thao tác chuyển tài sản sang ví của kẻ lừa đảo.
Cho đến nay, Ice Phishing đã gây thiệt hại hàng triệu đô la về tài sản trong lĩnh vực Web3.0.
Lừa đảo trên băng là gì?
Ice Phishing là một kiểu tấn công duy nhất trong thế giới Web3.0, trong đó người dùng bị lừa ký các quyền, cho phép những kẻ lừa đảo trực tiếp tiêu thụ tài sản trong tài khoản của người dùng.
Điều này khác với các cuộc tấn công lừa đảo truyền thống, là một loại tấn công kỹ thuật xã hội và thường được sử dụng để đánh cắp dữ liệu người dùng, bao gồm thông tin đăng nhập và thông tin tài sản hoặc ví như khóa cá nhân hoặc mật khẩu.
So với điều này, Ice Phishing đặt ra mối đe dọa lớn hơn đối với người dùng Web3.0 - tương tác với các giao thức DeFi yêu cầu người dùng cấp quyền và những kẻ lừa đảo chỉ cần thuyết phục người dùng rằng các địa chỉ độc hại mà họ phê duyệt là hợp pháp. Khi người dùng chấp thuận cho kẻ lừa đảo chi tiêu tài sản của họ, sẽ có nguy cơ tài khoản bị đánh cắp.
Lừa đảo băng trên chuỗi
Giai đoạn đầu tiên của một cuộc tấn công lừa đảo trên băng thường là: nạn nhân bị lừa phê duyệt EOA hoặc hợp đồng độc hại để chi tiêu tài sản trong ví của nạn nhân.
Mô tả hình ảnh
Nguồn: Etherescan
Mô tả hình ảnh
Nguồn: Etherescan
Mô tả hình ảnh
Nguồn: CertiK
Mô tả hình ảnh
Nguồn: Etherescan
Nếu bạn thấy một địa chỉ mà bạn không nhận ra hoặc một địa chỉ bắt đầu giao dịch mà không có sự chấp thuận của bạn, hãy thu hồi quyền ngay lập tức (bằng cách truy cập trang web như thu hồi.cash hoặc kết nối ví của bạn với hệ thống quét).
Làm cách nào để thu hồi quyền bằng cách quét các trang web như Etherscan?
2. Kết nối ví
2. Kết nối ví
3. Nhấp vào tab ERC-20, ERC-721 hoặc ERC-1155 để tìm địa chỉ bạn muốn rút tiền.
4. Nhấp vào nút Hủy
Làm thế nào để xác định Ice Phishing?
Dấu hiệu nhận biết đầu tiên của người dùng rằng họ đang rơi vào bẫy lừa đảo trên băng là xem xét URL hoặc DApp mà họ đang sử dụng.
Các trang web độc hại sao chép các trang từ các dự án hợp pháp hoặc giả vờ là đối tác của các tổ chức hợp pháp.
Ví dụ: chúng tôi thường thấy một số trang web lừa đảo liên kết với CertiK hoặc tải lên các báo cáo kiểm định CertiK giả mạo.
Mô tả hình ảnh
Nguồn: Nhóm điều tra CertiK
Mô tả hình ảnh
Nguồn: MetaMask
Mô tả hình ảnh
Người dùng có thể gửi báo cáo về các hợp đồng độc hại trên certik.com
Người dùng có thể thực hiện một số kiểm tra trên chuỗi thông qua DYOR (Tự nghiên cứu) của riêng họ, chẳng hạn như quét địa chỉ được hiển thị trên DApp hoặc URL bằng cách quét một trang web (chẳng hạn như Etherscan) để xem có bất kỳ hoạt động đáng ngờ nào không.
Mô tả hình ảnh
Nguồn: Etherescan
Nguồn: Twitter
Nguồn: Twitter
Khi điều tra một số ví của nạn nhân và đăng khiếu nại trên mạng xã hội, chúng tôi đã phát hiện ra một trang twitter giả mạo Maximus DAO, có khả năng liên quan đến ví Ice Phishing.
Làm thế nào để bảo vệ chính mình?
Cách dễ nhất để ngăn bạn trở thành nạn nhân của Ice Phishing là truy cập các trang web đáng tin cậy để xác minh tính xác thực của thông tin, chẳng hạn như Coinmarketcap.com, coinecko.com và certik.com.
Có thể tìm thấy nhiều trò lừa đảo Ice Phishing trên các phương tiện truyền thông xã hội như Twitter, nơi các dự án lừa đảo giả dạng các dự án hợp pháp và quảng bá các sự kiện giả mạo như airdrop.
Mô tả hình ảnh
Nguồn: @CertiKAlert
viết ở cuối
viết ở cuối
Các trang web lừa đảo là một trong những loại lừa đảo phổ biến nhất mà chúng tôi thấy trong thế giới Web 3.0 và người dùng đôi khi thậm chí không nhận ra rằng họ đã rơi vào bẫy vì họ không đưa ra bất kỳ thông tin nhạy cảm nào.
Vì vậy, ngoài việc tự mình thực hiện một số kiểm tra trên chuỗi, bạn cũng cần dành nhiều thời gian hơn để kiểm tra kỹ xem URL của tương tác có được xác minh bởi một nguồn đáng tin cậy hay không - thời gian bỏ ra sẽ có ích cho bạn vào một ngày nào đó.
