블록체인 보안 회사인 CertiK는 올해 초 Microsoft에서 처음으로 식별한 Web3 사용자를 대상으로 하는 독특한 유형의 피싱 사기인 "아이스 피싱" 사기에 대해 암호화 커뮤니티에 경고했습니다.
20월 XNUMX일 분석 보고서에서 CertiK 기술 된 아이스 피싱 사기는 Web3 사용자를 속여 권한에 서명하도록 속이고 사기꾼이 토큰을 사용할 수 있도록 하는 공격입니다.
이것은 개인 키나 암호와 같은 기밀 정보에 액세스하려고 시도하는 기존의 피싱 공격과 다릅니다. FTX 투자자들은 자금을 회수합니다 거래소에서 졌습니다.
1/ 아이스 피싱은 Web3 커뮤니티에 상당한 위협입니다.
개인 키에 대한 액세스 권한을 얻는 대신 사기꾼은 자산을 사용할 수 있는 권한에 서명하도록 속입니다.
아래에서 주의해야 할 사항과 자신을 보호하는 방법에 대해 간략하게 설명하겠습니다!
— CertiK 경고(@CertiKAlert) 2022 년 12 월 20 일
17월 XNUMX일 사기 지루한 유인원 14 마리가 도난당했습니다. 정교한 아이스 피싱 사기의 예입니다. 한 투자자가 영화 계약으로 위장한 거래 요청에 서명하도록 확신했고, 이를 통해 사기꾼은 결국 사용자의 모든 유인원을 무시할 수 있는 금액으로 자신에게 팔 수 있었습니다.
이 회사는 이러한 유형의 사기가 Web3 세계에서만 발견되는 "상당한 위협"이라고 지적했습니다.
“해커는 사용자가 승인한 악성 주소가 합법적이라고 믿게 만들면 됩니다. 사용자가 사기꾼이 토큰을 사용할 수 있는 권한을 승인하면 자산이 고갈될 위험이 있습니다.”
사기꾼이 승인을 받으면 자산을 선택한 주소로 전송할 수 있습니다.
아이스 피싱으로부터 자신을 보호하기 위해 CertiK는 투자자가 토큰 승인 도구를 사용하여 Etherscan과 같은 블록체인 탐색기 사이트에서 인식하지 못하는 주소에 대한 권한을 취소할 것을 권장했습니다.
관련 : $4B OneCoin 사기 공동 설립자, 유죄 인정, 60년 징역형 선고
또한 사용자가 상호 작용할 계획인 주소는 의심스러운 활동에 대해 이러한 블록체인 탐색기에서 조회해야 합니다. 분석에서 CertiK는 의심스러운 활동의 예로 Tornado Cash 인출로 자금을 조달한 주소를 지적합니다.
CertiK는 또한 사용자가 확인할 수 있는 공식 사이트와만 상호 작용해야 하며 특히 Twitter와 같은 소셜 미디어 사이트를 조심해야 한다고 제안했으며, 예를 들어 가짜 Optimism Twitter 계정을 강조했습니다.
회사는 또한 사용자에게 몇 분 정도 시간을 내어 CoinMarketCap 또는 Coingecko와 같은 신뢰할 수 있는 사이트를 확인하라고 조언했습니다. 사용자는 링크된 URL이 합법적인 사이트가 아니라는 것을 알 수 있었을 것이므로 피해야 합니다.
기술 대기업인 Microsoft는 16월 XNUMX일 블로그에서 이 관행을 처음으로 강조했습니다. 게시, 당시 Web2 세계에서 자격 증명 피싱이 매우 우세한 반면, 아이스 피싱은 개인 사기꾼에게 "거의 완전한 익명성"을 유지하면서 암호화 산업의 상당 부분을 훔칠 수 있는 능력을 제공한다고 말했습니다.
그들은 Web3 프로젝트와 지갑 제공업체가 최종 사용자에게만 전가되는 아이스 피싱 공격을 피하는 부담을 방지하기 위해 소프트웨어 수준에서 서비스 보안을 강화할 것을 권장했습니다.
출처: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik