Das Blockchain-Sicherheitsunternehmen CertiK hat die Krypto-Community daran erinnert, vor „Eis-Phishing“-Betrug – einer einzigartigen Art von Phishing-Betrug, der auf Web3-Benutzer abzielt – wachsam zu bleiben, der Anfang dieses Jahres erstmals von Microsoft identifiziert wurde.
In einem Analysebericht vom 20. Dezember stellte CertiK beschrieben Ice-Phishing-Betrug als Angriff, der Web3-Benutzer dazu verleitet, Berechtigungen zu unterzeichnen, die es einem Betrüger schließlich ermöglichen, seine Token auszugeben.
Dies unterscheidet sich von herkömmlichen Phishing-Angriffen, die versuchen, auf vertrauliche Informationen wie private Schlüssel oder Passwörter zuzugreifen, wie beispielsweise die gefälschten Websites, die angeblich helfen FTX-Investoren erhalten Geld zurück an der Börse verloren.
1/ Ice-Phishing ist eine erhebliche Bedrohung für die Web3-Community
Anstatt sich Zugang zu Ihrem privaten Schlüssel zu verschaffen, bringen Betrüger Sie dazu, Berechtigungen zu unterschreiben, um Ihr Vermögen auszugeben.
Im Folgenden erklären wir, worauf Sie achten müssen und wie Sie sich schützen können!
— CertiK-Alarm (@CertiKAlert) 20. Dezember 2022
Ein Betrug vom 17. Dezember, bei dem 14 gelangweilte Affen wurden gestohlen ist ein Beispiel für einen ausgeklügelten Ice-Phishing-Betrug. Ein Investor wurde dazu überredet, eine als Filmvertrag getarnte Transaktionsanfrage zu unterzeichnen, die es dem Betrüger schließlich ermöglichte, alle Affen des Benutzers für einen vernachlässigbaren Betrag an sich selbst zu verkaufen.
Das Unternehmen merkte an, dass diese Art von Betrug eine „erhebliche Bedrohung“ sei, die nur in der Web3-Welt zu finden sei, da Investoren oft aufgefordert werden, Genehmigungen für DeFi-Protokolle (Decentralized Finance) zu unterzeichnen, mit denen sie interagieren, was leicht gefälscht werden könnte.
„Der Hacker muss einen Benutzer nur glauben machen, dass die bösartige Adresse, der er die Genehmigung erteilt, legitim ist. Sobald ein Benutzer dem Betrüger die Erlaubnis erteilt hat, Token auszugeben, besteht die Gefahr, dass die Vermögenswerte abgezogen werden.“
Sobald ein Betrüger die Genehmigung erhalten hat, kann er Vermögenswerte an eine Adresse seiner Wahl übertragen.
Um sich vor Ice-Phishing zu schützen, empfahl CertiK Investoren, die Berechtigungen für Adressen zu widerrufen, die sie auf Blockchain-Explorer-Sites wie Etherscan nicht erkennen, indem sie ein Token-Genehmigungstool verwenden.
Related: $4B OneCoin-Betrüger-Mitbegründer bekennt sich schuldig, droht 60 Jahre Gefängnis
Darüber hinaus sollten Adressen, mit denen Benutzer interagieren möchten, auf diesen Blockchain-Explorern auf verdächtige Aktivitäten nachgeschlagen werden. CertiK weist in seiner Analyse auf eine Adresse hin, die durch Tornado-Cash-Abhebungen als Beispiel für verdächtige Aktivitäten finanziert wurde.
CertiK schlug auch vor, dass Benutzer nur mit offiziellen Websites interagieren sollten, die sie verifizieren können, und besonders vorsichtig bei Social-Media-Websites wie Twitter zu sein, und hob als Beispiel einen gefälschten Optimism-Twitter-Account hervor.
Die Firma riet den Benutzern auch, sich ein paar Minuten Zeit zu nehmen, um eine vertrauenswürdige Website wie CoinMarketCap oder Coingecko zu überprüfen, die Benutzer hätten sehen können, dass die verlinkte URL keine legitime Website war und vermieden werden sollte.
Der Technologieriese Microsoft war der erste, der diese Praxis in einem Blog vom 16. Februar hervorhob Post, und sagte damals, dass Credential-Phishing in der Web2-Welt zwar sehr vorherrschend ist, Ice-Phishing aber einzelnen Betrügern die Möglichkeit gibt, einen Teil der Kryptoindustrie zu stehlen und dabei „fast vollständige Anonymität“ zu wahren.
Sie empfahlen Web3-Projekten und Wallet-Anbietern, die Sicherheit ihrer Dienste auf Softwareebene zu erhöhen, um zu verhindern, dass die Last der Vermeidung von Ice-Phishing-Angriffen allein auf den Endbenutzer gelegt wird.
Quelle: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik