SHIN:洗劫数百万美元，警惕Web3.0独有升级版钓鱼攻击Ice Phishing

在众多欺诈类别中，钓鱼攻击是欺诈者们最常使用的方式之一。

然而，在Web3.0??领域，不止有着钓鱼攻击，还有一种会对社区产生重大威胁的「IcePhishing」攻击。

2022?年早些时候，微软首次于?blog?中阐述了该类攻击的具体形式——子无需取用户的私钥以及助记词，而是直接诱使用户批准将资产转移到子钱包的操作。

截至目前，IcePhishing?已经造成了Web3.0?领域数百万美元的资产损失。

什么是?IcePhishing？

IcePhishing?是一种Web3.0?世界独有的攻击类型，用户被诱签署权限，允许欺诈者直接消费用户账户内的资产。

Binance Launchpad项目Arkham代币销售认购现已开放:金色财经报道，据官方公告，Binance于7月17日14:00（东八区时间）开放Arkham（ARKM）投入通道，本次Launchpad采用投入模式，基于用户6日BNB日平均持仓进行投入，本次投入期为24小时。投入结束后，Binance创新区将于7月18日20:00（东八区时间）上市Arkham（ARKM），并开通ARKM/BTC、ARKM/USDT、ARKM/TUSD、ARKM/BNB、ARKM/TRY交易市场。

Binance在公告中特别提示：由于Launchpad代币开盘之际波动较大，为保护用户，Binance将于开盘五分钟内试行限价机制。在此期间，价格涨幅上限设置为公募价的十倍（以ARKM为例，涨幅上限将设置为0.05美元的十倍，即0.5美元）。五分钟后将解除限价机制，交易按照市场情况正常进行。请注意，该限价机制为试行办法，首期将在ARKM试行，并不代表这一机制将推行至此后所有Launchpad项目。[2023/7/17 10:59:20]

这与传统的网络钓鱼攻击不同，后者作为一种社会工程攻击手段，通常用于窃取用户数据，包括登录凭证和钱包或资产信息，如私人钥匙或密码。

被罢免的BitMEX前首席执行官向BitMEX索赔340万美元:金色财经报道，被罢免的BitMEX前首席执行官Alexander H?ptner以错误解雇和违反协议为由向BitMEX索赔340万美元。据Alexander H?ptner提交的文件显示，BitMEX对他进行了毫无根据的内部调查，从而无需支付数百万美元的工资和奖金。BitMEX调查的重点是Alexander H?ptner从香港搬到新加坡，后来又搬到德国，并认为他挪用了公司资金来进行搬迁。

Alexander H?ptner的律师称公司的指控完全没有根据，并表示Bitmex欠他340万美元，外加赔偿金。这个数字包括240万美元的两周年奖金、工资以及住房和教育津贴。[2022/12/19 21:54:25]

Ice?Phishing?相较于此，对Web3.0?用户具备更大的威胁——与?DeFi?协议的互动需要用户授予权限，欺诈者只需要让用户相信他们所批准的恶意地址是合法的。一旦用户批准欺诈者花费其资产，那么账户就有可能被盗。

QuickNode宣布正式推出QuickNode Marketplace:金色财经报道，区块链基础设施QuickNode今天在Messari Mainnet会议上宣布，正式推出QuickNode Marketplace。开发者现在可以为QuickNode Marketplace创建和销售定制插件，使QuickNode的95,000多名注册开发者能够以各种方式为其支持区块链的应用程序访问新的API。（prnewswire）[2022/9/23 7:15:13]

链上?IcePhishing

IcePhishing?攻击的第一阶段往往是：受害者被，批准?EOA?或恶意合约来花费受害者钱包中的资产。

下图中的交易可作为示例：

来源：Etherescan

如果你看到一个你不认识的地址，或者一个未经你批准就启动交易的地址，那么请立即撤销权限。

如何通过扫描网站撤销权限？

1.访问?https://etherscan.io/tokenapprovalchecker?并搜索钱包

2.连接钱包

3.点击?ERC-20、ERC-721?或?ERC-1155?标签，找到你想撤销的地址。

4.点击撤销按钮

如何辨认?IcePhishing？

用户判定自己是否落入?IcePhishing?陷阱的第一个辨认信号就是查看他们正在使用的?URL?或?DApp。

恶意网站会山寨合法项目的页面，或者假冒合法机构的合作方。

比如我们经常会看到一些网站挂着与?CertiK?的合作关系或是上传山寨的?CertiK?审计报告。

下方是众多假冒矿池事件的其中一例，它违法使用了?CertiK?的?logo?与其它正规机构的相关标志。

来源：推特

通过调查一些受害者的钱包和社交媒体上的投诉发文，我们发现了一个假的?MaximusDAO?推特页面，这很可能与?IcePhishing?钱包有关。

如何保护自己？

防止自己成为?IcePhishing?受害者的最简单方法就是访问可信的网站以验证信息真实性，如?Coinmarketcap.com、coingecko.com?和?certik.com。

许多?IcePhishing?的局可以在社交媒体上找到，比如一些欺诈项目会伪造成合法项目并宣传空投之类的虚假活动。

在下图示例中，我们可以看到一个假的?Optimism?推特账户在宣传一个钓鱼网站。

来源：@CertiKAlert

请花点时间来验证你正在互动的?URL?或?DApp?是否合法。如果不确定，可以通过访问可信的来源进行双重检查。

写在最后

钓鱼网站是我们在Web3.0?领域看到最常见的类型之一，用户有时甚至无法意识到他们已经落入陷阱，因为他们没有给出任何敏感信息。

因此除了你靠自己进行一番链上检查以外，也需要花费更多的时间来仔细检查互动的?URL?是否经过可信来源的验证——这些花费的时间总有一天给你回报。

标签：ARKINGICESHINbunnypark币最新消息bikingforscience翻译Meta Viceshin币最新价格

PEPE热门资讯