Что такое “ледяная атака” (угроза Ice phishing) и как она связана с токенами ERC-20 на блокчейне?
Мировая эволюция блокчейна произошла быстро. В деловом мире, блокчейн становится все более популярным благодаря его эффективности в проверке цифровой личности и безопасной передаче как данных, так и средств посредством смарт-контрактов.
Смарт-контракты имеют корпоративные приложения в сфере общественного питания, экономики, здравоохранения, управления и обрабатывающей промышленности, среди прочих. Хотя смарт-контракты регулярно проверяются фирмами по безопасности блокчейна, они также чувствительны к фишинговым атакам.
Энтузиасты криптовалюты и блокчейна обычно говорят, что криптовалюта является более безопасным вариантом, чем другие способы цифровых платежей. Хотя блокчейн обладает многочисленными преимуществами в области кибербезопасности, он не является неуязвимым для мошенничества и, конечно же, его не нельзя взломать. Рост новых угроз, таких как ледяной фишинг, подчеркивает эти уязвимости.
Прежде чем узнать, что такое ледяная фишинговая атака и как она работает, важно сначала понять некоторую необходимую справочную информацию о Web3.
Что такое Web3?
Как упоминалось ранее, чтобы лучше понять ледяной фишинг Ice phishing, требуется краткое введение в блокчейн, не связанные с хранением кошельки, смарт-контракты и токены ERC-20. Давайте разберем эти ключевые термины Web3 один за другим.
Блокчейн
Блокчейн — это циркулирующая книга, защищенная криптографическими алгоритмами. Его можно рассматривать как базу данных, которая отображает переводы криптовалют с одного счета на другой. Транзакции, которые пользователь выполняет в блокчейне, могут изменить реестр, например, путем передачи криптовалюты со своей учетной записи на другую учетную запись.
Кошельки, не связанные с хранением активов
Кошельки представляют криптовалюты в учетной записи пользователя. Вопреки распространенному мнению, кошельки на самом деле не содержат криптовалюты. Криптовалюты зарезервированы в циркулирующей книге, то есть в блокчейне. Кошелек позволяет пользователям использовать свои криптографические ключи для подписи транзакций по переводу монет на другой счет. Другими словами, криптографические ключи пользователя дают ему учетные данные для его криптовалют. Если пользователь раскрывает этот ключ другому лицу, его средства могут быть переведены без его разрешения.
Есть два вида кошельков — кастодиальные кошельки и некастодиальные кошельки. Кастодиальные — это кошельки, связанные с биржами криптовалют, а некастодиальные — это кошельки, которые находятся на устройстве пользователя. Основное различие между ними заключается в том, кто имеет доступ и обрабатывает криптографические ключи для подписи транзакций. Некастодиальные кошельки предоставляют учетные данные владельца для криптографических ключей, тогда как кастодиальные кошельки этого не делают.
Смарт-контракты
Смарт-контракты — это код, реализованный в блокчейне, который может передавать криптовалюты и выполнять транзакции. Смарт-контракты запускаются только тогда, когда стандартная учетная запись — также называемая внешней учетной записью (EOA) — или другой смарт-контракт, начинает свою работу.
Токены ERC-20
Токены ERC-20 — это уникальные виды криптовалютных токенов, которые выполняются через смарт-контракт ERC-20, в основном как балансовый отчет с набором операций, которые разрешают передачу этих токенов с одной учетной записи на другую. Каждый токен ERC-20 имеет свой смарт-контракт, который соответствует стандарту токена ERC-20. Например, LINK — это токен.
Web2 против Web3
Web2 означает устройство Интернета, которое большинство из нас использует сегодня. Интернет монополизирован компаниями, которые предоставляют услуги в обмен на личную информацию (PII).
Web3, с другой стороны, означает децентрализованные приложения, работающие на блокчейне. Это приложения, которые позволяют пользователям принимать участие, не предоставляя личную информацию (PII).
Итак, что, же такое атака «Ледяной фишинг» (угроза Ice phishing) и как она работает? Давайте теперь посмотрим глубже.
Что такое ледяная атака или угроза Ice phishing?
Компания Microsoft недавно опубликовала отчет, в котором описаны угрозы безопасности для технологий Web3, включая ледяной фишинг. В атаке ледяного фишинга (угроза Ice phishing) злоумышленники подталкивают жертв к тому, чтобы они выдали разрешение на свои токены. Они достигают этого, используя смарт-контракты, чтобы скрыть свои цели.
Другими словами, ледяной фишинг — это процесс, который не включает считывание закрытых ключей. Вместо этого, он побуждает пользователя подписать транзакцию, которая дает злоумышленнику разрешение на использование токенов пользователя. При атаке ледяного фишинга, злоумышленнику нужно только изменить адрес отправителя на адрес злоумышленника. Это знакомо по банковским переводам и мошенничеству с PayPal, поскольку других обманывают, заставляя признать, что это передается от их компаньона или близкого человека.
Один из самых практичных методов ледяного фишинга — это искусно придуманные изображения. Эти изображения используют комбинацию стратегий, чтобы заставить пользователей нажимать кнопки и проводить финансовые транзакции.
Атака «ледяного фишинга» (угроза Ice phishing) пользуется успехом, поскольку хакеры в течение некоторого времени собирают разрешения, а затем сразу же опустошают кошельки жертвы.
Как работает атака ледяной фишинг?
Взлом учетных данных Web2 очень похож на раскрытие криптографического ключа Web3.
Злоумышленник может обмануть пользователей (путем фишинга) Web3, чтобы раскрыть криптографические ключи. Раскрытие этих ключей нелегальному участнику может дать злоумышленнику возможность перевести средства пользователя без его разрешения.
Злоумышленники могут определить точный маршрут с помощью фишинговых писем, но этот прием не является оптимальным, поскольку некоторые поставщики услуг электронной почты, такие как Gmail, отображают предупреждение, когда пользователи щелкают ссылку на ненадежные домены в любом уведомлении по электронной почте. Если эта функция не включена, предупреждения появляются только для переходов на ненадежные домены из сомнительных электронных писем.
Возникает закономерный вопрос, если Blockchain и Web3 находятся в таких безопасных условиях, как фишинговые атаки все еще сеют хаос в криптомире? Ответ: с помощью социальной инженерии.
Злоумышленники столь же умны, сколь и неэтичны. Как сообщила Microsoft, злоумышленники получают вредоносный смарт-контракт, подписанный уязвимыми пользователями, который будет перенаправлять токены из кошельков, на адрес, управляемый злоумышленником.
Из-за отсутствия ясности в транзакционном интерфейс,е в Web3 довольно сложно поймать или проследить за удалением токенов. Звучит типично? Фишинговые электронные письма, рассылаемые хакерами для обмана бизнеса, используют ту же тактику.
Некоторые из наиболее распространенных трюков социальной инженерии, которые используют хакеры, включают:
- Сканирование социальных сетей в поисках пользователей, обращающихся к компаниям-разработчикам программного обеспечения для кошельков за помощью и отправляющих прямые сообщения, выдающие себя за службу поддержки, чтобы напрямую провести чей-то закрытый ключ.
- Бесплатное распространение новых токенов среди группы учетных записей (т. н. локальная машина пользователя.
- Опечатка и копирование легальных интерфейсов смарт-контрактов
- Копирование программного обеспечения кошелька и считывание закрытых ключей напрямую.
- Ледяной фишинг — это тип фишинга, который обманом заставляет пользователя подписать транзакцию, которая доверяет согласие токенов пользователя злоумышленнику. Команда Microsoft Defender опубликовала потрясающую графику, описывающую атаку:
В атаке ледяного фишинга злоумышленнику просто нужно изменить адрес отправителя на адрес злоумышленника. Это может быть весьма убедительно, поскольку пользовательский интерфейс не предоставляет всех соответствующих данных, которые могут показать, что транзакция была вмешана.
Как можно предотвратить ледяную фишинговую атаку
В компаниях разработчиков должны быть введены дополнительные упражнения и средства контроля для решения проблем сотрудников с высоким уровнем риска. Некоторые из этих элементов управления содержат более стандартные привилегии доступа пользователей, многофакторную аутентификацию (MFA), управление привилегированным доступом (PAM), если доступ пользователя считается «высоким» или на уровне администратора, дополнительное ведение журнала и проверку таких учетных записей пользователей. , а также внедрить политику более надежных паролей.
Тем не менее, большинство этих элементов управления мало что делают для предотвращения атак Web3 на внешние интерфейсы приложений Web3. Вот несколько рекомендаций, которым могут следовать конечные пользователи, чтобы обезопасить себя от таких угроз, как Ice Phishing:
- Проверьте правильность адреса контракта. К сожалению, нельзя полагаться на внешний интерфейс смарт-контракта для связи с правильным смарт-контрактом. Адрес контракта, который встречается в подписываемой транзакции, должен быть проверен до того, как транзакция будет предложена. Это пространство, где поставщики кошельков могут обеспечить уровень безопасности.
- Убедитесь, что смарт-контракт прошел аудит авторитетной фирмы по кибербезопасности блокчейна.
- Является ли контракт обновляемым (другими словами, выполняется ли он как прокси-практика), чтобы проект мог внедрять исправления при обнаружении ошибок? На вкладке контракта Etherscan отображается, применялся ли смарт-контракт в качестве прокси.
- Есть ли у смарт-контракта реагирование на инциденты или кризисные ситуации, такие как пауза/возобновление паузы? При каких обстоятельствах они начинаются?
- Каковы функции безопасности смарт-контракта после внедрения?
- Управляйте криптовалютами и токенами с помощью комбинации кошельков (вместо одного) и/или время от времени сканируйте и отменяйте разрешенные токены. Средство проверки одобрения токена Ethereum от Etherscan упрощает эту задачу.
- Лучшие меры безопасности — внимание и воспитание. Никогда не открывайте вложения или ссылки в нежелательных электронных письмах, даже если электронные письма пришли из установленного источника.