수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

avatar
CertiK
2년 전
이 글은 약 1420자,전문을 읽는 데 약 2분이 걸린다
아이스 피싱은 이미 Web3.0 분야에서 수백만 달러의 재산 피해를 입혔습니다.

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

많은 유형의 사기 중에서 피싱 공격은 사기꾼이 사용하는 가장 일반적인 방법 중 하나입니다.

그러나 Web3.0 분야에서는 피싱 공격뿐만 아니라 커뮤니티에 큰 위협이 될 일종의 아이스 피싱(Ice Phishing) 공격도 있습니다.

마이크로소프트는 2022년 초 블로그에서 이러한 유형의 공격의 구체적인 형태를 처음으로 설명했습니다. 사기꾼은 사용자의 개인 키와 니모닉을 속일 필요가 없지만 사용자가 사기꾼의 지갑으로 자산을 전송하는 작업을 승인하도록 직접 유도합니다.

지금까지 아이스 피싱은 Web3.0 분야에서 수백만 달러의 재산 피해를 입혔습니다.

아이스피싱이란?

아이스 피싱은 Web3.0 세계에 고유한 공격 유형으로, 사용자를 속여 권한에 서명하도록 하여 사기꾼이 사용자 계정 내의 자산을 직접 소비할 수 있도록 합니다.

이것은 사회 공학 공격의 한 유형이며 로그인 자격 증명 및 지갑 또는 개인 키나 암호와 같은 자산 정보를 포함한 사용자 데이터를 훔치는 데 자주 사용되는 기존의 피싱 공격과 다릅니다.

이에 비해 아이스 피싱은 Web3.0 사용자에게 더 큰 위협이 됩니다. DeFi 프로토콜과 상호 작용하려면 사용자가 권한을 부여해야 하고 사기꾼은 사용자가 승인한 악성 주소가 합법적이라고 사용자를 설득하기만 하면 됩니다. 사용자가 사기꾼이 자산을 사용하도록 승인하면 계정이 도난당할 위험이 있습니다.

온체인 아이스 피싱

아이스 피싱 공격의 첫 번째 단계는 종종 피해자가 EOA를 승인하거나 피해자의 지갑에 있는 자산을 사용하는 악의적인 계약을 승인하도록 속는 것입니다.

이미지 설명

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

출처: 이더스캔

이미지 설명

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

출처: 이더스캔

이미지 설명

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

출처: CertiK

이미지 설명

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

출처: 이더스캔

알 수 없는 주소나 승인 없이 거래를 시작하는 주소가 보이면 권한을 즉시 취소하십시오(revoke.cash와 같은 사이트를 방문하거나 지갑을 스캔 시스템에 연결하여).

Etherscan과 같은 웹 사이트를 스캔하여 권한을 취소하는 방법은 무엇입니까?

2. 지갑 연결

2. 지갑 연결

3. ERC-20, ERC-721 또는 ERC-1155 탭을 클릭하여 철회하려는 주소를 찾습니다.

4. 취소 버튼 클릭

아이스 피싱을 식별하는 방법은 무엇입니까?

사용자가 아이스 피싱 함정에 빠지고 있다는 첫 번째 징후는 사용 중인 URL 또는 DApp을 보는 것입니다.

악성 웹사이트는 합법적인 프로젝트의 페이지를 복사하거나 합법적인 조직의 파트너인 것처럼 가장합니다.

예를 들어, 우리는 종종 CertiK와 연결되거나 가짜 CertiK 감사 보고서를 업로드하는 일부 사기성 웹사이트를 봅니다.

이미지 설명

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

출처: CertiK 조사팀

이미지 설명

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

출처: 메타마스크

이미지 설명

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

사용자는 certik.com에서 악의적인 계약 보고서를 제출할 수 있습니다.

의심스러운 활동이 있는지 확인하기 위해 웹사이트(예: Etherscan)를 스캔하여 DApp 또는 URL에 표시된 주소를 스캔하는 것과 같이 일부 온체인 검사는 사용자가 자체 DYOR(Do Your Own Research)를 통해 수행할 수 있습니다.

이미지 설명

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

출처: 이더스캔

출처: 트위터

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

출처: 트위터

피해자의 일부 지갑을 조사하고 SNS에 불만글을 게시한 결과, 아이스피싱 지갑과 관련이 있을 가능성이 있는 가짜 Maximus DAO 트위터 페이지를 발견했습니다.

자신을 보호하는 방법?

아이스 피싱의 피해자가 되지 않도록 하는 가장 쉬운 방법은 신뢰할 수 있는 웹사이트를 방문하여 Coinmarketcap.com, coinecko.com 및 certik.com과 같은 정보의 진위를 확인하는 것입니다.

사기성 프로젝트가 합법적인 프로젝트로 가장하고 에어드롭과 같은 가짜 이벤트를 홍보하는 Twitter와 같은 소셜 미디어에서 많은 아이스 피싱 사기를 찾을 수 있습니다.

이미지 설명

수백만 달러를 약탈하고 Web3.0 고유 피싱 공격의 업그레이드 버전인 아이스 피싱에 주의하세요.

출처: @CertiKAlert

마지막에 쓰기

마지막에 쓰기

피싱 사이트는 Web 3.0 세계에서 가장 흔히 볼 수 있는 사기 유형 중 하나이며 사용자는 민감한 정보를 제공하지 않기 때문에 자신이 함정에 빠졌다는 사실조차 깨닫지 못하는 경우가 있습니다.

따라서 일부 온체인 검사를 직접 수행하는 것 외에도 상호 작용의 URL이 신뢰할 수 있는 소스에서 확인되었는지 다시 확인하는 데 더 많은 시간을 할애해야 합니다. 보낸 시간은 언젠가는 보상을 받을 것입니다.

창작 글, 작자:CertiK。전재 / 콘텐츠 제휴 / 기사 요청 연락처 report@odaily.email;违규정 전재 법률은 반드시 추궁해야 한다.

ODAILY는 많은 독자들이 정확한 화폐 관념과 투자 이념을 수립하고 블록체인을 이성적으로 바라보며 위험 의식을 확실하게 제고해 달라고 당부했다.발견된 위법 범죄 단서에 대해서는 관련 부서에 적극적으로 고발하여 반영할 수 있다.

안전
CertiK

CertiK

더 보기
추천 독서
편집자의 선택
twitter.png
discord.png
telegram.png Group
telegram.png Channel
weibo.png
Github.png