信息來源:安全內(nèi)參
微軟提醒稱,隨著區(qū)塊鏈和 DeFi 技術(shù)強(qiáng)調(diào)將安全性構(gòu)建到去中心化 web 早期階段的需求激增,警惕 Web3 中出現(xiàn)的威脅,包括“冰釣”等攻擊活動。
微軟365 Defender 研究團(tuán)隊(duì)說明了惡意人員可能試圖誘騙密幣用戶放棄私鑰,并執(zhí)行越權(quán)資金轉(zhuǎn)移的多種新攻擊手法。
微軟安全和合規(guī)團(tuán)隊(duì)的首席研究經(jīng)理 Christian Seifert 指出,“不可改變的、公共區(qū)塊鏈所賦能的一個(gè)方面是完全的透明度,攻擊發(fā)生后可被觀察和研究。它還允許評估攻擊的金融影響,這在傳統(tǒng)的 web2 釣魚攻擊中是有挑戰(zhàn)的?!?
攻擊者可通過多種方式盜取秘鑰,包括模擬錢包軟件、在受害者設(shè)備上部署惡意軟件、typosquat 合法智能合約前段并偽造虛假數(shù)字化令牌實(shí)施 Airdrop詐騙。
另外一種方法牽涉微軟所述的“冰釣 (ice phishing)”。這種方法不是竊取用戶秘鑰,而是欺騙目標(biāo)“簽署將代表用戶令牌到攻擊者的交易批準(zhǔn)。” Seifert 解釋稱,“一旦披露交易得到簽署、提交和偽造,消費(fèi)者 (spender) 就能訪問資金。在‘冰釣’攻擊中,攻擊者可收集一段時(shí)間內(nèi)的批準(zhǔn),之后快速提取受害者錢包中的所有資金?!?
2021年12月,冰釣案例出現(xiàn)?;谝蕴坏?DeFi 平臺 BadgerDAO 遭攻擊,使用受陷 API 秘鑰的惡意代碼片段使攻擊者嗅探1.2億美元資金。BadgerDAO 表示,“在Badger 工程師不知曉或未授權(quán)的情況下,攻擊者通過受陷API秘鑰部署了worker 腳本。攻擊者利用該API訪問權(quán)限定期將惡意代碼注入 Badger 應(yīng)用程序中,使其僅影響一部分用戶?!痹撃_本可攔截在超過某余額水平的錢包中進(jìn)行 Web3 交易,并插入請求,將受害者令牌轉(zhuǎn)移到由攻擊者選擇的地址中。
為緩解影響區(qū)塊鏈技術(shù)的威脅,微軟建議用戶查看并審計(jì)智能合約中是否存在適當(dāng)?shù)氖录憫?yīng)或緊急能力,并定期重新評估和撤銷令牌余額。
原文鏈接
https://thehackernews.com/2022/02/microsoft-warns-of-ice-phishing-threat.html