Новой уникальной уловкой криптомошенников стал Ice Phishing, который нацелен исключительно на пользователей Web3-продуктов.
Специалисты по блокчейн-безопасности из CertiK предупредили пользователей о новом типе мошенничества — Ice Phishing. Атаки такого типа значительно отличаются от всех ранее известных уловок криптомошенников, поскольку не предполагают завладение личными данными или приватными ключами.
Ice Phishing использует элементы социальной инженерии и хакинга. Мошенник хитростью вынуждает жертву подписать транзакцию, которая при помощи смарт-контракта делегирует разрешение на передачу криптоактивов. После этого злоумышленник может использовать пользовательские активы по собственному усмотрению.
Ярким примером атаки Ice Phishing стала кража 14 NFT из коллекции Bored Ape Yacht Club (BAYC), продажа которых принесла хакерам 852 ETH (~$1,07 млн). Злоумышленник вынудил пользователя подписать «разрешение» на использование его NFT для съемок в фильме. В результате мошенник смог продать себе всех «обезьян» пользователя за минимальную сумму.
Из-за специфики таких атак аналитики назвали Ice Phishing «значительной угрозой», встречающейся только в Web3-пространстве. Чтобы защитить свои цифровые активы от такого типа фишинга, необходимо проверять все транзакции, запросы на подписание которых приходят из непроверенных источников. Для этих целей можно использовать сервисы, наподобие обозревателя блоков Etherscan.
Аналитики CertiK подчеркивают, что зачастую в Ice Phishing задействованы адреса с подозрительной активностью. В качестве примера был приведен адрес, средства на который перемещались из криптомиксера Tornado Cash. Аналитики также отмечают, что чаще всего Ice Phishing используется в социальных сетях. Так что пользователи, которые хотят избежать кражи средств подобным способом, должны тщательно проверять все ссылки, по которым им предлагают перейти для реализации «заманчивых предложений» малознакомые контакты в Discord, Twitter или Instagram.
Напомним, социальные сети признаны в 2022 году самым распространенным инструментом криптомошенников. Ранее аналитики CertiK акцентировали внимание на увеличении количества мошеннических роликов на YouTube.