A empresa de segurança blockchain, CertiK, lembrou a comunidade criptográfica para ficar alerta sobre os golpes de “ice phishing” – um tipo único de golpe de phishing direcionado a usuários da Web3 que foi identificado pela Microsoft no início deste ano.
Em um relatório de análise, a CertiK descreveu os golpes de ‘ice phishing’ como um ataque que engana os usuários do Web3 para que assinem permissões que acabam permitindo que um golpista gaste seus tokens.
Isso difere dos ataques de phishing tradicionais que tentam acessar informações confidenciais, como chaves privadas ou senhas, por meio de métodos como sites falsos que afirmam ajudar os investidores da FTX a recuperar seus fundos perdidos.
1/ Ice phishing is a considerable threat to the Web3 community
Instead of gaining accessing to your private key, scammers trick you into signing permissions to spend your assets.
We’ll outline below what to look out for, and how to protect yourself!
— CertiK Alert (@CertiKAlert) December 20, 2022
Um golpe de dezembro em que 14 Bored Apes foram roubados é um exemplo de um elaborado ataque de ‘ice phishing’. Um investidor foi convencido a assinar um pedido de transação disfarçado de contrato de filme, permitindo que o golpista vendesse todos os Bored Apes do usuário para si mesmo por um valor insignificante.
A empresa observou que esse tipo de golpe era uma ameaça considerável e encontrada apenas no mundo Web3, onde os investidores costumam ser obrigados a assinar permissões para protocolos de finanças descentralizadas (DeFi) que podem ser facilmente falsificados. CertiK escreveu:
“O hacker só precisa fazer o usuário acreditar que o endereço malicioso ao qual ele está concedendo aprovação é legítimo. Depois que um usuário aprova as permissões para que o golpista gaste tokens, os ativos correm o risco de serem drenados.”
Depois que um golpista obtém aprovação, ele pode transferir ativos para um endereço de sua escolha.
Para se proteger do ‘ice phishing’, a CertiK recomendou que os investidores usassem uma ferramenta de aprovação de token e um site explorador de blockchain, como o Etherscan, para revogar permissões para endereços que não reconhecem.
Além disso, os endereços com os quais os usuários planejam interagir devem ser pesquisados nesses exploradores de blockchain em busca de atividades suspeitas. Em sua análise, a CertiK aponta para um endereço que foi financiado por retiradas do Tornado Cash como um exemplo de atividade suspeita.
A CertiK também sugeriu que os usuários interajam apenas com sites oficiais que possam verificar e sejam particularmente cautelosos com sites de mídia social como o Twitter, destacando uma conta falsa da Optimism no Twitter como exemplo.
A empresa também aconselhou os usuários a levar alguns minutos para verificar um site confiável, como CoinMarketCap ou CoinGecko, para ter certeza de que um URL está vinculado a um site legítimo.
A Microsoft foi a primeira a destacar essa prática em uma postagem em fevereiro, dizendo na época que, embora o phishing de credenciais seja muito predominante no mundo da Web2, o ‘ice phishing’ dá aos golpistas individuais a capacidade de roubar um pedaço da indústria de criptomoedas, mantendo “anonimato quase completo”.
Eles recomendaram que os projetos Web3 e os provedores de carteira aumentem sua segurança no nível do software, a fim de evitar que o ônus de evitar ataques de ‘ice phishing’ seja colocado apenas no usuário final.