La empresa de seguridad Blockchain CertiK ha recordado a la criptocomunidad que se mantenga alerta sobre las estafas de "phishing de hielo", un tipo único de estafa de phishing dirigida a los usuarios de Web3, identificada por primera vez por Microsoft a principios de este año.
En un informe de análisis del 20 de diciembre, CertiK descrito las estafas de phishing de hielo como un ataque que engaña a los usuarios de Web3 para que firmen permisos que terminan permitiendo que un estafador gaste sus tokens.
Esto difiere de los ataques de phishing tradicionales que intentan acceder a información confidencial, como claves privadas o contraseñas, como los sitios web falsos que afirman ayudar. Los inversores de FTX recuperan fondos perdido en el intercambio.
1/ El phishing de hielo es una amenaza considerable para la comunidad Web3
En lugar de obtener acceso a su clave privada, los estafadores lo engañan para que firme permisos para gastar sus activos.
¡Describiremos a continuación lo que debe tener en cuenta y cómo protegerse!
— Alerta CertiK (@CertiKAlert) 20 de diciembre de 2022
Una estafa del 17 de diciembre donde 14 monos aburridos fueron robados es un ejemplo de una elaborada estafa de phishing de hielo. Se convenció a un inversor para que firmara una solicitud de transacción disfrazada de contrato cinematográfico, lo que finalmente permitió al estafador venderse todos los simios del usuario por una cantidad insignificante.
La firma señaló que este tipo de estafa era una "amenaza considerable" que se encuentra solo en el mundo Web3, ya que a menudo se requiere que los inversores firmen permisos para los protocolos de finanzas descentralizadas (DeFi) con los que interactúan, que podrían falsificarse fácilmente.
“El pirata informático solo necesita hacer creer al usuario que la dirección maliciosa a la que está otorgando la aprobación es legítima. Una vez que un usuario ha aprobado los permisos para que el estafador gaste tokens, los activos corren el riesgo de agotarse".
Una vez que un estafador ha obtenido la aprobación, puede transferir activos a una dirección de su elección.
Para protegerse del phishing de hielo, CertiK recomendó que los inversores revocaran los permisos de las direcciones que no reconocen en los sitios de exploración de blockchain como Etherscan, utilizando una herramienta de aprobación de tokens.
Relacionado: El cofundador de la estafa $ 4B OneCoin se declara culpable y enfrenta 60 años de cárcel
Además, las direcciones con las que los usuarios planean interactuar deben buscarse en estos exploradores de blockchain en busca de actividad sospechosa. En su análisis, CertiK señala una dirección que fue financiada con retiros de Tornado Cash como ejemplo de actividad sospechosa.
CertiK también sugirió que los usuarios solo deberían interactuar con sitios oficiales que puedan verificar, y que sean particularmente cautelosos con los sitios de redes sociales como Twitter, destacando una cuenta falsa de Optimism Twitter como ejemplo.
La empresa también aconsejó a los usuarios que se tomaran un par de minutos para consultar un sitio confiable como CoinMarketCap o Coingecko, los usuarios habrían podido ver que la URL vinculada no era un sitio legítimo y debería evitarse.
El gigante tecnológico Microsoft fue el primero en destacar esta práctica en un blog del 16 de febrero. post, diciendo en ese momento que, si bien el phishing de credenciales es muy predominante en el mundo de la Web2, el phishing de hielo brinda a los estafadores individuales la capacidad de robar una parte de la industria de la criptografía mientras mantienen un "anonimato casi completo".
Recomendaron que los proyectos de Web3 y los proveedores de billeteras aumenten la seguridad de sus servicios a nivel de software para evitar que la carga de evitar los ataques de phishing de hielo recaiga únicamente en el usuario final.
Fuente: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik