信息來源:安全內(nèi)參
微軟提醒稱,隨著區(qū)塊鏈和 DeFi 技術強調(diào)將安全性構建到去中心化 web 早期階段的需求激增,警惕 Web3 中出現(xiàn)的威脅,包括“冰釣”等攻擊活動。
微軟365 Defender 研究團隊說明了惡意人員可能試圖誘騙密幣用戶放棄私鑰,并執(zhí)行越權資金轉移的多種新攻擊手法。
微軟安全和合規(guī)團隊的首席研究經(jīng)理 Christian Seifert 指出,“不可改變的、公共區(qū)塊鏈所賦能的一個方面是完全的透明度,攻擊發(fā)生后可被觀察和研究。它還允許評估攻擊的金融影響,這在傳統(tǒng)的 web2 釣魚攻擊中是有挑戰(zhàn)的?!?
攻擊者可通過多種方式盜取秘鑰,包括模擬錢包軟件、在受害者設備上部署惡意軟件、typosquat 合法智能合約前段并偽造虛假數(shù)字化令牌實施 Airdrop詐騙。
另外一種方法牽涉微軟所述的“冰釣 (ice phishing)”。這種方法不是竊取用戶秘鑰,而是欺騙目標“簽署將代表用戶令牌到攻擊者的交易批準?!?Seifert 解釋稱,“一旦披露交易得到簽署、提交和偽造,消費者 (spender) 就能訪問資金。在‘冰釣’攻擊中,攻擊者可收集一段時間內(nèi)的批準,之后快速提取受害者錢包中的所有資金。”
2021年12月,冰釣案例出現(xiàn)?;谝蕴坏?DeFi 平臺 BadgerDAO 遭攻擊,使用受陷 API 秘鑰的惡意代碼片段使攻擊者嗅探1.2億美元資金。BadgerDAO 表示,“在Badger 工程師不知曉或未授權的情況下,攻擊者通過受陷API秘鑰部署了worker 腳本。攻擊者利用該API訪問權限定期將惡意代碼注入 Badger 應用程序中,使其僅影響一部分用戶。”該腳本可攔截在超過某余額水平的錢包中進行 Web3 交易,并插入請求,將受害者令牌轉移到由攻擊者選擇的地址中。
為緩解影響區(qū)塊鏈技術的威脅,微軟建議用戶查看并審計智能合約中是否存在適當?shù)氖录憫蚓o急能力,并定期重新評估和撤銷令牌余額。
原文鏈接
https://thehackernews.com/2022/02/microsoft-warns-of-ice-phishing-threat.html