信息來(lái)源：安全內(nèi)參

微軟提醒稱，隨著區(qū)塊鏈和 DeFi 技術(shù)強(qiáng)調(diào)將安全性構(gòu)建到去中心化 web 早期階段的需求激增，警惕 Web3 中出現(xiàn)的威脅，包括“冰釣”等攻擊活動(dòng)。

微軟365 Defender 研究團(tuán)隊(duì)說(shuō)明了惡意人員可能試圖誘騙密幣用戶放棄私鑰，并執(zhí)行越權(quán)資金轉(zhuǎn)移的多種新攻擊手法。

微軟安全和合規(guī)團(tuán)隊(duì)的首席研究經(jīng)理 Christian Seifert 指出，“不可改變的、公共區(qū)塊鏈所賦能的一個(gè)方面是完全的透明度，攻擊發(fā)生后可被觀察和研究。它還允許評(píng)估攻擊的金融影響，這在傳統(tǒng)的 web2 釣魚攻擊中是有挑戰(zhàn)的。”

攻擊者可通過(guò)多種方式盜取秘鑰，包括模擬錢包軟件、在受害者設(shè)備上部署惡意軟件、typosquat 合法智能合約前段并偽造虛假數(shù)字化令牌實(shí)施 Airdrop詐騙。

另外一種方法牽涉微軟所述的“冰釣 (ice phishing)”。這種方法不是竊取用戶秘鑰，而是欺騙目標(biāo)“簽署將代表用戶令牌到攻擊者的交易批準(zhǔn)?！?Seifert 解釋稱，“一旦披露交易得到簽署、提交和偽造，消費(fèi)者 (spender) 就能訪問(wèn)資金。在‘冰釣’攻擊中，攻擊者可收集一段時(shí)間內(nèi)的批準(zhǔn)，之后快速提取受害者錢包中的所有資金?！?

2021年12月，冰釣案例出現(xiàn)。基于以太坊的 DeFi 平臺(tái) BadgerDAO 遭攻擊，使用受陷 API 秘鑰的惡意代碼片段使攻擊者嗅探1.2億美元資金。BadgerDAO 表示，“在Badger 工程師不知曉或未授權(quán)的情況下，攻擊者通過(guò)受陷API秘鑰部署了worker 腳本。攻擊者利用該API訪問(wèn)權(quán)限定期將惡意代碼注入 Badger 應(yīng)用程序中，使其僅影響一部分用戶?！痹撃_本可攔截在超過(guò)某余額水平的錢包中進(jìn)行 Web3 交易，并插入請(qǐng)求，將受害者令牌轉(zhuǎn)移到由攻擊者選擇的地址中。

為緩解影響區(qū)塊鏈技術(shù)的威脅，微軟建議用戶查看并審計(jì)智能合約中是否存在適當(dāng)?shù)氖录憫?yīng)或緊急能力，并定期重新評(píng)估和撤銷令牌余額。

原文鏈接

https://thehackernews.com/2022/02/microsoft-warns-of-ice-phishing-threat.html