Jedna z czołowych firm bezpieczeństwa blockchain wychodzi naprzeciw potrzebom użytkowników Web3 i podpowiada jak uniknąć ataku hakerskiego. Rekomendujemy zapoznanie się z tymi radami!
Ice Phishing nowym zagrożeniem
CertiK powstało w 2018 roku. Ojcami firmy są profesorowie Columbia i Yale. Misją przedsiębiorstwa jest wykorzystanie możliwie najlepszej technologii, wspieranej przez sztuczną inteligencję, w celu zabezpieczenia i monitorowania blockchain, inteligentnych kontraktów i Web3.
Ten ostatni obszar stał się dla firmy w ostatnim czasie szczególnie istotny. Okazuje się bowiem, że w przestrzeni Web3 popularny stał się Ice Phishing. Owa forma ataku po raz pierwszy zidentyfikowana została przez Microsoft, jeszcze na początku bieżącego roku.
Specyfika Ice Pishing opiera się na próbie przekonania ofiary, do podpisania uprawnień, które doprowadzają do wydania posiadanych przez nią tokenów. Jeden z ostatnich tego rodzaju ataków zarejestrowany został 17 grudnia. Skradziono wtedy 14 Bored Apes. Ostatecznie owe NFT trafiły na rynek i upłynnione zostały za stosunkowo niewielkie kwoty. Jak przekonują przedstawiciele CertiK, atak ten jest dość prosty:
„Haker musi tylko sprawić, by użytkownik uwierzył, że złośliwy adres, któremu udziela zgody, jest legalny. Gdy użytkownik zatwierdzi pozwolenia na wydawanie tokenów przez oszusta, wtedy aktywa są zagrożone drenażem”.
Skorzystaj z Etherscan
Przedstawiciele CertiK zasugerowali, aby korzystać z narzędzi do zatwierdzania tokenów, a także z eksploratora blockchain Etherscan. To drugie może pomóc w cofnięcia uprawnień dla adresów, których użytkownicy nie rozpoznają.
Eksplorator może być wykorzystany także do weryfikacji użytkowników pod kątem podejrzanej aktywności. Tego rodzaju działaniem jest na przykład historyczne korzystanie przez dany adres z mikserów, takich jak Tornado Cash. Ważne jest także aby wchodzić w interakcje ze stronami będącymi oficjalnymi. Tego rodzaju podmioty łatwo zweryfikować. Zaleca się z kolei ostrożne korzystanie z mediów społecznościowych. Przykładem jest chociażby Twitter, gdzie można natknąć się na fałszywe kota niektórych sieci.
Poświęć trochę czasu na zadbanie o swoje bezpieczeństwo
Firma doradziła także aby korzystać z agregatorów informacji, takich jak CoinMarketCap, czy CoinGecko. To tam zweryfikować można poszczególne adresy URL, w kontekście łączenia z legalnymi witrynami.
O konieczności przeciwdziałania Ice Pishing, już 16 lutego informował Microsoft. Zwrócił on uwagę, iż niezbędne jest aby projekty Web3 i dostawcy portfeli, zadbali o zwiększenie bezpieczeństwa na poziomie oprogramowania. CertiK zdaje się doskonale rozumieć ten problem i dążyć do wsparcia w budowie właściwych rozwiązań.
