Der Boom in der globalen Fintech-Branche hat eine Ära von Betrügern eingeläutet, die mit High-End-Tech-Tools ausgestattet sind, um Sie um Ihr hart verdientes Geld zu betrügen. Eine dieser fortschrittlichen Betrugstechniken, die speziell auf die Krypto-Community abzielt, wird als „Eis-Phishing“ bezeichnet. In seinem neuesten Beratungsbericht für den globalen Web3-Sektor warnt das Cyber-Forschungsunternehmen CertiK vor den zunehmenden Fällen von Ice-Phishing-Betrug und skizziert gleichzeitig Präventivmaßnahmen zum Schutz der Finanzen.
Ice-Phishing-Betrug ist Cyber-Angriffe, die Web3-Benutzer dazu manövrieren, Berechtigungen manuell zu unterzeichnen und zu genehmigen, die es berüchtigten Akteuren ermöglichen, ihre Token auszugeben.
Diese Berechtigungen müssen normalerweise auf DeFi-Protokollen (Decentralized Finance) unterzeichnet werden, die leicht Nachahmungen sein könnten.
„Der Hacker muss einen Benutzer nur glauben machen, dass die bösartige Adresse, der er die Genehmigung erteilt, legitim ist. Sobald ein Benutzer dem Betrüger die Erlaubnis erteilt hat, Token auszugeben, besteht die Gefahr, dass die Vermögenswerte abgezogen werden“, CertiK schrieb in seinem Bericht.
Sobald die Betrüger diese Erlaubnis erhalten haben, können sie das Geld von den Konten des Opfers auf jede andere Wallet-Adresse überweisen.
Dies ist bei herkömmlichen Phishing-Betrugsversuchen nicht ganz der Fall, bei denen es Hackern gelingt, private Schlüssel oder Passwörter zu stehlen, indem sie ahnungslose Personen dazu verleiten, auf bösartige Links zu klicken oder sie dazu zu bringen, infizierte gefälschte Websites zu besuchen.
Als ein Als sicherheitsorientierten Vorschlag hat CertiK Web3-Investoren gebeten, unbekannten Adressen keine Berechtigungen zu erteilen, insbesondere beim Surfen auf Blockchain-Explorer-Sites wie Etherscan.
Menschen wurde geraten, nach verdächtigen Adressen zu suchen, die nach zufälligen Berechtigungen fragen auf Blockchain-Explorer-Sites.
2/Der Betrug beginnt, wenn ein v ictim wird dazu verleitet, die Ice-Phishing-Adresse zu genehmigen.
Die Adresse des Betrügers wird Ihnen angezeigt, wenn Sie mit einer bösartigen URL oder DApp interagieren
Unten ist ein Beispiel für diese Art von Transaktion:point_down: pic.twitter.com/rwXt2t2DD6
— CertiK Alert (@CertiKAlert) 20. Dezember 2022
Das Konzept des Ice-Phishing war das erste wurde von Microsoft in einem im Februar dieses Jahres veröffentlichten Blogbeitrag hervorgehoben.
„Web3 ist die dezentralisierte Welt, die auf kryptografischer Sicherheit aufbaut, die die Grundlage der Blockchain bildet. Stellen Sie sich nun vor, ein Angreifer könnte – im Alleingang – einen großen Teil [von Marktgeldern] stehlen und dies mit fast vollständiger Anonymität tun. Das verändert die Dynamik des Spiels“, hatte der Softwaregigant damals gesagt.
Anfang letzter Woche wurden 14 NFTs aus der teuren und berühmten Sammlung des Bored Apes Yacht Club (BAYC) in einem Eis gestohlen-Phishingangriff. Der Betrug entfaltete sich, nachdem ein Investor dazu verleitet wurde, eine Transaktionsanfrage zu unterzeichnen, die wie ein Vertrag aussah, um diese NFTs in einem Film zu zeigen. Nachdem der Betrüger die Genehmigung eingesackt hatte, wurden die NFTs vom Schauspieler für einen so gut wie keinen Betrag gekauft, Cointelegraph hatte in einem Bericht aufgedeckt.
5/Opfer können bemerken, dass Gelder an eine unbekannte Adresse überwiesen werden, aber es ist der EOA, der die Transaktion initiiert hat, die Ihre Brieftasche kompromittiert hat
Überprüfen Sie Ihre Genehmigungen auf Adressen, die möglicherweise Ihre Brieftasche kompromittiert haben
– CertiK Alert (@CertiKAlert) 20. Dezember 2022
„Viele Ice-Phishing-Betrügereien sind in sozialen Medien zu finden wie Twitter, wo sich gefälschte Profile als legitime Projekte tarnen und als Beispiel gefälschte Airdrops bewerben. Der einfachste Weg, um zu verhindern, dass Sie Opfer von Ice-Phishing werden, besteht darin, vertrauenswürdige Websites wie Coinmarketcap.com, coingecko.com und certik.com zu besuchen, um offizielle Websites zu überprüfen“, heißt es im CertiK-Bericht.
Affiliate-Links können automatisch generiert werden – Einzelheiten finden Sie in unserer Ethik-Erklärung.