Crypto News

Comment éviter de se faire accrocher par les escrocs crypto “ice phishing” — CertiK

La société de sécurité Blockchain CertiK a rappelé à la communauté cryptographique de rester vigilante face aux escroqueries «ice phishing» – un type unique d’escroquerie par hameçonnage ciblant les utilisateurs de Web3 – identifié pour la première fois par Microsoft plus tôt cette année.

Dans un rapport d’analyse du 20 décembre, CertiK a décrit les escroqueries par hameçonnage sur glace comme une attaque qui incite les utilisateurs de Web3 à signer des autorisations qui finissent par permettre à un escroc de dépenser ses jetons.

Cela diffère des attaques de phishing traditionnelles qui tentent d’accéder à des informations confidentielles telles que des clés privées ou des mots de passe, comme les faux sites Web mis en place qui prétendaient aider les investisseurs FTX à récupérer les fonds perdus lors de l’échange.

Une escroquerie du 17 décembre où 14 Bored Apes ont été volés est un exemple d’escroquerie élaborée par hameçonnage sur glace. Un investisseur a été convaincu de signer une demande de transaction déguisée en contrat de film, ce qui a finalement permis à l’escroc de se vendre tous les singes de l’utilisateur pour un montant négligeable.

La société a noté que ce type d’escroquerie était une “menace considérable” que l’on ne trouve que dans le monde Web3, car les investisseurs sont souvent tenus de signer des autorisations pour les protocoles de finance décentralisée (DeFi) avec lesquels ils interagissent, ce qui pourrait être facilement falsifié.

“Le pirate a juste besoin de faire croire à un utilisateur que l’adresse malveillante à laquelle il accorde son approbation est légitime. Une fois qu’un utilisateur a approuvé les autorisations permettant à l’escroc de dépenser des jetons, les actifs risquent d’être épuisés. »

Une fois qu’un escroc a obtenu l’approbation, il peut transférer des actifs à l’adresse de son choix.

Un exemple du fonctionnement d’une attaque d’ice phishing sur Etherscan. Source : Certik

Pour se protéger de l’ice phishing, CertiK a recommandé aux investisseurs de révoquer les autorisations pour les adresses qu’ils ne reconnaissent pas sur les sites d’exploration de blockchain tels qu’Etherscan, à l’aide d’un outil d’approbation de jetons.

En rapport: Le co-fondateur de l’escroquerie OneCoin de 4 milliards de dollars plaide coupable et risque 60 ans de prison

De plus, les adresses avec lesquelles les utilisateurs envisagent d’interagir doivent être recherchées sur ces explorateurs de blockchain pour toute activité suspecte. Dans son analyse, CertiK pointe une adresse qui a été financée par les retraits de Tornado Cash comme exemple d’activité suspecte.

CertiK a également suggéré que les utilisateurs ne doivent interagir qu’avec des sites officiels qu’ils sont en mesure de vérifier, et de se méfier particulièrement des sites de médias sociaux comme Twitter, en mettant en évidence un faux compte Twitter Optimism comme exemple.

Comment éviter de se faire accrocher par les escrocs crypto "ice phishing" — CertiK
Faux compte Twitter Optimisme. Source : Certik

La société a également conseillé aux utilisateurs de prendre quelques minutes pour vérifier un site de confiance tel que CoinMarketCap ou Coingecko, les utilisateurs auraient pu voir que l’URL liée n’était pas un site légitime et devrait être évitée.

Le géant de la technologie Microsoft a été le premier à mettre en évidence cette pratique dans un article de blog du 16 février, affirmant à l’époque que si l’hameçonnage des informations d’identification est très prédominant dans le monde Web2, l’ice phishing donne aux escrocs individuels la possibilité de voler une partie de l’industrie de la cryptographie. tout en conservant « un anonymat presque complet ».

Ils ont recommandé que les projets Web3 et les fournisseurs de portefeuilles augmentent la sécurité de leurs services au niveau logiciel afin d’éviter que le fardeau d’éviter les attaques d’ice phishing ne soit placé uniquement sur l’utilisateur final.