Làm thế nào để không dính “lừa đảo băng” bởi những kẻ lừa đảo tiền điện tử 

Đăng ngày 21/12/2022
Lừa đảo băng là một loại lừa đảo chỉ tồn tại trong Web3 và là “mối đe dọa đáng kể” đối với cộng đồng tiền điện tử.
Công ty bảo mật chuỗi khối CertiK đã nhắc nhở cộng đồng tiền điện tử cảnh giác với các trò lừa đảo “lừa đảo trên băng” — một loại lừa đảo lừa đảo duy nhất nhắm mục tiêu đến người dùng Web3 — lần đầu tiên được Microsoft xác định vào đầu năm nay.
Trong một báo cáo phân tích vào ngày 20 tháng 12, CertiK đã mô tả các trò lừa đảo trên băng là một cuộc tấn công lừa người dùng Web3 ký các quyền, điều này cuối cùng sẽ cho phép kẻ lừa đảo chi tiêu mã thông báo của họ.
How to avoid getting hooked by crypto ‘ice phishing’ scammers — CertiK
Điều này khác với các cuộc tấn công lừa đảo truyền thống cố gắng truy cập thông tin bí mật như khóa cá nhân hoặc mật khẩu, chẳng hạn như các trang web giả mạo được thiết lập để giúp các nhà đầu tư FTX lấy lại số tiền bị mất trên sàn giao dịch.
Một vụ lừa đảo ngày 17 tháng 12 trong đó 14 con Vượn chán đã bị đánh cắp là một ví dụ về một vụ lừa đảo tinh vi bằng băng. Một nhà đầu tư đã bị thuyết phục ký vào một yêu cầu giao dịch được ngụy trang dưới dạng hợp đồng phim, điều này cuối cùng đã cho phép kẻ lừa đảo bán tất cả vượn của người dùng cho chính họ với số lượng không đáng kể.
Công ty lưu ý rằng kiểu lừa đảo này là một “mối đe dọa đáng kể” chỉ có trong thế giới Web3, vì các nhà đầu tư thường được yêu cầu ký quyền đối với các giao thức tài chính phi tập trung (DeFi) mà họ tương tác, giao thức này có thể dễ dàng bị làm giả.
“Tin tặc chỉ cần làm cho người dùng tin rằng địa chỉ độc hại mà họ đang cấp phép là hợp pháp. Khi người dùng đã phê duyệt quyền cho kẻ lừa đảo chi tiêu mã thông báo, thì tài sản có nguy cơ bị cạn kiệt.”
Khi kẻ lừa đảo đã được chấp thuận, họ có thể chuyển tài sản đến một địa chỉ mà họ chọn.
Một ví dụ về cách hoạt động của một cuộc tấn công lừa đảo băng trên Etherscan. Nguồn: Chứng nhận
Để tự bảo vệ mình khỏi lừa đảo băng, CertiK khuyến nghị các nhà đầu tư thu hồi quyền đối với các địa chỉ mà họ không nhận ra trên các trang web khám phá chuỗi khối như Etherscan, bằng cách sử dụng công cụ phê duyệt mã thông báo.
Ngoài ra, các địa chỉ mà người dùng dự định tương tác nên được tra cứu trên các trình khám phá chuỗi khối này để tìm hoạt động đáng ngờ. Trong phân tích của mình, CertiK chỉ ra một địa chỉ được tài trợ bởi các khoản rút tiền Tornado Cash như một ví dụ về hoạt động đáng ngờ.
CertiK cũng gợi ý rằng người dùng chỉ nên tương tác với các trang web chính thức mà họ có thể xác minh và đặc biệt cảnh giác với các trang mạng xã hội như Twitter, lấy tài khoản Twitter lạc quan giả làm ví dụ.
Tài khoản Twitter giả mạo. Nguồn: Certik
Công ty cũng khuyên người dùng nên dành vài phút để kiểm tra một trang web đáng tin cậy như CoinMarketCap hoặc Coingecko, người dùng sẽ có thể thấy rằng URL được liên kết không phải là một trang web hợp pháp và nên tránh.
Gã khổng lồ công nghệ Microsoft là người đầu tiên nêu bật hoạt động này trong một bài đăng trên blog vào ngày 16 tháng 2, cho biết vào thời điểm đó rằng mặc dù lừa đảo thông tin xác thực rất phổ biến trong thế giới Web2, nhưng lừa đảo băng cho phép những kẻ lừa đảo cá nhân có khả năng đánh cắp một phần của ngành công nghiệp tiền điện tử trong khi duy trì “gần như hoàn toàn ẩn danh.”
Họ khuyến nghị rằng các dự án Web3 và nhà cung cấp ví tăng cường bảo mật cho các dịch vụ của họ ở cấp độ phần mềm để tránh gánh nặng tránh các cuộc tấn công lừa đảo trên băng chỉ đặt lên vai người dùng cuối.
Tổng hợp: Coinf0
Tham gia cộng đồng CoinF0 trên Telegram để cập nhật tin tức thị trường Crypto nhanh nhất và tiếp cận thông tin những dự án tiềm năng
Tham Gia CoinF0 Ngay