区块链、分散技术、DeFi、元宇宙 的概念和智能合约Web3.这些基于加密系统的分散基础也是区块链项目的基础。它们可能会彻底改变我们今天理解和体验连接的方式。
然而,每一次技术创新也可能为网络攻击者创造新的途径,Web3也不例外。目前,最常见的威胁包括通过电子邮件和社交媒体平台进行的大规模垃圾邮件和网络钓鱼、社会工程和漏洞利用。
2月16日,微软365防御研究团队表示,特别是网络钓鱼已经蔓延到区块链、托管钱包和智能合时,他们强调了这些威胁的可持续性,以及在未来相关系统和框架中建立安全基础的必要性。
微软网络安全研究人员表示,针对 Web3 和区块链的在线钓鱼攻击可以采取多种形式。其中,更重要的是,攻击者试图获得私人加密钥来访问包含数字资产的钱包。
虽然电子邮件的在线钓鱼尝试确实发生了,但社交媒体欺诈也非常猖獗。例如,欺诈者可以直接向用户发送信息,并公开要求加密货币服务的帮助 -- 并要求提供密钥,同时假装来自支持团队。
另一种策略是在社交媒体网站上发起免费代币的假空投。当用户试图访问他们的新资产时,他们将被重新定位为恶意域名。这些域名要么试图窃取凭证,要么在受害者的机器上执行加密劫持恶意软件的有效载荷。
此外,众所周知,网络犯罪分子会注册错别字,假装是合法的区块链和加密货币服务。他们注册了一个小错误或变化的网站域名--如cryptocurency.com而不是cryptocurrency.com--并建立钓鱼网站,直接窃取密钥。
冰雪钓鱼是不同的。它完全忽略了私钥。这种攻击试图欺骗受害者签署交易,并将用户的代币批准权交给犯罪分子。例如,此类交易可用于 DeFi 环境和智能合约允许代币交换。
微软指出,一旦批准交易被签署、提交和挖掘,支付者可以访问资金。如果是‘冰上钓鱼’攻击,攻击者可以在一段时间内积累批准,然后迅速耗尽所有受害者的钱包。
冰上钓鱼最引人注目的例子是去年BadgerDAO入侵事件。攻击者可以破坏。BadgerDAO获得正确的前端Cloudflare API然后从密钥访问Badger将恶意脚本注入智能合同并删除。而且高余额的客户往往是这些人的目标。
据悉,上述事件约有1起.21亿美元被盗,相关审计和恢复计划仍在进行中。Badger DAO攻击强调在Web在早期发展和采用阶段,有必要将安全纳入其中。
最后,微软表示:“在较高的层面上,我们建议软件开发人员提高 Web3 的安全可用性。与此同时,最终用户需要通过额外的资源来明确验证信息,例如查看项目的文档和外部声誉/信息网站。”
