区块链、去中心化技术、DeFi、智能合约、“Metaverse”和Web3的概念,建立在密码系统之上的去中心化基础,也是区块链项目的基础。它们都有可能彻底改变我们今天理解和体验连通性的方式。然而,随着每一次技术革命,它也可能为网络攻击者开辟新的途径,Web3也不例外。现在最常见的威胁包括大量垃圾邮件和网络钓鱼、社交工程以及通过电子邮件和社交媒体平台进行的攻击。2月16日,Microsoft365Defender研究团队表示,尤其是网络钓鱼已经蔓延到区块链、托管钱包和智能合约。同时,他们强调这些威胁的持久性以及在未来相关系统和框架中构建安全基础的必要性。微软的网络安全研究人员表示,针对Web3和区块链的网络钓鱼攻击可以采取多种形式。其中,比较重要的一点是攻击者试图获取私钥来访问包含数字资产的钱包。虽然电子邮件网络钓鱼尝试确实时有发生,但社交媒体诈骗也很猖獗。例如,诈骗者可能会向用户发送一条直接消息,公开请求加密货币服务方面的帮助——并假装来自支持团队要求密钥。另一种策略是在社交媒体网站上发起虚假的免费代币空投,当用户试图访问他们的新资产时,他们会被重定向到恶意域,这些域要么试图窃取凭证,要么在受害者的账户上运行。加密劫持恶意软件的有效载荷在机器上执行。此外,众所周知,网络犯罪分子会拼写错误以冒充合法的区块链和加密货币服务。他们注册带有小错误或变化的网站域——例如cryptocurrency.com而不是cryptocurrency.com——并设置网络钓鱼站点来简单地窃取密钥。Ice钓鱼则不同,它完全忽略了私钥。这种攻击方法试图诱骗受害者签署一项交易,将用户的代币批准权交给犯罪分子。例如,此类交易所可用于DeFi环境和智能合约以允许代币交换。微软指出,“一旦批准交易被签署、提交和挖掘,付款人就可以访问资金。在‘冰钓鱼’攻击的情况下,攻击者可以在一段时间内积累批准,然后迅速耗尽所有资金受害者的钱包。”“冰钓最引人注目的例子是去年的BadgerDAO黑客攻击。攻击者能够破坏BadgerDAO的前端以获取对CloudflareAPI密钥的访问权限,然后从Badger智能合约中注入恶意脚本并将其删除。余额较高的客户是这些人往往是骗子的目标。据悉,上述事件中约有1.21亿美元被盗,相关审计和追回计划仍在进行中。BadgerDAO攻击强调了我们需要整合安全性,因为Web3处于开发和采用的早期阶段。最后,微软表示:“在高层,我们建议软件开发人员增加Web3的安全可用性。同时,最终用户需要通过额外的资源明确验证信息,例如查看项目的文档和外部声誉/信息。网站。”
