微軟針對(duì)區(qū)塊鏈上的網(wǎng)絡(luò)釣魚(yú)攻擊發(fā)出警告

鄭見(jiàn)

微軟365防御者研究團(tuán)隊(duì)表示，尤其是網(wǎng)絡(luò)釣魚(yú)已經(jīng)蔓延到區(qū)塊鏈、托管錢包和智能合約上大行其道。

區(qū)塊鏈、去中心化技術(shù)、DeFi、智能合約、“元宇宙”的概念和Web3，這些建立在加密系統(tǒng)之上的去中心化基礎(chǔ)，也是區(qū)塊鏈項(xiàng)目的基礎(chǔ)。它們都有可能對(duì)我們今天理解和體驗(yàn)連接的方式產(chǎn)生徹底的改變。

然而，隨著每一次技術(shù)革新也可能為網(wǎng)絡(luò)攻擊者創(chuàng)造新的途徑，Web3也不例外?，F(xiàn)在，最常見(jiàn)的威脅包括通過(guò)電子郵件和社交媒體平臺(tái)進(jìn)行的大規(guī)模垃圾郵件和網(wǎng)絡(luò)釣魚(yú)，社會(huì)工程和漏洞利用。

2022年2月16日，微軟365防御者研究團(tuán)隊(duì)表示，尤其是網(wǎng)絡(luò)釣魚(yú)已經(jīng)蔓延到區(qū)塊鏈、托管錢包和智能合約上大行其道。同時(shí)，他們強(qiáng)調(diào)了這些威脅的持久性，以及在未來(lái)相關(guān)系統(tǒng)和框架中構(gòu)建安全基礎(chǔ)的必要性。

微軟的網(wǎng)絡(luò)安全研究人員說(shuō)，針對(duì)Web3和區(qū)塊鏈的網(wǎng)絡(luò)釣魚(yú)攻擊可以采取多種形式，其中較為主要的一種是攻擊者試圖獲得私人的加密密鑰來(lái)訪問(wèn)包含數(shù)字資產(chǎn)的錢包。

雖然電子郵件的網(wǎng)絡(luò)釣魚(yú)嘗試確實(shí)發(fā)生了，但社交媒體的詐騙也很猖獗。例如，詐騙者可能會(huì)向用戶直接發(fā)送消息，公開(kāi)請(qǐng)求加密貨幣服務(wù)的幫助，并在假裝來(lái)自支持團(tuán)隊(duì)的同時(shí)，要求提供密鑰。

另一種策略是通過(guò)在社交媒體網(wǎng)站上發(fā)起免費(fèi)代幣的假空投，當(dāng)用戶試圖訪問(wèn)他們的新資產(chǎn)時(shí)，會(huì)被重定向到惡意域名，這些域名要么試圖竊取憑證，要么在受害者的機(jī)器上執(zhí)行加密劫持惡意軟件的有效載荷。

此外，網(wǎng)絡(luò)犯罪分子會(huì)進(jìn)行錯(cuò)別字搶注，以冒充合法的區(qū)塊鏈和加密貨幣服務(wù)。他們注冊(cè)含有小錯(cuò)誤或變化的網(wǎng)站域名，如：cryptocurency.com而不是cryptocurrency.com并建立釣魚(yú)網(wǎng)站，直接盜取密鑰。

冰雪釣魚(yú)則不同，它完全忽略了私人密鑰。這種攻擊方法試圖欺騙受害者簽署一項(xiàng)交易，將用戶的代幣批準(zhǔn)權(quán)交給犯罪分子。例如，此類交易可用于DeFi環(huán)境和智能合約，以允許進(jìn)行代幣交換。

微軟指出，“一旦批準(zhǔn)交易被簽署、提交和挖掘，支付者就可以訪問(wèn)資金。如果是冰上釣魚(yú)攻擊，攻擊者可以在一段時(shí)間內(nèi)積累審批，然后迅速耗盡所有受害者的錢包?！?/p>

最引人注目的冰上釣魚(yú)的例子是2021年的BadgerDAO入侵事件。攻擊者破壞了BadgerDAO的前端，以獲得對(duì)Cloudflare API密鑰的訪問(wèn)，然后從Badger智能合約中注入惡意腳本并刪除。高余額的客戶往往是這些欺詐者的目標(biāo)。

據(jù)悉，上述事件大約有1.21億美元被盜，而相關(guān)的審計(jì)和恢復(fù)計(jì)劃還在進(jìn)行中。而B(niǎo)adger DAO攻擊強(qiáng)調(diào)了在Web3處于早期發(fā)展和采用階段，我們有必要將安全性納入其中。

微軟表示：“在較高的層面上，我們建議軟件開(kāi)發(fā)人員提高Web3的安全可用性。與此同時(shí)，最終用戶需要通過(guò)額外的資源來(lái)明確驗(yàn)證信息，例如查看項(xiàng)目的文檔和外部聲譽(yù)/信息網(wǎng)站?！?/p>