区块链、去中心化技术、DeFi、智能合约、“元宇宙 ”的概念和Web3,这些建立在加密系统之上的去中心化基础,也是区块链项目的基础。它们都有可能对我们今天理解和体验连接的方式产生彻底的改变。
然而,随着每一次技术革新,也可能为网络攻击者创造新的途径,Web3也不例外。现在,最常见的威胁包括通过电子邮件和社交媒体平台进行的大规模垃圾邮件和网络钓鱼,社会工程和漏洞利用。
2月16日,微软365防御者研究团队表示,尤其是网络钓鱼已经蔓延到区块链、托管钱包和智能合约上大行其道。同时,他们强调了这些威胁的持久性,以及在未来相关系统和框架中构建安全基础的必要性。
微软的网络安全研究人员说,针对 Web3 和区块链的网络钓鱼攻击可以采取多种形式。其中,较为主要的一种是攻击者试图获得私人的加密密钥来访问包含数字资产的钱包。
虽然电子邮件的网络钓鱼尝试确实发生了,但社交媒体的诈骗也很猖獗。例如,诈骗者可能会向用户直接发送消息,公开请求加密货币服务的帮助 -- 并在假装来自支持团队的同时,要求提供密钥。
另一种策略是通过在社交媒体网站上发起免费代币的假空投,当用户试图访问他们的新资产时,他们会被重定向到恶意域名,这些域名要么试图窃取凭证,要么在受害者的机器上执行加密劫持恶意软件的有效载荷。
此外,众所周知,网络犯罪分子会进行错别字抢注,以冒充合法的区块链和加密货币服务。他们注册含有小错误或变化的网站域名--如cryptocurency.com而不是cryptocurrency.com--并建立钓鱼网站,直接盗取密钥。
冰雪钓鱼则不同,它完全忽略了私人密钥。这种攻击方法试图欺骗受害者签署一项交易,将用户的代币批准权交给犯罪分子。例如,此类交易可用于 DeFi 环境和智能合约,以允许进行代币交换。
微软指出,“一旦批准交易被签署、提交和挖掘,支付者就可以访问资金。如果是'冰上钓鱼'攻击,攻击者可以在一段时间内积累审批,然后迅速耗尽所有受害者的钱包。”
最引人注目的冰上钓鱼的例子是去年的BadgerDAO入侵事件。攻击者能够破坏BadgerDAO的前端,以获得对Cloudflare API密钥的访问,然后从Badger智能合约中注入恶意脚本并删除。而高余额的客户往往是这些人的欺诈者的目标。
据悉,上述事件大约有1.21亿美元被盗,而相关的审计和恢复计划还在进行中。而Badger DAO攻击强调了在Web3处于早期发展和采用阶段,我们有必要将安全性纳入其中。
最后,微软表示:“在较高的层面上,我们建议软件开发人员提高 Web3 的安全可用性。与此同时,最终用户需要通过额外的资源来明确验证信息,例如查看项目的文档和外部声誉/信息网站。”