鄭見

微軟365防御者研究團隊表示，尤其是網(wǎng)絡釣魚已經(jīng)蔓延到區(qū)塊鏈、托管錢包和智能合約上大行其道。

區(qū)塊鏈、去中心化技術(shù)、DeFi、智能合約、“元宇宙”的概念和Web3，這些建立在加密系統(tǒng)之上的去中心化基礎，也是區(qū)塊鏈項目的基礎。它們都有可能對我們今天理解和體驗連接的方式產(chǎn)生徹底的改變。

然而，隨著每一次技術(shù)革新也可能為網(wǎng)絡攻擊者創(chuàng)造新的途徑，Web3也不例外。現(xiàn)在，最常見的威脅包括通過電子郵件和社交媒體平臺進行的大規(guī)模垃圾郵件和網(wǎng)絡釣魚，社會工程和漏洞利用。

2022年2月16日，微軟365防御者研究團隊表示，尤其是網(wǎng)絡釣魚已經(jīng)蔓延到區(qū)塊鏈、托管錢包和智能合約上大行其道。同時，他們強調(diào)了這些威脅的持久性，以及在未來相關系統(tǒng)和框架中構(gòu)建安全基礎的必要性。

微軟的網(wǎng)絡安全研究人員說，針對Web3和區(qū)塊鏈的網(wǎng)絡釣魚攻擊可以采取多種形式，其中較為主要的一種是攻擊者試圖獲得私人的加密密鑰來訪問包含數(shù)字資產(chǎn)的錢包。

雖然電子郵件的網(wǎng)絡釣魚嘗試確實發(fā)生了，但社交媒體的詐騙也很猖獗。例如，詐騙者可能會向用戶直接發(fā)送消息，公開請求加密貨幣服務的幫助，并在假裝來自支持團隊的同時，要求提供密鑰。

另一種策略是通過在社交媒體網(wǎng)站上發(fā)起免費代幣的假空投，當用戶試圖訪問他們的新資產(chǎn)時，會被重定向到惡意域名，這些域名要么試圖竊取憑證，要么在受害者的機器上執(zhí)行加密劫持惡意軟件的有效載荷。

此外，網(wǎng)絡犯罪分子會進行錯別字搶注，以冒充合法的區(qū)塊鏈和加密貨幣服務。他們注冊含有小錯誤或變化的網(wǎng)站域名，如：cryptocurency.com而不是cryptocurrency.com并建立釣魚網(wǎng)站，直接盜取密鑰。

冰雪釣魚則不同，它完全忽略了私人密鑰。這種攻擊方法試圖欺騙受害者簽署一項交易，將用戶的代幣批準權(quán)交給犯罪分子。例如，此類交易可用于DeFi環(huán)境和智能合約，以允許進行代幣交換。

微軟指出，“一旦批準交易被簽署、提交和挖掘，支付者就可以訪問資金。如果是冰上釣魚攻擊，攻擊者可以在一段時間內(nèi)積累審批，然后迅速耗盡所有受害者的錢包?！?/p>

最引人注目的冰上釣魚的例子是2021年的BadgerDAO入侵事件。攻擊者破壞了BadgerDAO的前端，以獲得對Cloudflare API密鑰的訪問，然后從Badger智能合約中注入惡意腳本并刪除。高余額的客戶往往是這些欺詐者的目標。

據(jù)悉，上述事件大約有1.21億美元被盜，而相關的審計和恢復計劃還在進行中。而Badger DAO攻擊強調(diào)了在Web3處于早期發(fā)展和采用階段，我們有必要將安全性納入其中。

微軟表示：“在較高的層面上，我們建議軟件開發(fā)人員提高Web3的安全可用性。與此同時，最終用戶需要通過額外的資源來明確驗證信息，例如查看項目的文檔和外部聲譽/信息網(wǎng)站?！?/p>