超級新手︱了解冰釣攻擊
近月加密貨幣出現新型騙局,NFT 收藏家 sevenseason 早前在社交媒體上發文,指其個人收藏共計 14 枚 Bored Ape Yacht Club (BAYC)無聊猿 NFT 已全部被偷,隨即在二手市場成交,交易者共獲利約 968.95 以太幣,涉資近千萬港元。
有別於過去「勒索軟體」及「網絡釣魚」,這次黑客用上了新式的「冰釣攻擊」(ice phishing)。微軟更發出警告,稱有可能出現針對區塊鏈和 Web3 環境的網絡釣魚攻擊變種,提醒用戶提防。
甚麼是冰釣攻擊?
一直以來,網絡釣魚都是黑客用來竊取受害者資產的流行方法之一,「冰釣攻擊」則是 Web3 中獨有的一種攻擊。
簡單而言,黑客誘騙 Web3 用戶簽署許可而解鎖權限,讓他們可偷取用戶錢包內的資產。與傳統的網絡釣魚攻擊不同,雖同樣可獲取用戶機密信息,如私人鑰匙或密碼,但因與 DeFi 協議的互動需先獲取授予權限,加上 Web3 特徵之一是去中心化,較 Web2 應用程式少了第三方平台保護,用戶一旦簽署許可,資產就有可能直接被抽走,危險程度較「網絡釣魚」高。
冰釣攻擊的例子
根據微軟 365 Defender 研究團隊發表的文章,Badger DAO 攻擊於 2021 年底成功從用戶手中竊取逾一億美元。
當時 Badger 為一種 DeFi 協議,允許人們從比特幣存款中賺取利息。當時智能合約前端基礎設施遭到破壞,允許攻擊者將惡意腳本(Script)注入 Badger 智能合約,並要求用戶簽署交易。
2021 年 12 月 2 日凌晨,受害者賬戶中的資金被抽走,在 10 小時內有近 200 個賬戶被提取 1.21 億美元。
如何偵查冰釣攻擊?
如用戶不肯定地址是否「冰釣攻擊」,可通過例如 CertiK 的驗證網站,查看有沒有顯示虛假審計或合作夥伴關係。CertiK 亦建議用戶使用代幣批准工具和區塊鏈瀏覽器,如 Etherscan,來查看地址的交易記錄。
如果看到一個不認識的地址,或者一個地址在未經批准下發起交易,應撤銷其權限。用戶可通過 revoke.cash 等網站,或將錢包連接到掃描網站來撤銷。
如何防範冰釣攻擊?
預防勝於治療,要防範冰釣攻擊,最佳簡單方法是只登入信任的官方網站,而在 Twitter 等社交網絡上,可以發現許多冰釣攻擊詐騙,包括利用虛假資料偽裝成合法項目,並宣傳虛假空投,因此用戶使用社交網絡時,要相當小心。
微軟建議,用戶應時刻檢查合約地址是否正確、Web3 項目是否設有可以部署修復程序、合約是否具有事件響應或緊急功能,亦應了解可否暫停或取消。
另外,可通過 defiyield 評估智能合約是否經過審計;CertiK Skynet 則可通過鏈上監控跟蹤部署後的安全情報,亦可定期審查和撤銷代幣配額,如使用 etherscan.io。