Кібербяспека ў Web3: Абараніце сябе (і сваю малпу JPEG)

Нават калі Web3 евангелісты даўно рэкламавалі ўласныя функцыі бяспекі блокчейна, паток грошай, які цячэ ў галіну, робіць яе прывабнай перспектывай для хакераў, ашуканцы і злодзеі.

Калі злачынцам атрымоўваецца ўзламаць кібербяспеку Web3, гэта часта звязана з тым, што карыстальнікі ігнаруюць найбольш распаўсюджаныя пагрозы чалавечай прагнасці, FOMO і невуцтва, а не з-за недахопаў у тэхналогіі.

Многія афёры абяцаюць вялікія выплаты, інвестыцыі або эксклюзіўныя бонусы; FTC называе гэтыя магчымасці заробку грошай і інвестыцыі махлярства.

Вялікія грошы ў афёрах

Паводле звестак ад 2022 чэрвеня паведамляць Федэральнай гандлёвай камісіяй з 1 года было выкрадзена больш за 2021 мільярд долараў у крыптавалюце. А ўчасткі для палявання хакераў - гэта месца, дзе людзі збіраюцца ў Інтэрнэце.

«Амаль палова людзей, якія паведамлялі аб страце крыпта з-за махлярства з 2021 года, сказалі, што гэта пачалося з рэкламы, паведамлення або паведамлення на платформе сацыяльных сетак», - заявіла FTC.

Нягледзячы на ​​​​тое, што махлярскія выхады гучаць занадта добра, каб быць праўдай, патэнцыйныя ахвяры могуць не верыць, улічваючы моцную валацільнасць крыптарынку; людзі не жадаюць прапусціць наступную вялікую рэч.

Зламыснікі нацэлены на NFT

Разам з крыптавалютамі, NFT, або незаменныя токены, сталі an усё больш папулярным мішэнь для ашуканцаў; па дадзеных фірмы па кібербяспецы Web3 Лабараторыі TRM, за два месяцы пасля мая 2022 года супольнасць NFT страціла прыкладна 22 мільёны долараў з-за махлярства і фішынгавых атак.

Калекцыі «блакітных фішак», такія як Сумна Ape Yacht Club (BAYC) асабліва шануецца мэта. У красавіку 2022 года акаўнт BAYC у Instagram быў узламаны ашуканцамі, якія перанакіроўвалі ахвяр на сайт, які вычэрпваў з іх кашалькоў Ethereum крыпта і NFT. Быў выкрадзены каля 91 NFT агульным коштам больш за 2.8 мільёна долараў. Праз некалькі месяцаў а Эксплойт Discord убачыў скрадзеныя ў карыстальнікаў NFT на суму 200 ETH.

Высокапастаўленыя ўладальнікі BAYC таксама сталі ахвярамі махлярства. 17 мая акцёр і прадзюсар Сэт Грын напісаў у твітэры, што стаў ахвярай фішынгавай аферы, якая прывяла да крадзяжу чатырох NFT, у тым ліку Bored Ape №8398. Акрамя асвятлення пагрозы, якую нясуць фішынгавыя атакі, гэта магло сарваць тэлевізійнае/стрымінгавае шоу на тэму NFT, запланаванае Грынам, «White Horse Tavern». NFT BAYC ўключаюць ліцэнзійныя правы на выкарыстанне NFT у камерцыйных мэтах, як у выпадку з Сумна і галодная рэстаран хуткага харчавання ў Лонг-Біч, Каліфорнія.

Падчас сесіі Twitter Spaces 9 чэрвеня, зялёнай сказаў, што вярнуў скрадзены JPEG пасля таго, як заплаціў 165 ETH (больш за 295,000 XNUMX долараў на той момант) чалавеку, які купіў NFT пасля яго крадзяжу.

«Фішынг па-ранейшаму з'яўляецца першым вектарам атакі», - Луіс Любек, інжынер па бяспецы ў фірме па кібербяспецы Web3, Халборн, Паведаміў расшыфроўваць.

Любек кажа, што карыстальнікі павінны ведаць пра падробленыя вэб-сайты, якія запытваюць уліковыя дадзеныя кашалька, кланаваныя спасылкі і падробленыя праекты.

Па словах Любека, фішынг можа пачацца з сацыяльнай інжынерыі, паведамляючы карыстальніку аб раннім запуску токена або аб тым, што яны ў 100 разоў павялічаць свае грошы, нізкім API або аб тым, што іх уліковы запіс быў узламаны і патрабуе змены пароля. Гэтыя паведамленні звычайна прыходзяць з абмежаваным часам на дзеянне, што яшчэ больш узмацняе ў карыстальнікаў страх страціць што-небудзь, таксама вядомы як FOMO.

У выпадку Грына фішынгавая атака адбылася праз кланаваную спасылку.

Фішынг-клон - гэта атака, пры якой махляр бярэ вэб-сайт, электронную пошту ці нават простую спасылку і стварае амаль ідэальную копію, якая выглядае законнай. Грын думаў, што чаканіў клоны «GutterCat», выкарыстоўваючы тое, што аказалася фішынгавым вэб-сайтам.

Калі Грын падключыў свой кашалёк да фішынгавага вэб-сайта і падпісаў транзакцыю для чаканкі NFT, ён даў хакерам доступ да сваіх прыватных ключоў і, у сваю чаргу, да сваіх Bored Apes.

Віды кібератак

Парушэнне бяспекі можа закрануць як кампаніі, так і прыватных асоб. Хаця гэта не поўны спіс, кібератакі, накіраваныя на Web3, звычайна адносяцца да наступных катэгорый:

• ? фішынг: Адна з найстарэйшых, але найбольш распаўсюджаных форм кібератакі, фішынгавыя атакі звычайна адбываюцца ў форме электроннай пошты і ўключаюць у сябе адпраўку махлярскіх паведамленняў, такіх як тэкставыя паведамленні і паведамленні ў сацыяльных сетках, якія, здаецца, паходзяць з аўтарытэтнай крыніцы. гэта кіберзлачыннасці таксама можа мець форму скампраметаванага або закадзіраванага са шкоднасным кодам вэб-сайта, які можа вычэрпваць крыпту або NFT з далучанага кашалька ў браўзеры пасля падключэння крыптакашалька.
• ?☠️ шкоднасных праграм: Скарачэнне ад шкоднаснага праграмнага забеспячэння, гэты агульны тэрмін ахоплівае любую праграму або код, якія шкодзяць сістэмам. Шкоднасныя праграмы могуць патрапіць у сістэму праз фішынгавыя электронныя лісты, тэкставыя паведамленні і паведамленні.
• ? Скампраметаваныя сайты: Гэтыя законныя вэб-сайты захопліваюцца злачынцамі і выкарыстоўваюцца для захоўвання шкоднасных праграм, якія нічога не падазравалыя карыстальнікі спампоўваюць, калі націскаюць на спасылку, малюнак або файл.
• ? Падробка URL: Выдаленне сувязі ўзламаных вэб-сайтаў; падробленыя вэб-сайты - гэта шкоднасныя сайты, якія з'яўляюцца клонамі законных вэб-сайтаў. Таксама вядомыя як URL-фішынг, гэтыя сайты могуць збіраць імёны карыстальнікаў, паролі, крэдытныя карты, крыптавалюту і іншую асабістую інфармацыю.
• ? Падробленыя пашырэнні для браўзераў: Як вынікае з назвы, гэтыя эксплойты выкарыстоўваюць падробленыя пашырэнні браўзера, каб падмануць карыстальнікаў крыптаграфіі і прымусіць іх увесці ўліковыя дадзеныя або ключы ў пашырэнне, якое дае кіберзлачынцам доступ да дадзеных.

Гэтыя атакі звычайна накіраваны на доступ, крадзеж і знішчэнне канфідэнцыйнай інфармацыі або, у выпадку Грына, Bored Ape NFT.

Што вы можаце зрабіць, каб абараніць сябе?

Любек кажа, што лепшы спосаб абараніць сябе ад фішынгу - гэта ніколі не адказваць на электронныя лісты, SMS, паведамленні Telegram, Discord або WhatsApp ад невядомай асобы, кампаніі або ўліковага запісу. "Я пайду далей", - дадаў Любек. «Ніколі не ўводзьце ўліковыя дадзеныя або асабістую інфармацыю, калі карыстальнік не пачаў зносіны».

Любек рэкамендуе не ўводзіць свае ўліковыя дадзеныя або асабістую інфармацыю пры выкарыстанні публічных або агульных Wi-Fi або сетак. Акрамя таго, распавядае Любек расшыфроўваць што людзі не павінны мець ілжывага пачуцця бяспекі, таму што яны выкарыстоўваюць пэўную аперацыйную сістэму або тып тэлефона.

«Калі мы гаворым пра такія віды махлярства: фішынг, выдаванне сябе за вэб-старонку, не мае значэння, карыстаецеся вы iPhone, Linux, Mac, iOS, Windows або Chromebook», — кажа ён. «Назавіце прыладу; праблема ў сайце, а не ў вашай прыладзе».

Беражыце сваю крыптаграфію і NFT

Давайце паглядзім больш на план дзеянняў «Web3».

Калі магчыма, выкарыстоўвайце абсталяванне або паветраны зазор Кашалькі для захоўвання лічбавых актываў. Гэтыя прылады, якія часам называюць "халодным сховішчам", выдаляюць вашу крыпту з Інтэрнэту, пакуль вы не будзеце гатовыя яе выкарыстоўваць. Хаця звычайна і зручна выкарыстоўваць кашалькі на аснове браўзера, такія як MetaMask, памятайце, усё, што падключана да Інтэрнэту, можа быць узламана.

Калі вы карыстаецеся мабільным, браўзерным або настольным кашальком, таксама вядомым як гарачы кашалёк, спампуйце іх з афіцыйных платформаў, такіх як Google Play Store, Apple App Store або правераных вэб-сайтаў. Ніколі не спампоўвайце па спасылках, адпраўленых у тэкставых паведамленнях або па электроннай пошце. Нягледзячы на ​​тое, што шкоднасныя праграмы могуць трапіць у афіцыйныя крамы, гэта больш бяспечна, чым выкарыстанне спасылак.

Пасля завяршэння транзакцыі адключыце кашалёк ад вэб-сайта.

Не забудзьцеся захаваць прыватныя ключы, пачатковыя фразы і паролі ў таямніцы. Калі вас просяць падзяліцца гэтай інфармацыяй для ўдзелу ў інвестыцыях або чаканцы, гэта афёра.

Інвестуйце толькі ў праекты, якія вы разумееце. Калі незразумела, як працуе схема, спыніцеся і правядзіце дадатковыя даследаванні.

Ігнаруйце тактыку моцнага ціску і сціснутыя тэрміны. Часта ашуканцы выкарыстоўваюць гэта, каб паспрабаваць выклікаць FOMO і прымусіць патэнцыйных ахвяр не думаць і не даследаваць тое, што ім кажуць.

І апошняе, але не менш важнае: калі гэта гучыць занадта добра, каб быць праўдай, верагодна, гэта афёра.