在眾多欺詐類別中,釣魚攻擊是欺詐者們最常使用的方式之一。然而,在Web3.0領域,不止有著釣魚攻擊,還有一種會對社區產生重大威脅的「IcePhishing」攻擊。2022年早些時候,微軟首次于blog中闡述了該類攻擊的具體形式——騙子無需騙取用戶的私鑰以及助記詞,而是直接誘使用戶批準將資產轉移到騙子錢包的操作。截至目前,IcePhishing已經造成了Web3.0領域數百萬美元的資產損失。什么是IcePhishing?
IcePhishing是一種Web3.0世界獨有的攻擊類型,用戶被誘騙簽署權限,允許欺詐者直接消費用戶賬戶內的資產。這與傳統的網絡釣魚攻擊不同,后者作為一種社會工程攻擊手段,通常用于竊取用戶數據,包括登錄憑證和錢包或資產信息,如私人鑰匙或密碼。IcePhishing相較于此,對Web3.0用戶具備更大的威脅——與DeFi協議的互動需要用戶授予權限,欺詐者只需要讓用戶相信他們所批準的惡意地址是合法的。一旦用戶批準欺詐者花費其資產,那么賬戶就有可能被盜。鏈上IcePhishing
美聯儲主席:預計到2025年,美國核心通脹率將達到2%:金色財經報道,美聯儲主席鮑威爾表示,就業市場的放緩迄今為止仍是在美聯儲預期之中的;預計美國通脹率在2023年和2024年不會回到2%的目標水平;只要仍有需要,美聯儲將繼續在政策上保持足夠的限制性;當前距離美聯儲有信心認為通脹率正在降至2%目標仍相去甚遠;預計到2025年,美國核心通脹率將達到2%。[2023/6/28 22:06:26]
IcePhishing攻擊的第一階段往往是:受害者被騙,批準EOA或惡意合約來花費受害者錢包中的資產。下圖中的交易可作為示例:
來源:Etherescan下一階段則是釣魚地址發起TransferFrom交易,該交易將資產從受害者轉移到欺詐者選擇的地址。在下圖的例子中,USDT被轉移到0x9ca3b...
狗狗幣開發工具集libdogecoin發布更新,支持二維碼生成、BIP39等標準:3月25日消息,根據開發者Michi Lumin 3月23日的公告,狗狗幣基金會(Dogecoin Foundation)發布了libdogecoin工具集的重大更新。Lumin稱這是一次“大更新”,包括幾個新功能以及各種修復和改進。這次更新包括對BIP39的支持,這是一種被比特幣錢包和其他錢包廣泛用于創建和恢復地址的標準。這次更新還增加了對相關地址標準的全面支持,如BIP32、BIP44和SLIP44。
這意味著用戶有更多與種子短語相關的選項,種子短語是一個常用單詞列表,可以作為記憶工具。Lumin表示,此次更新將支持多種語言。此外,該工具集能夠生成二維碼,這通常用于移動錢包交易。(Crypto Slate)[2023/3/25 13:26:16]
云南電網啟動“區塊鏈”國家重點研發計劃項目:金色財經報道,近日,南方電網云南電網公司啟動實施“基于區塊鏈的可信碳交易與碳中和管理示范應用(應用示范類)”國家重點研發項目,率先在南方電網開展“區塊鏈+綠電認證+綠色能源+電碳交易+綠電產品”增值研究。
2022年4月國家發布“區塊鏈”重點研發計劃申報指南,其中,“基于區塊鏈的可信碳交易與碳中和管理示范應用(應用示范類)”項目旨在解決雙碳領域中清潔能源生產、交易、消費多環節和電碳協同運行、可信交易無法鏈通融合之間的主要矛盾。[2023/2/28 12:34:01]
來源:Etherescan我們可以看到,欺詐者啟動了受害者和接收者之間的交易。這里需要強調的是,收款人地址不一定是對你進行詐騙的錢包,而是發起交易的錢包。欺詐者往往將用戶的資金發送到他們控制的第二個EOA。從下圖的交易流程中可以看出:
上周以太坊Layer 2網絡消耗超320億gas,創歷史最高單周記錄:1月17日消息,Dune Analytics 數據顯示,以太坊 Layer 2 網絡在 1 月 9 日至 1 月 15 日的一周內消耗超 320 億 gas 來驗證和激活橋接交易,同比增長 22.8%,并創下迄今為止歷史最高單周 gas 消耗記錄。 其中 Arbitrum 和 Optimism 鏈上活動明顯增加,截至 1 月 15 日,兩個 Layer 2 鏈上總交易量達到 120 萬筆,而以太坊鏈上交易量則約為 100 萬筆,在 gas 消耗占比方面,Optimism 貢獻了大約 50% 的 gas 消耗,其次是 Arbitrum,占比約為 30%。[2023/1/17 11:17:22]
來源:CertiK如果你在錢包里看到可疑的交易,就需要檢查一下發起的EOA是否被授予了花費你資產的權限。你可以在Etherscan或Debank等掃描系統上自行檢查。
幣安聘請英國董事,要求遵守監管機構的要求:金色財經報道,幣安歐洲和英國地區經理Ilir Laro在領英的一篇帖子中表示,他的公司選擇Nish Patel擔任董事。Laro寫道:“我們的主要重點將是注冊并遵守英國金融行為監管局(Financial Conduct Authority),在英國運營受監管的加密資產業務。”根據帕特爾的領英資料,他此前在加密貨幣平臺Rain和漢密爾頓資本控股公司(Hamilton Capital Holding)從事合規工作。(the block)[2022/11/11 12:47:17]
來源:Etherescan如果你看到一個你不認識的地址,或者一個未經你批準就啟動交易的地址,那么請立即撤銷權限。如何通過掃描網站撤銷權限?1.訪問https://etherscan.io/tokenapprovalchecker并搜索錢包2.連接錢包3.點擊ERC-20、ERC-721或ERC-1155標簽,找到你想撤銷的地址。4.點擊撤銷按鈕如何辨認IcePhishing?
用戶判定自己是否落入IcePhishing陷阱的第一個辨認信號就是查看他們正在使用的URL或DApp。惡意網站會山寨合法項目的頁面,或者假冒合法機構的合作方。比如我們經常會看到一些詐騙網站掛著與CertiK的合作關系或是上傳山寨的CertiK審計報告。下方是眾多假冒礦池事件的其中一例,它違法使用了CertiK的logo與其它正規機構的相關標志。
來源:CertiK調查團隊如果在這個網站上簽署批準,就會允許一個惡意的EOA從你的錢包中無限制花費USDT——這基本上意味著你擁有的所有USDT都處于風險之中。
來源:MetaMask通過登錄certik.com來查驗,你會發現本例中的上述網站并非CertiK的合作伙伴。如果你有相關需求,可以通過點擊CertiK官網上的“ReportanIncident”與CertiK的事件響應團隊聯系。
用戶可以在certik.com上提交惡意合約的報告一些鏈上檢查是用戶可以通過自己DYOR來進行的,比如將的DApp或URL上呈現的地址通過掃描網站來查看其是否有可疑活動。在下方的例子中,我們在EOA0x13a...5dE49上檢測到疑似IcePhishing的活動,并發現它是由Tornado.Cash提款資助的。
來源:Etherescan在進一步調查后,我們發現0x13a…5dE49將Pulse社區作為目標,其主要社區成員已警告了用戶IcePhishing的危險性。
來源:推特通過調查一些受害者的錢包和社交媒體上的投訴發文,我們發現了一個假的MaximusDAO推特頁面,這很可能與IcePhishing錢包有關。如何保護自己?
防止自己成為IcePhishing受害者的最簡單方法就是訪問可信的網站以驗證信息真實性,如Coinmarketcap.com、coingecko.com和certik.com。許多IcePhishing的騙局可以在社交媒體上找到,比如一些欺詐項目會偽造成合法項目并宣傳空投之類的虛假活動。在下圖示例中,我們可以看到一個假的Optimism推特賬戶在宣傳一個釣魚網站。
來源:@CertiKAlert請花點時間來驗證你正在互動的URL或DApp是否合法。如果不確定,可以通過訪問可信的來源進行雙重檢查。寫在最后
釣魚網站是我們在Web3.0領域看到最常見的詐騙類型之一,用戶有時甚至無法意識到他們已經落入陷阱,因為他們沒有給出任何敏感信息。因此除了你靠自己進行一番鏈上檢查以外,也需要花費更多的時間來仔細檢查互動的URL是否經過可信來源的驗證——這些花費的時間總有一天給你回報。
Tags:INGICEPHISHINufogaming幣能漲到1毛嗎cerclestockservicePHITFloshin Token
采訪人:GilRosen,斯坦福大學助教師受訪者:PaulVeradittakit,PanteraCapital合伙人原文編譯:aididiaojp.eth.
1900/1/1 0:00:00軟件工程師CaseyRodarmor于1月21日在比特幣主網上推出了Ordinals協議。它允許將圖像、文本、程序甚至視頻游戲等數字作品直接刻在比特幣區塊鏈上.
1900/1/1 0:00:00原文來源:IntoTheBlock原文編譯:白澤研究院這一次,我們重點關注一下加密行業中持續時間最長的敘事之一:比特幣減半.
1900/1/1 0:00:00ETH當前的年通貨膨脹率為-0.02%,自合并以來總供應量減少了9500多枚根據UltrasoundMoney的數據,ETH年通貨膨脹率在1月15日降至0以下.
1900/1/1 0:00:00本文來自Insights,由Odaily星球日報譯者Katie辜編譯。 自2020年12月以來,以太坊網絡驗證者自愿將其ETH鎖定在Beacon鏈上,而提幣功能尚無明確時間表.
1900/1/1 0:00:00今日早間Twitter前首席執行官JackDorsey發推稱,基于去中心化社交協議Nostr的社交產品Damus和Amethyst已分別在蘋果AppStore和谷歌GooglePlayStore.
1900/1/1 0:00:00