CertiK, một trong những công ty chuyên về bảo mật blockchain đã cảnh báo cộng đồng crypto phải cảnh giác với những vụ lừa đảo“ice phishing” – một trong những cách lừa đảo đặc biệt mà chỉ có trên web 3 và hướng trực tiếp tới người dùng web3 và sử dụng các ví dạng extension như Metamask hoặc Coin98.
Trong một bản báo cáo của CertiK vào ngày 20/12, CertiK đã mô tả “ice phishing” là việc lừa những người sử dụng Web3 khiến cho họ approve contract và khiến cho các kẻ lừa đảo này có khả năng truy cập vào ví và sử dụng số token trong ví mà người dùng có.
Ice Phishing khác với các vụ hack phishing thông thường ở chỗ thường thì những hacker sẽ cố gắng lấy cắp thông tin mật của người dùng như private keys hoặc mật khẩu của ví, một trong những cách nổi tiếng có thể kể đến như là tạo trang web giả, hoặc dựa vào vụ sụp đổ của FTX gần đây để tạo một trang web FTX giả đánh vào lòng tin người dùng muốn lấy lại tiền từ FTX.
1/ Ice phishing is a considerable threat to the Web3 community
Instead of gaining accessing to your private key, scammers trick you into signing permissions to spend your assets.
We’ll outline below what to look out for, and how to protect yourself!
— CertiK Alert (@CertiKAlert) December 20, 2022
Vào ngày 17/12, 14 Bored Apes NFT đã bị đánh cắp là một trong những ví dụ về “ice phishing”. Người sỡ hữu ví này đã bị lừa approve một contract đội lốt một contract swap token bình thường, với việc đã approve contract đã cung cấp quyền cho scammer có thể chuyển tất cả NFT của người dùng này tới ví của kẻ Hacker.
CertiK đã cảnh báo loại scam này là một trong những cách scam mới xuất hiện gần đây là chỉ có xuất hiện ở trên Web3, nơi mà thường thì mọi người sẽ được yêu cầu approve contract để có thể sử dụng các giao thức Defi, và các giao thức này rất dễ bị làm giả.
Hacker chỉ cần làm cho người dùng tin rằng địa chỉ giả của bọn chúng tạo ra là hợp pháp, và khi người dùng đã approve contract, lúc đó hacker sẽ chuyển tất cả tài sản của người dùng có vào ví của chúng.
Để mọi người trên thị trường có thể bảo vệ tài sản của chính mình , CertiK khuyên rằng người dùng nên từ chối approve những địa chỉ ví mà có vẻ như không đúng với các trang web chính thức ví dụ như Etherscan.
Thêm đó, người dùng nên kiểm tra các địa chỉ ví mà mình sẽ tương tác cùng trên các trang như Etherscan hay BSCscan để kiểm tra xem có hoạt động nào đáng nghi đến từ địa chỉ ví này hay không. CertiK còn khuyên rằng người dùng chỉ nên tương tác với các trang chính thức mà người dùng có thể nhận ra được, và nhiều trang có đường dẫn khác mà có tick xanh hoặc là trang chính thức của các đơn vị cung cấp dịch vụ được xác thực khác, ở dưới đây là một account Optimism giả như là một ví dụ.
CertiK còn hướng dẫn người dùng nên dành ít phút để kiểm tra các đường dẫn này có chính xác hay không bằng cách lên Coinmarketcap hoặc Coingecko, người dùng có thể xem trên các trang web này và kiểm tra xem đường dẫn URL tới các trang web này có thật và có chính xác hay không, nếu không, không được bấm vào dưới bất kỳ hình thức nào.
Microsoft là một trong những công ty đầu tiên cảnh báo về vấn đề Ice phishing này, họ cho biết, cách lừa đảo này là một trong những cách hack rất khó để lần ra và rất được nhiều hacker sử dụng trên web2, ice phishing cho những kẻ lừa đảo khả năng đánh cắp số lượng rất lớn crypto đồng thời không thể truy vết được những kẻ lừa đảo này/
Microsoft còn khuyên rằng các dự án Web3 và những dự án cung cấp ứng dụng ví nên tăng cường khả năng bảo mật cho dịch vụ của họ để ngăn chặn những hacker này, tránh việc phụ thuộc hoàn toàn vào khả năng bảo vệ tài sản của khách hàng.
Lời kết: Cẩn thận chưa bao giờ là thừa thãi khi có hàng tá kẻ hacker đang lợi dụng những lổ hổng trong thế giới crypto để có thể đánh cắp tài sản người dùng, hãy bảo vệ tài sản của mình bằng mọi giá.
Join the Defi Learn community:
Website | Twitter | Tiktok | Youtube | Facebook
