Microsoft đã cảnh báo về các mối đe dọa đang nổi lên trong bối cảnh Web3, bao gồm cả các chiến dịch “lừa đảo qua băng”, khi sự gia tăng áp dụng các công nghệ blockchain và defi nhấn mạnh sự cần thiết phải xây dựng bảo mật cho web phi tập trung khi nó vẫn còn ở giai đoạn đầu.
Nhóm nghiên cứu Microsoft 365 Defender của công ty đã gọi ra nhiều cách mới khác nhau mà qua đó các kẻ xấu có thể cố gắng lừa người dùng tiền điện tử từ bỏ các khóa mật mã riêng của họ và thực hiện chuyển tiền trái phép.
“Một khía cạnh mà blockchain công khai và bất biến cho phép là tính minh bạch hoàn toàn, vì vậy một cuộc tấn công có thể được quan sát và nghiên cứu sau khi nó xảy ra”, Christian Seifert, giám đốc nghiên cứu chính tại nhóm An ninh và Tuân thủ của Microsoft, cho biết. “Nó cũng cho phép đánh giá tác động tài chính của các cuộc tấn công, một thách thức trong các cuộc tấn công lừa đảo web2 truyền thống.”
Việc đánh cắp khóa có thể được thực hiện theo một số cách, bao gồm mạo danh phần mềm ví, triển khai phần mềm độc hại trên thiết bị của nạn nhân, đánh máy giao diện người dùng hợp đồng thông minh hợp pháp và đúc mã thông báo kỹ thuật số giả mạo để lừa đảo Airdrop.
Một kỹ thuật khác liên quan đến cái mà Microsoft gọi là “lừa đảo qua băng”. Thay vì đánh cắp khóa riêng của người dùng, phương pháp này hoạt động bằng cách đánh lừa mục tiêu “ký một giao dịch ủy quyền phê duyệt mã thông báo của người dùng cho kẻ tấn công.”
Seifert giải thích: “Sau khi giao dịch phê duyệt đã được ký, gửi và khai thác, người chi tiêu có thể tiếp cận các khoản tiền”. “Trong trường hợp tấn công ‘lừa đảo qua băng', kẻ tấn công có thể tích lũy các phê duyệt trong một khoảng thời gian và sau đó rút hết [the] ví của nạn nhân một cách nhanh chóng. “
Vụ hack nổi tiếng của nền tảng DeFi BadgerDAO, được đưa ra ánh sáng vào đầu tháng 12 năm 2021, là một ví dụ điển hình của lừa đảo băng, trong đó một đoạn mã độc hại được đưa vào sử dụng khóa API bị xâm phạm đã cho phép kẻ thù bòn rút 121 triệu đô la tiền quỹ.
BadgerDAO cho biết: “Kẻ tấn công đã triển khai tập lệnh worker thông qua một khóa API bị xâm nhập được tạo ra mà không có kiến thức hoặc sự ủy quyền của các kỹ sư Badger”. “(Những) kẻ tấn công đã sử dụng quyền truy cập API này để định kỳ đưa mã độc hại vào ứng dụng Badger sao cho nó chỉ ảnh hưởng đến một tập hợp con của cơ sở người dùng.”
Tập lệnh được lập trình để chặn các giao dịch Web3 từ ví trên một số dư nhất định và chèn một yêu cầu chuyển mã thông báo của nạn nhân đến một địa chỉ do những kẻ tấn công chọn.
Để giảm thiểu các mối đe dọa ảnh hưởng đến công nghệ blockchain, Microsoft khuyến nghị người dùng xem xét và kiểm tra các hợp đồng thông minh để có đủ khả năng ứng phó sự cố hoặc khẩn cấp và định kỳ đánh giá lại và thu hồi các khoản cho phép mã thông báo.
.
