🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Microsoft cảnh báo về lừa đảo "ice phishing" trên Web3

21/02/2022

Microsoft đã cảnh báo về các mối đe dọa mới xuất hiện gần đây trong nền tảng Web3, bao gồm các chiến dịch "ice phishing" trong bối cảnh gia tăng áp dụng các công nghệ blockchain và DeFi, cho thấy sự cần thiết phải xây dựng các biện pháp bảo mật cho nền tảng web phi tập trung (decentralized) trong giai đoạn đầu.

Nhóm nghiên cứu Microsoft 365 Defender đã chỉ ra nhiều cách mới khác nhau mà những kẻ tấn công có thể sử dụng để lừa người dùng tiền điện tử để đánh cắp khóa bảo mật của họ và thực hiện chuyển tiền trái phép.

Christian Seifert, giám đốc nghiên cứu nhóm Security and Compliance của Microsoft, cho biết "Blockchain có tính minh bạch hoàn toàn, vì vậy một cuộc tấn công có thể được quan sát và nghiên cứu sau khi nó xảy ra". "Nó cũng cho phép đánh giá tác động tài chính của các cuộc tấn công."

Việc đánh cắp khóa có thể được thực hiện theo nhiều cách, bao gồm giả mạo phần mềm ví, triển khai phần mềm độc hại trên thiết bị của nạn nhân, giả mạo hợp đồng thông minh (smart contract) hay giả mạo digital tokens để lừa đảo Airdrop.

Một chiêu trò khác được Microsoft cảnh báo là "ice phishing". Thay vì đánh cắp khóa bảo mật của người dùng, kẻ tấn công lừa mục tiêu "ký vào giao dịch ủy quyền phê duyệt token của người dùng cho kẻ tấn công."

Seifert cho biết "sau khi giao dịch phê duyệt đã được ký, kẻ tấn công có thể tích lũy các phê duyệt trong một khoảng thời gian và sau đó rút sạch tất cả các ví của nạn nhân."

Một trường hợp về ice phishing đã được phát hiện vào đầu tháng 12 năm 2021 với vụ tấn công nổi tiếng vào nền tảng BadgerDAO, trong đó một đoạn mã độc hại được chèn vào ứng dụng Badger thông qua khóa API bị xâm phạm đã cho phép kẻ tấn công bòn rút 121 triệu đô tiền quỹ.

Đoạn mã được thiết kế để ngăn các giao dịch Web3 vượt qua một số dư nhất định và chèn một yêu cầu chuyển token của nạn nhân đến một địa chỉ mà kẻ tấn công muốn.

Để giảm thiểu các mối đe dọa ảnh hưởng đến công nghệ blockchain, Microsoft khuyến nghị người dùng nên thường xuyên xem xét và kiểm tra các hợp đồng thông minh để có thể kịp thời ứng phó sự cố và định kỳ đánh giá lại và thu hồi các token ủy quyền.

Nguồn: thehackernews.com

scrolltop