微软警告Web3和分散网络存在“冰上钓鱼”威胁

随着区块链和DeFi技术的大量采用，微软警告称，在分散的网络仍处于早期阶段时，需要在其中构建安全性，因此，Web3领域中出现了新的威胁，包括“冰上钓鱼”活动。

该公司的Microsoft 365 Defender研究团队提出了各种新途径，恶意参与者可能会通过这些途径试图诱骗加密货币用户交出他们的私人加密密钥，并进行未经授权的资金转账。

微软安全与合规部首席研究经理克里斯蒂安·塞弗特（Christian Seifert）表示：“不可变的公共区块链实现的一个方面是完全透明，因此攻击发生后可以进行观察和研究。”。“它还允许评估攻击的财务影响，这在传统的web2网络钓鱼攻击中是一个挑战。”

钥匙被盗可以通过几种方式进行，包括模拟钱包软件、在受害者的设备上部署恶意软件、键入合法的智能合同前端，以及为空投骗局铸造流氓数字代币。

另一种技术涉及微软所说的冰上钓鱼“这种方法的工作原理不是窃取用户的私钥，而是欺骗目标“签署一项交易，将用户代币的批准权委托给攻击者”。"

“一旦批准交易被签署、提交和挖掘，支出者就可以获得资金，”塞弗特解释道。“如果发生‘冰上钓鱼’攻击，攻击者可以在一段时间内累积批准，然后迅速耗尽受害者的所有钱包。”

2021年12月初，一个这样的冰凌网络实例在基于EtUnM的DEFI平台BADGEDAO的高调黑客攻击中被揭露出来，其中一个恶意使用的API密钥被注入的片段使得攻击者能够盗取1亿2100万美元的资金。

BadgerDAO说：“攻击者通过一个泄露的API密钥部署了worker脚本，该密钥是在Badger工程师不知情或未经授权的情况下创建的。”。“攻击者使用此API访问定期向Badger应用程序中注入恶意代码，使其仅影响用户群的一个子集。”

该脚本的编程方式是，它将截获钱包中超过一定余额的Web3交易，并插入一个请求，将受害者的代币转移到攻击者选择的地址。

为了缓解影响区块链技术的威胁，微软建议用户审查和审计智能合同，以获得足够的事件响应或应急能力，并定期重新评估和撤销代币津贴。