Microsoft telah memperingatkan ancaman yang muncul di lanskap , termasuk kampanye "ice phishing", karena lonjakan adopsi teknologi blockchain dan DeFi menekankan perlunya membangun keamanan ke dalam web yang terdesentralisasi saat masih dalam tahap awal.
Tim Riset Pembela Microsoft 365 perusahaan memanggil berbagai jalan baru di mana aktor jahat dapat mencoba mengelabui pengguna cryptocurrency agar menyerahkan kunci kriptografis pribadi mereka dan melakukan transfer dana yang tidak sah.
“Salah satu aspek yang memungkinkan blockchain publik dan tidak dapat diubah adalah transparansi lengkap, sehingga serangan dapat diamati dan dipelajari setelah terjadi,” Christian Seifert, manajer penelitian utama di grup Keamanan dan Kepatuhan Microsoft, . "Ini juga memungkinkan penilaian dampak finansial dari serangan, yang menantang dalam serangan phishing web2 tradisional."
Pencurian kunci dapat dilakukan dengan beberapa cara, termasuk meniru perangkat lunak dompet, menyebarkan malware pada perangkat korban, salah ketik bagian depan kontrak pintar yang sah, dan mencetak token digital jahat untuk .
Teknik lain melibatkan apa yang disebut Microsoft " phishing es ." Daripada mencuri kunci pribadi pengguna, metode ini bekerja dengan menipu target untuk "menandatangani transaksi yang mendelegasikan persetujuan token pengguna kepada penyerang."
“Setelah persetujuan transaksi ditandatangani, diserahkan, dan ditambang, pembelanja dapat mengakses dana tersebut,” urai Seifert. "Dalam kasus serangan 'ice phishing', penyerang dapat mengumpulkan persetujuan selama periode waktu tertentu dan kemudian menguras semua dompet korban dengan cepat."
Salah satu contoh ice phishing terungkap pada awal Desember 2021 dengan platform DeFi berbasis Ethereum BadgerDAO, di mana cuplikan yang disuntikkan secara jahat menggunakan kunci API yang disusupi memungkinkan musuh menyedot dana $121 juta.
"Penyerang menyebarkan skrip pekerja melalui kunci API yang dikompromikan yang dibuat tanpa sepengetahuan atau otorisasi insinyur Badger," BadgerDAO . "Penyerang menggunakan akses API ini untuk secara berkala menyuntikkan kode berbahaya ke dalam aplikasi Badger sehingga hanya memengaruhi sebagian basis pengguna."
Skrip diprogram sedemikian rupa sehingga akan mencegat transaksi Web3 dari dompet dengan saldo tertentu dan memasukkan permintaan untuk mentransfer token korban ke alamat yang dipilih oleh penyerang.
Untuk mengurangi ancaman yang mempengaruhi teknologi blockchain, Microsoft merekomendasikan pengguna untuk meninjau dan mengaudit kontrak pintar untuk respon insiden yang memadai atau kemampuan darurat dan secara berkala tunjangan token.
Tim Riset Pembela Microsoft 365 perusahaan memanggil berbagai jalan baru di mana aktor jahat dapat mencoba mengelabui pengguna cryptocurrency agar menyerahkan kunci kriptografis pribadi mereka dan melakukan transfer dana yang tidak sah.
“Salah satu aspek yang memungkinkan blockchain publik dan tidak dapat diubah adalah transparansi lengkap, sehingga serangan dapat diamati dan dipelajari setelah terjadi,” Christian Seifert, manajer penelitian utama di grup Keamanan dan Kepatuhan Microsoft, . "Ini juga memungkinkan penilaian dampak finansial dari serangan, yang menantang dalam serangan phishing web2 tradisional."
Pencurian kunci dapat dilakukan dengan beberapa cara, termasuk meniru perangkat lunak dompet, menyebarkan malware pada perangkat korban, salah ketik bagian depan kontrak pintar yang sah, dan mencetak token digital jahat untuk .
Teknik lain melibatkan apa yang disebut Microsoft " phishing es ." Daripada mencuri kunci pribadi pengguna, metode ini bekerja dengan menipu target untuk "menandatangani transaksi yang mendelegasikan persetujuan token pengguna kepada penyerang."
“Setelah persetujuan transaksi ditandatangani, diserahkan, dan ditambang, pembelanja dapat mengakses dana tersebut,” urai Seifert. "Dalam kasus serangan 'ice phishing', penyerang dapat mengumpulkan persetujuan selama periode waktu tertentu dan kemudian menguras semua dompet korban dengan cepat."
Salah satu contoh ice phishing terungkap pada awal Desember 2021 dengan platform DeFi berbasis Ethereum BadgerDAO, di mana cuplikan yang disuntikkan secara jahat menggunakan kunci API yang disusupi memungkinkan musuh menyedot dana $121 juta.
"Penyerang menyebarkan skrip pekerja melalui kunci API yang dikompromikan yang dibuat tanpa sepengetahuan atau otorisasi insinyur Badger," BadgerDAO . "Penyerang menggunakan akses API ini untuk secara berkala menyuntikkan kode berbahaya ke dalam aplikasi Badger sehingga hanya memengaruhi sebagian basis pengguna."
Skrip diprogram sedemikian rupa sehingga akan mencegat transaksi Web3 dari dompet dengan saldo tertentu dan memasukkan permintaan untuk mentransfer token korban ke alamat yang dipilih oleh penyerang.
Untuk mengurangi ancaman yang mempengaruhi teknologi blockchain, Microsoft merekomendasikan pengguna untuk meninjau dan mengaudit kontrak pintar untuk respon insiden yang memadai atau kemampuan darurat dan secara berkala tunjangan token.