Keselamatan Siber dalam Web3: Melindungi Diri Anda (Dan JPEG Beruk Anda)

Walaupun Web3 penginjil telah lama menggembar-gemburkan ciri keselamatan asli blockchain, aliran wang yang mengalir ke dalam industri menjadikannya prospek yang menarik untuk penggodam, Penipu dan pencuri.

Apabila pelakon jahat berjaya menceroboh keselamatan siber Web3, ia selalunya disebabkan oleh pengguna yang mengabaikan ancaman ketamakan manusia, FOMO dan kejahilan yang paling biasa, dan bukannya kerana kelemahan dalam teknologi.

Banyak penipuan menjanjikan hasil yang besar, pelaburan atau faedah eksklusif; FTC memanggil peluang dan pelaburan menjana wang ini penipuan.

Wang besar dalam penipuan

Menurut 2022 Jun melaporkan oleh Suruhanjaya Perdagangan Persekutuan, lebih $1 bilion dalam mata wang kripto telah dicuri sejak 2021. Dan tempat memburu penggodam adalah tempat orang berkumpul dalam talian.

“Hampir separuh orang yang melaporkan kehilangan kripto kepada penipuan sejak 2021 berkata ia bermula dengan iklan, siaran atau mesej pada platform media sosial,” kata FTC.

Walaupun penipuan datang kedengaran terlalu bagus untuk menjadi kenyataan, bakal mangsa mungkin menangguhkan ketidakpercayaan memandangkan turun naik yang sengit dalam pasaran kripto; orang tidak mahu terlepas perkara besar seterusnya.

Penyerang menyasarkan NFT

Bersama dengan mata wang kripto, NFTs, atau token tidak boleh digunakan, telah menjadi satu semakin popular sasaran untuk penipu; menurut firma keselamatan siber Web3 Makmal TRM, dalam tempoh dua bulan selepas Mei 2022, komuniti NFT kerugian dianggarkan $22 juta akibat penipuan dan serangan pancingan data.

Koleksi "Blue-chip" seperti Kelab Layar Ape Bosan (BAYC) adalah sasaran yang sangat berharga. Pada April 2022, akaun Instagram BAYC adalah digodam oleh penipu yang mengalihkan mangsa ke tapak yang menguras dompet Ethereum mereka untuk crypto dan NFT. Kira-kira 91 NFT, dengan nilai gabungan lebih $2.8 juta, telah dicuri. Beberapa bulan kemudian, a Eksploitasi perselisihan melihat NFT bernilai 200 ETH dicuri daripada pengguna.

Pemegang BAYC berprofil tinggi telah menjadi mangsa penipuan juga. Pada 17 Mei, pelakon dan penerbit Seth hijau tweet bahawa dia adalah mangsa penipuan pancingan data yang mengakibatkan kecurian empat NFT, termasuk Bored Ape #8398. Selain menyerlahkan ancaman yang ditimbulkan oleh serangan pancingan data, ia boleh menjejaskan rancangan televisyen/strim bertema NFT yang dirancang oleh Green, "White Horse Tavern." NFT BAYC termasuk hak pelesenan untuk menggunakan NFT untuk tujuan komersial, seperti dalam kes Bosan & Lapar restoran makanan segera di Long Beach, CA.

Semasa sesi Twitter Spaces pada 9 Jun, Green berkata bahawa dia telah mendapatkan semula JPEG yang dicuri selepas membayar 165 ETH (lebih daripada $295,000 pada masa itu) kepada seseorang yang telah membeli NFT selepas ia dicuri.

“Pancingan data masih merupakan vektor serangan pertama,” Luis Lubeck, seorang jurutera keselamatan di firma keselamatan siber Web3, Beranak, Memberitahu Decrypt.

Lubeck mengatakan bahawa pengguna harus mengetahui tapak web palsu yang meminta kelayakan dompet, pautan klon dan projek palsu.

Menurut Lubeck, penipuan pancingan data mungkin bermula dengan kejuruteraan sosial, memberitahu pengguna tentang pelancaran token awal atau bahawa mereka akan 100x wang mereka, API rendah atau akaun mereka telah dilanggar dan memerlukan perubahan kata laluan. Mesej ini biasanya datang dengan masa yang terhad untuk bertindak, seterusnya mendorong ketakutan pengguna untuk terlepas, juga dikenali sebagai FOMO.

Dalam kes Green, serangan pancingan data datang melalui pautan klon.

Pancingan data klon ialah serangan di mana penipu mengambil tapak web, e-mel atau pautan mudah dan mencipta salinan hampir sempurna yang kelihatan sah. Green menyangka dia sedang mencetak klon "GutterCat" menggunakan apa yang ternyata tapak web pancingan data.

Apabila Green menyambungkan dompetnya ke tapak web pancingan data dan menandatangani urus niaga untuk mencetak NFT, dia memberikan penggodam akses kepada kunci peribadinya dan, seterusnya, Beruk Bosannya.

Jenis-jenis Serangan Siber

Pelanggaran keselamatan boleh menjejaskan kedua-dua syarikat dan individu. Walaupun bukan senarai lengkap, serangan siber yang menyasarkan Web3 biasanya termasuk dalam kategori berikut:

• ? phishing: Salah satu bentuk serangan siber yang paling lama lagi biasa, serangan pancingan data biasanya datang dalam bentuk e-mel dan termasuk menghantar komunikasi penipuan seperti teks dan mesej di media sosial yang nampaknya datang daripada sumber yang bereputasi. ini jenayah siber juga boleh mengambil bentuk tapak web yang terjejas atau berkod berniat jahat yang boleh mengalirkan kripto atau NFT daripada dompet berasaskan pelayar yang dilampirkan sebaik sahaja dompet kripto disambungkan.
• ?‍☠️ malware: Pendek untuk perisian hasad, istilah payung ini merangkumi sebarang program atau kod yang berbahaya kepada sistem. Perisian hasad boleh memasuki sistem melalui e-mel pancingan data, teks dan mesej.
• ? Laman Web Yang Dikompromi: Tapak web yang sah ini dirampas oleh penjenayah dan digunakan untuk menyimpan perisian hasad yang dimuat turun oleh pengguna yang tidak mengesyaki sebaik sahaja mereka mengklik pada pautan, imej atau fail.
• ? Penipuan URL: Nyahpaut tapak web yang terjejas; laman web palsu ialah tapak berniat jahat yang merupakan klon tapak web yang sah. Juga dikenali sebagai URL Phishing, tapak ini boleh memperoleh nama pengguna, kata laluan, kad kredit, mata wang kripto dan maklumat peribadi yang lain.
• ? Sambungan Penyemak Imbas Palsu: Seperti namanya, eksploitasi ini menggunakan sambungan penyemak imbas palsu untuk menipu pengguna kripto supaya memasukkan bukti kelayakan atau kunci mereka ke dalam sambungan yang memberikan penjenayah siber akses kepada data.

Serangan ini biasanya bertujuan untuk mengakses, mencuri dan memusnahkan maklumat sensitif atau, dalam kes Green, NFT Ape Bosan.

Apa yang boleh anda lakukan untuk melindungi diri anda?

Lubeck berkata cara terbaik untuk melindungi diri anda daripada pancingan data adalah dengan tidak membalas e-mel, teks SMS, Telegram, Discord atau mesej WhatsApp daripada orang, syarikat atau akaun yang tidak dikenali. "Saya akan pergi lebih jauh daripada itu," tambah Lubeck. "Jangan sekali-kali memasukkan bukti kelayakan atau maklumat peribadi jika pengguna tidak memulakan komunikasi."

Lubeck mengesyorkan supaya tidak memasukkan bukti kelayakan atau maklumat peribadi anda apabila menggunakan WiFi atau rangkaian awam atau kongsi. Di samping itu, Lubeck memberitahu Decrypt bahawa orang tidak seharusnya mempunyai rasa keselamatan yang palsu kerana mereka menggunakan sistem pengendalian atau jenis telefon tertentu.

“Apabila kita bercakap tentang jenis penipuan ini: pancingan data, penyamaran halaman web, tidak kira jika anda menggunakan iPhone, Linux, Mac, iOS, Windows atau Chromebook,” katanya. “Namakan peranti itu; masalahnya ialah tapak, bukan peranti anda.”

Pastikan crypto dan NFT anda selamat

Mari lihat lebih banyak pelan tindakan "Web3".

Apabila boleh, gunakan perkakasan atau celah udara dompet untuk menyimpan aset digital. Peranti ini, kadangkala digambarkan sebagai "storan sejuk", alih keluar kripto anda daripada internet sehingga anda bersedia untuk menggunakannya. Walaupun biasa dan mudah untuk menggunakan dompet berasaskan pelayar seperti MetaMask, ingat, apa sahaja yang disambungkan ke internet berpotensi untuk digodam.

Jika anda menggunakan dompet mudah alih, penyemak imbas atau desktop, juga dikenali sebagai dompet panas, muat turunnya daripada platform rasmi seperti Gedung Google Play, App Store Apple atau tapak web yang disahkan. Jangan sekali-kali memuat turun daripada pautan yang dihantar melalui teks atau e-mel. Walaupun apl berniat jahat boleh masuk ke kedai rasmi, ia lebih selamat daripada menggunakan pautan.

Selepas menyelesaikan transaksi anda, putuskan sambungan dompet daripada tapak web.

Pastikan anda merahsiakan kunci peribadi, frasa benih dan kata laluan anda. Jika anda diminta untuk berkongsi maklumat ini untuk menyertai pelaburan atau mencetak, itu adalah satu penipuan.

Hanya melabur dalam projek yang anda fahami. Jika tidak jelas cara skim itu berfungsi, hentikan dan lakukan lebih banyak penyelidikan.

Abaikan taktik tekanan tinggi dan tarikh akhir yang ketat. Selalunya, penipu akan menggunakan ini untuk mencuba dan menggunakan FOMO dan membuat mangsa yang berpotensi untuk tidak memikirkan atau membuat penyelidikan tentang perkara yang diberitahu kepada mereka.

Akhir sekali, jika ia kedengaran terlalu bagus untuk menjadi kenyataan, ia mungkin satu penipuan.