网络钓鱼观察:空投诈骗
共 1491字,需浏览 3分钟
·
2021-09-30 09:09
随着加密货币的增长,其用户已成为网络钓鱼者越来越热门的目标。每次我们使一种类型的网络钓鱼变得更加困难时,网络钓鱼者都会提出新技术,因此,了解最新的诈骗并考虑如何保护自己(以及朋友和用户)免受这些攻击符合每个人的最大利益.
最近越来越流行的一种方法是我们所说的“空投诈骗”。典型的空投骗局涉及铸造新的恶意令牌,将其发送到用户帐户,并依靠用户调查这个神秘令牌是什么来钓鱼这些用户。
您可以在此处观看有关此类骗局的视频探索:
完全依赖 MetaMask 持有代币的用户不容易受到这种攻击,因为 MetaMask 一直坚持不自动检测未知代币的坚定立场,我们只检测符合高可信度标准的代币,因为我们已经早就认识到这是一种攻击和迷惑用户的策略。
当用户环顾其他网站和钱包时,问题就开始了,这些网站和钱包以代币作者选择的名称显示区块链上的任何代币。有时,这些其他钱包或区块浏览器甚至会根据在自动做市商 (AMM) 交易所上容易伪造的流动性头寸,乐观地为该代币提供价值。然而,这些代币的行为不像普通代币,当这些用户尝试交换它们时,他们会抛出一个错误(其文本也由恶意合约作者提供),这会将用户引导到网络钓鱼站点寻求帮助,他们在那里钓鱼。
这种攻击依赖于几种用户行为:
用户检查区块浏览器的代币余额。
区块浏览器会自动检测并显示任何铸造的代币(即使任何人都可以铸造“命名”任何东西的代币,并且代币名称完全没有安全性)。
用户期望检测到的代币具有价值,或者网站乐观地将 AMM 价格呈现为价格预言机。
调查自动检测到的令牌的用户。
然后用户信任他们的调查,批准交易,甚至将他们的秘密恢复短语提供给与这些令牌相关的网站。
用户希望了解交易失败的原因,并相信所呈现的错误消息代表了可靠的信息。
令牌自动检测是一个棘手的情况。MetaMask 对令牌检测采取了保守的方法,因为我们宁愿让用户必须自己添加令牌而不是暴露在网络钓鱼者的令牌中,但是如果用户甚至依赖于单个大规模检测令牌列表,他们就会自己容易受到这种攻击。
MetaMask 一直致力于使令牌检测更加有效和值得信赖,从多个来源汇总我们的自动检测列表,并主动阻止已知的诈骗,并致力于让用户更轻松地订阅(和共享)他们自己的受信任令牌列表。
虽然可信列表可能是一个长期的解决方案,但同时我们有许多工具(尤其是区块浏览器,还有一些钱包)非常渴望检测任何空投的代币。这可能会导致网络钓鱼、骚扰和不请自来的消息。从短期来看,如果所有工具开发人员都更认真地对待这种攻击,并考虑我们在自动检测未过滤的区块链活动时让用户面临的风险,那将是有价值的。
随着去中心化网络规模的扩大,所有资产的自动检测将变得越来越不可持续,因此现代预期存在安全性和可扩展性问题。应该完美地管理单个全局提要的想法是一种非常 Web2 的思维方式,我们认为至关重要的是我们开始认识到未经过滤的提要使我们所有人暴露于来自不可信来源的协同攻击的方式。
Web3 就是要建立更好的做事方式。这有时可能意味着某些新方式会让人感觉很不舒服,例如管理帐户备份或手动订阅代币,但正是这些用户责任行为使权力从任何中央方和整个用户网络下放。
我希望您在查看任何全球数据来源时要小心,并始终考虑“有人需要什么才能产生这些数据?”。通常,没有什么可以阻止骗子将他们想要的任何东西放在您的眼前。
在外面保持安全!