Mae cwmni diogelwch Blockchain CertiK wedi atgoffa’r gymuned crypto i aros yn effro ynghylch sgamiau “phishing iâ” - math unigryw o sgam gwe-rwydo sy’n targedu defnyddwyr Web3 - a nodwyd gyntaf gan Microsoft yn gynharach eleni.
Mewn adroddiad dadansoddi Rhagfyr 20, CertiK disgrifiwyd sgamiau gwe-rwydo iâ fel ymosodiad sy'n twyllo defnyddwyr Web3 i lofnodi caniatâd sy'n caniatáu i sgamiwr wario ei docynnau.
Mae hyn yn wahanol i ymosodiadau gwe-rwydo traddodiadol sy'n ceisio cyrchu gwybodaeth gyfrinachol fel allweddi preifat neu gyfrineiriau, megis y gwefannau ffug a sefydlwyd a oedd yn honni eu bod yn helpu Mae buddsoddwyr FTX yn adennill arian ar goll ar y cyfnewid.
1/ Mae gwe-rwydo iâ yn fygythiad sylweddol i gymuned Web3
Yn hytrach na chael mynediad at eich allwedd breifat, mae sgamwyr yn eich twyllo i arwyddo caniatâd i wario'ch asedau.
Byddwn yn amlinellu isod beth i gadw llygad amdano, a sut i amddiffyn eich hun!
— Rhybudd CertiK (@CertiKAlert) Rhagfyr 20, 2022
Mae sgam 17 Rhagfyr lle 14 Epaod wedi diflasu eu dwyn yn enghraifft o sgam gwe-rwydo cywrain. Roedd buddsoddwr yn argyhoeddedig i lofnodi cais trafodiad wedi'i guddio fel contract ffilm, a oedd yn y pen draw yn galluogi'r sgamiwr i werthu holl epaod y defnyddiwr iddo'i hun am swm dibwys.
Nododd y cwmni fod y math hwn o sgam yn “fygythiad sylweddol” a ddarganfuwyd yn y byd Web3 yn unig, gan fod angen i fuddsoddwyr yn aml lofnodi caniatâd i brotocolau cyllid datganoledig (DeFi) y maent yn rhyngweithio â nhw, a allai fod yn hawdd eu ffugio.
“Does ond angen i’r haciwr wneud i ddefnyddiwr gredu bod y cyfeiriad maleisus y mae’n rhoi cymeradwyaeth iddo yn gyfreithlon. Unwaith y bydd defnyddiwr wedi cymeradwyo caniatâd i'r sgamiwr wario tocynnau, yna mae'r asedau mewn perygl o gael eu draenio."
Unwaith y bydd sgamiwr wedi cael cymeradwyaeth, gallant drosglwyddo asedau i gyfeiriad o'u dewis.
Er mwyn amddiffyn eu hunain rhag gwe-rwydo iâ, argymhellodd CertiK fod buddsoddwyr yn dirymu caniatâd ar gyfer cyfeiriadau nad ydynt yn eu hadnabod ar safleoedd fforwyr cadwyni fel Etherscan, gan ddefnyddio teclyn cymeradwyo tocyn.
Cysylltiedig: Cyd-sylfaenydd sgam $4B OneCoin yn pledio'n euog, yn wynebu 60 mlynedd o garchar
Yn ogystal, dylid edrych ar y cyfeiriadau y mae defnyddwyr yn bwriadu rhyngweithio â nhw ar yr archwilwyr blockchain hyn am weithgaredd amheus. Yn ei ddadansoddiad, mae CertiK yn cyfeirio at anerchiad a ariannwyd gan achosion o godi arian Tornado fel enghraifft o weithgarwch amheus.
Awgrymodd CertiK hefyd y dylai defnyddwyr ryngweithio â gwefannau swyddogol y gallant eu gwirio yn unig, a bod yn arbennig o wyliadwrus o wefannau cyfryngau cymdeithasol fel Twitter, gan dynnu sylw at gyfrif Twitter Optimism ffug fel enghraifft.
Cynghorodd y cwmni hefyd ddefnyddwyr i gymryd ychydig funudau i wirio gwefan ddibynadwy fel CoinMarketCap neu Coingecko, byddai defnyddwyr wedi gallu gweld nad oedd yr URL cysylltiedig yn safle cyfreithlon a dylid ei osgoi.
Y cawr technoleg Microsoft oedd yr un cyntaf i dynnu sylw at yr arfer hwn mewn blog Chwefror 16 bostio, gan ddweud ar y pryd, er bod gwe-rwydo credential yn flaenllaw iawn yn y byd Web2, mae gwe-rwydo iâ yn rhoi'r gallu i sgamwyr unigol ddwyn talp o'r diwydiant crypto tra'n cynnal “dienwedd bron yn llwyr.”
Roeddent yn argymell bod prosiectau Web3 a darparwyr waledi yn cynyddu diogelwch eu gwasanaethau ar y lefel feddalwedd er mwyn atal y baich o osgoi ymosodiadau gwe-rwydo iâ rhag cael ei roi ar y defnyddiwr terfynol yn unig.
Ffynhonnell: https://cointelegraph.com/news/how-to-avoid-getting-hooked-by-crypto-ice-phishing-scammers-certik