Какие основные опасности и угрозы возникают при взаимодействии с веб-сайтами в Web3?
Хотя добросердечные люди пытаются процветать в криптоэкономике, криптопространство не полностью свободно от злонамеренных действующих лиц. Вот несколько угроз, скрывающихся в тени мира блокчейна:
- Фишинговые атаки: Злоумышленник отправляет массовые электронные письма или сообщения в качестве первого шага фишинговой атаки. Эти электронные письма или сообщения выглядят так, будто они приходят от легитимного источника, такого как кошелек, криптовалютная биржа или известный проект, и действуют как приманка. Когда кто-то нажимает на ссылку в отправленном тексте, он попадает на поддельный веб-сайт, который невозможно отличить от оригинала. Затем пользователей просят ввести свою информацию, и если они это делают, злоумышленник получает доступ к их аккаунту, завершая процесс “фишинга”. Фишинговые сообщения часто побуждают пользователей создать ограниченное издание NFT или принять участие в активности, обещающей вознаграждение в ограниченные сроки.
Как работает фишинговая атака.
- Мошеннические DApps: Децентрализованные приложения (DApps) – это приложения на основе блокчейна, работающие на основе смарт-контрактов. Мошенники часто используют поддельные DApps, чтобы похитить средства у инвесторов. Эти вредоносные DApps содержат ссылки, ведущие на вредоносные веб-сайты, и просят пользователей предоставить авторизацию, которая может раскрыть уязвимости.
- Rug pulls: Разработчики в Web3 часто маркетингово позиционируют свой продукт как самое значимое событие в последнем тысячелетии, которое изменит отрасль. Некоторые люди верят этим маркетинговым стратегиям и сразу же присоединяются. Когда эти разработчики получают достаточную поддержку, они вытаскивают ковер из-под ног инвесторов, продают все свои токены и исчезают с средствами. После rug pull инвесторы остаются с пустыми руками, и ликвидность проекта больше не существует.
Почему добавление закладок на доверенные веб-сайты в вашем браузере критично для безопасности Web3?
Добавление закладок – это не только более быстрый способ доступа к часто используемым веб-сайтам, но и более безопасный. Да, пользователи могут открыть свои браузеры и получить доступ к закладкам с помощью одного щелчка. Но добавление закладок также предотвращает случайное открытие фишинговых веб-сайтов, у которых почти идентичная ссылка, направляя пользователя прямо на ранее добавленный в закладки веб-сайт.
Каковы риски подключения вашего кошелька к веб-сайту?
Когда пользователи получают доступ к веб-сайтам, использующим криптотехнологии, первое, что их приветствует, это всплывающее окно, запрашивающее подключение их кошелька. Подключение кошелька к веб-сайту позволяет платформе получить публичный адрес кошелька и дает возможность веб-сайту запрашивать авторизацию транзакций из кошелька. Конечно, пользователи должны вручную подтверждать эти транзакции, чтобы они произошли, но без необходимой осторожности одно нажатие может привести к необратимым потерям средств.
Пользователи также могут столкнуться с кнопками, которые просят их подключить свои кошельки к валидно выглядящим фишинговым веб-сайтам. Эти кнопки могут выглядеть так, будто они просят только подключить кошелек пользователя, когда на самом деле они просят больше, чем адрес кошелька пользователя. Фактически, веб-сайты могут запрашивать доступ ко всем активам в кошельке пользователя. Поэтому пользователи должны быть осторожны и внимательно читать запрашиваемые действия от своих кошельков перед предоставлением разрешения.
Инструмент безопасности, ориентированный на Web3, может проверять эти запросы, анализируя смарт-контракты, выявляя опасную логику, критические уязвимости и компрометирующие разрешения с целью доступа к активам пользователя.
Как хакеры эксплуатируют сид-фразы и почему важно держать их в секрете?
Сид-фразы, также известные как фразы восстановления, представляют собой группу случайно сгенерированных слов, которые позволяют пользователям получить доступ к своим криптовалютам внутри их кошельков. Потеря сид-фразы – это худший сценарий для владельцев криптовалюты, поскольку они не подлежат восстановлению. Эти фразы выступают в качестве главного ключа для доступа к криптокошельку, что делает их общей целью для различных фишинговых схем, таких как веб-сайт, запускающий поддельный кошелек и запрашивающий сид-фразу, или фишинговый сайт, генерирующий ошибку при подключении кошелька. Когда появляется сообщение об ошибке, пользователей просят вручную подключить свой кошелек, вводя свою сид-фразу, фактически добровольно передавая информацию злоумышленникам.