Web 3.0:不同的技术 相同的威胁

据专家称,采用Web 3.0平台的公司会发现自己面临一些熟悉的威胁。分析新平台的思科Talos研究人员表示,新兴技术容易受到老式社会工程攻击和代金券刷卡技术的攻击。

思科Talos周四发布的一份报告概述了社交工程攻击是那些使用加密货币、区块链和去中心化应用程序来满足其业务需求的人所面临的主要威胁。

报道称,由于NFT和去中心化应用程序等区块链技术的日志和分布式特性,弱点成为令牌的所有者,而占据这一弱点的最简单方法就是欺骗他们交出凭据。

“当用户第一次适应新技术时,最大的风险之一是社会工程的威胁,”研究员Jaeson Schultz在报告中解释道。“不熟悉的技术往往会导致用户做出错误的决定。Web 3.0也不例外。”

Cisco Talos团队强调的主要威胁包括诸如假冒或假冒以太坊名称服务(ENS)域等技术。一个例子是罪犯购买。与银行名称相匹配的eth域名。com域名,然后利用这个权限欺骗用户交出敏感信息。

此外,舒尔茨表示,ENS的所有权可以成为目标,因为该域将与用户的钱包和NFT资产挂钩,这可能使攻击者获得有关其目标的有价值信息。

种子短语(助记符)对欺诈者也很有价值。种子短语是用于创建加密密钥的随机单词的集合,加密密钥可以访问加密的钱夹。舒尔茨写道:“事实上,人们丢失有价值的NFTs/Crypto的大多数攻击都是因为用户受到欺骗,以某种方式放弃了他们的种子短语。”

从本质上讲,拥有种子短语密钥的攻击者可以访问受害者持有的所有加密货币,并将其转移到另一个钱包,通常是犯罪分子自己拥有的钱包,或者是将货币转移到最终目的地的第三方运钞车。

在另一个有趣的转折点上,一些网络罪犯甚至使用这种伎俩来反击其他恶意用户。思科塔洛斯(Cisco Talos)记录了攻击者故意暴露装有少量被盗加密货币的钱包上的助记词,去钓鱼,然后攻击任何试图提取资金的人,并且在这个过程中,交易成本被包含在包里。

如果要取出攻击者钱包中存储的USDT(加密货币),必须先将少量以太币转入钱包,以支付必须支付的燃气费。“然而,攻击者非常警惕,并不断监视涉及他在区块链的钱包地址的活动,”Schultz解释道。当有人试图通过将USDT转入他们的钱包来转移时,攻击者会立即发现,在USDT令牌转出之前,攻击者会将受害者打算用来支付手续费的少量以太币转入一个单独的钱包。

所有这些技术的共同点是,它们依赖于低技术含量的智力游戏,而不是复杂的漏洞或对单个系统的集中攻击。思科Talos研究员尼克比亚西尼(Nick Biasini)告诉SearchSecurity,由于Web 3.0平台的去中心化,欺骗账户所有者交出他们的密钥可能是网络犯罪分子窃取资金的最有效方式。

“我认为社会工程将继续成为一个重要的载体,类似于它在更大的威胁环境中的情况,”比亚西尼解释说。“这不排除未来会有更多的技术攻击。在已经发生的各种攻击中,你已经看到了其中的一些。随着越来越多的人关注这项技术,会发现更多的弱点,但骗局会留在这里。”

标签

发表评论