聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软提醒称,随着区块链和 DeFi 技术强调将安全性构建到去中心化 web 早期阶段的需求激增,警惕 Web3 中出现的威胁,包括“冰钓”等攻击活动。
微软365 Defender 研究团队说明了恶意人员可能试图诱骗密币用户放弃私钥,并执行越权资金转移的多种新攻击手法。
微软安全和合规团队的首席研究经理 Christian Seifert 指出,“不可改变的、公共区块链所赋能的一个方面是完全的透明度,攻击发生后可被观察和研究。它还允许评估攻击的金融影响,这在传统的 web2 钓鱼攻击中是有挑战的。”
攻击者可通过多种方式盗取秘钥,包括模拟钱包软件、在受害者设备上部署恶意软件、typosquat 合法智能合约前段并伪造虚假数字化令牌实施 Airdrop诈骗。
另外一种方法牵涉微软所述的“冰钓 (ice phishing)”。这种方法不是窃取用户秘钥,而是欺骗目标“签署将代表用户令牌到攻击者的交易批准。” Seifert 解释称,“一旦披露交易得到签署、提交和伪造,消费者 (spender) 就能访问资金。在‘冰钓’攻击中,攻击者可收集一段时间内的批准,之后快速提取受害者钱包中的所有资金。”
2021年12月,冰钓案例出现。基于以太坊的 DeFi 平台 BadgerDAO 遭攻击,使用受陷 API 秘钥的恶意代码片段使攻击者嗅探1.2亿美元资金。BadgerDAO 表示,“在Badger 工程师不知晓或未授权的情况下,攻击者通过受陷API秘钥部署了worker 脚本。攻击者利用该API访问权限定期将恶意代码注入 Badger 应用程序中,使其仅影响一部分用户。”该脚本可拦截在超过某余额水平的钱包中进行 Web3 交易,并插入请求,将受害者令牌转移到由攻击者选择的地址中。
为缓解影响区块链技术的威胁,微软建议用户查看并审计智能合约中是否存在适当的事件响应或紧急能力,并定期重新评估和撤销令牌余额。
推荐阅读
微软谷歌出资500万美元推出 Alpha-Omega 项目,提升软件供应链安全
微软:攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击
微软拒绝修复影响所有 Windows 版本的 “RemotePotatoo” 提权0day
原文链接
https://thehackernews.com/2022/02/microsoft-warns-of-ice-phishing-threat.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
