Cybersecurity in Web3: Protecting Yourself (And Your Ape JPEG)

Selv om Web3 evangelister har lenge fremhevet de opprinnelige sikkerhetsfunksjonene til blockchain, strømmen av penger som strømmer inn i industrien gjør det til et fristende perspektiv for hackere, svindlere og tyver.

Når dårlige aktører lykkes med å bryte Web3-nettsikkerheten, er det ofte opp til brukere som overser de vanligste truslene om menneskelig grådighet, FOMO og uvitenhet, snarere enn på grunn av feil i teknologien.

Mange svindel lover store gevinster, investeringer eller eksklusive fordeler; FTC kaller disse muligheter for å tjene penger og investeringer svindel.

Store penger i svindel

I følge en 2022. juni rapporterer av Federal Trade Commission har over 1 milliard dollar i kryptovaluta blitt stjålet siden 2021. Og hackernes jaktterreng er der folk samles på nettet.

"Nesten halvparten av menneskene som rapporterte å miste krypto på grunn av en svindel siden 2021, sa at det startet med en annonse, et innlegg eller en melding på en sosial medieplattform," sa FTC.

Selv om falske come-ons høres for godt ut til å være sant, kan potensielle ofre suspendere vantro gitt den intense volatiliteten i kryptomarkedet; folk vil ikke gå glipp av den neste store tingen.

Angripere som retter seg mot NFT-er

Sammen med kryptokurver, NFT-er, eller ikke-fungible tokens, har blitt en stadig mer populært mål for svindlere; ifølge Web3 cybersikkerhetsfirma TRM Labs, i løpet av de to månedene etter mai 2022, tapte NFT-fellesskapet anslagsvis 22 millioner dollar på svindel og phishing-angrep.

"Blue-chip" samlinger som f.eks Bored Ape Yacht Club (BAYC) er et spesielt verdsatt mål. I april 2022 var BAYC Instagram-kontoen hacket av svindlere som ledet ofre til et nettsted som tappet Ethereum-lommebøkene deres for krypto- og NFT-er. Rundt 91 NFT-er, med en samlet verdi på over 2.8 millioner dollar, ble stjålet. Måneder senere, a Discord utnyttelse så NFT-er verdt 200 ETH stjålet fra brukere.

Høyprofilerte BAYC-innehavere har også blitt offer for svindel. 17. mai skuespiller og produsent Seth Greens twitret at han var offer for en phishing-svindel som resulterte i tyveri av fire NFT-er, inkludert Bored Ape #8398. I tillegg til å fremheve trusselen fra phishing-angrep, kunne det ha avsporet et TV/streaming-show med NFT-tema planlagt av Green, «White Horse Tavern». BAYC NFT-er inkluderer lisensieringsrettigheter til å bruke NFT til kommersielle formål, som i tilfellet med Kjedelig og sulten hurtigmatrestaurant i Long Beach, CA.

Under en Twitter Spaces-økt 9. juni, Grønn sa at han hadde fått tilbake den stjålne JPEG-en etter å ha betalt 165 ETH (mer enn $295,000 XNUMX på den tiden) til en person som hadde kjøpt NFT-en etter at den ble stjålet.

"Phishing er fortsatt den første angrepsvektoren," Luis Lubeck, en sikkerhetsingeniør ved Web3 cybersikkerhetsfirma, Halborn, Fortalte dekryptere.

Lubeck sier at brukere bør være oppmerksomme på falske nettsteder som ber om lommeboklegitimasjon, klonede lenker og falske prosjekter.

Ifølge Lubeck kan en phishing-svindel starte med sosial ingeniørkunst, og fortelle brukeren om en tidlig token-lansering eller at de vil 100 ganger pengene sine, en lav API, eller at kontoen deres har blitt brutt og krever endring av passord. Disse meldingene kommer vanligvis med en begrenset tid til å handle, noe som øker en brukers frykt for å gå glipp av noe, også kjent som FOMO.

I Greens tilfelle kom phishing-angrepet via en klonet lenke.

Clone phishing er et angrep der en svindler tar et nettsted, e-post eller til og med en enkel lenke og lager en nesten perfekt kopi som ser legitim ut. Green trodde han preget "GutterCat"-kloner ved å bruke det som viste seg å være et phishing-nettsted.

Da Green koblet lommeboken sin til phishing-nettstedet og signerte transaksjonen for å prege NFT, ga han hackerne tilgang til hans private nøkler og, i sin tur, hans Bored Apes.

Typer cyberangrep

Sikkerhetsbrudd kan ramme både bedrifter og enkeltpersoner. Selv om det ikke er en fullstendig liste, faller nettangrep rettet mot Web3 vanligvis inn i følgende kategorier:

• ? Phishing: En av de eldste, men mest vanlige formene for nettangrep, phishing-angrep kommer ofte i form av e-post og inkluderer sending av uredelig kommunikasjon som tekster og meldinger på sosiale medier som ser ut til å komme fra en anerkjent kilde. Dette cybercrime kan også ha form av et kompromittert eller skadelig kodet nettsted som kan tømme krypto eller NFT fra en vedlagt nettleserbasert lommebok når en kryptolommebok er koblet til.
• ?‍☠️ malware: Dette paraplybegrepet er en forkortelse for ondsinnet programvare, og dekker ethvert program eller kode som er skadelig for systemer. Skadelig programvare kan komme inn i et system gjennom phishing-e-poster, tekstmeldinger og meldinger.
• ? Kompromitterte nettsteder: Disse legitime nettstedene er kapret av kriminelle og brukes til å lagre skadelig programvare som intetanende brukere laster ned når de klikker på en lenke, et bilde eller en fil.
• ? URL-spoofing: Fjern koblingen til kompromitterte nettsteder; forfalskede nettsteder er ondsinnede nettsteder som er kloner av legitime nettsteder. Også kjent som URL-phishing, kan disse nettstedene hente brukernavn, passord, kredittkort, kryptovaluta og annen personlig informasjon.
• ? Falske nettleserutvidelser: Som navnet antyder, bruker disse utnyttelsene falske nettleserutvidelser for å lure kryptobrukere til å skrive inn legitimasjon eller nøkler i en utvidelse som gir nettkriminelle tilgang til dataene.

Disse angrepene tar vanligvis sikte på å få tilgang til, stjele og ødelegge sensitiv informasjon eller, i Greens tilfelle, en Bored Ape NFT.

Hva kan du gjøre for å beskytte deg selv?

Lubeck sier at den beste måten å beskytte deg mot phishing på er å aldri svare på en e-post, SMS-tekst, Telegram, Discord eller WhatsApp-melding fra en ukjent person, et selskap eller en konto. "Jeg vil gå lenger enn det," la Lubeck til. "Aldri skriv inn legitimasjon eller personlig informasjon hvis brukeren ikke startet kommunikasjonen."

Lubeck anbefaler at du ikke oppgir legitimasjon eller personlig informasjon når du bruker offentlig eller delt WiFi eller nettverk. I tillegg forteller Lubeck dekryptere at folk ikke skal ha en falsk følelse av sikkerhet fordi de bruker et bestemt operativsystem eller telefontype.

"Når vi snakker om denne typen svindel: phishing, etterligning av nettsider, spiller det ingen rolle om du bruker en iPhone, Linux, Mac, iOS, Windows eller Chromebook," sier han. "Nevn enheten; problemet er nettstedet, ikke enheten din."

Hold krypto- og NFT-ene dine trygge

La oss se på en mer "Web3" handlingsplan.

Når det er mulig, bruk maskinvare eller luftgap lommebøker å lagre digitale eiendeler. Disse enhetene, noen ganger beskrevet som "kald lagring", fjerner kryptoen din fra internett til du er klar til å bruke den. Selv om det er vanlig og praktisk å bruke nettleserbaserte lommebøker som metamask, husk at alt som er koblet til internett har potensial til å bli hacket.

Hvis du bruker en mobil-, nettleser- eller skrivebordslommebok, også kjent som en hot wallet, kan du laste dem ned fra offisielle plattformer som Google Play Store, Apples App Store eller verifiserte nettsteder. Last aldri ned fra lenker sendt via tekst eller e-post. Selv om ondsinnede apper kan finne veien inn i offisielle butikker, er det sikrere enn å bruke lenker.

Etter å ha fullført transaksjonen, koble fra lommeboken fra nettstedet.

Sørg for å holde dine private nøkler, frøsetninger og passord private. Hvis du blir bedt om å dele denne informasjonen for å delta i en investering eller mynting, er det en svindel.

Invester kun i prosjekter du forstår. Hvis det er uklart hvordan ordningen fungerer, stopp og gjør mer forskning.

Ignorer høytrykkstaktikker og stramme tidsfrister. Ofte vil svindlere bruke dette til å prøve å påkalle FOMO og få potensielle ofre til å ikke tenke på eller forske på det de blir fortalt.

Sist men ikke minst, hvis det høres for godt ut til å være sant, er det sannsynligvis en svindel.