O que é Phishing na Web3?
À medida que os usuários realizam negociações de tokens por meio de transações em blockchain, um novo tipo de golpe de phishing surgiu. Ao contrário dos golpes de phishing convencionais, que se concentram em obter informações pessoais ou financeiras das vítimas, este método específico de phishing tem como objetivo roubar os ativos dos usuários explorando transações. Em essência, os golpistas enganam as vítimas para que assinem transações ou mensagens que lhes permitem retirar os tokens das vítimas. Nas próximas seções, exploraremos diversos golpes de phishing prevalentes na Web3 e adquiriremos estratégias práticas para proteger seus ativos contra eles.
Tipos Prevalentes de Golpes de Phishing na Web3
1. Transferência Direta de Tokens
Este golpe manipula os usuários para que transfiram diretamente seus ativos para endereços maliciosos. O sucesso desses golpes frequentemente depende de sofisticadas técnicas de engenharia social. Uma variante comum envolve enganar os usuários para que assinem uma transação sob o pretexto de uma "atualização de segurança" ou uma "reivindicação", o que resulta, em última análise, no roubo de seus ativos. Este tipo de golpe é tipicamente executado por meio da utilização de um Golpe de Interface Falsa.
2. Aprovação de Token / Permissão
Os métodos de Aprovação e Permissão permitem que outra pessoa, conhecida como gastador, utilize seus tokens em seu nome. É uma prática comum os usuários concederem aprovações de tokens a DApps para facilitar atividades de negociação. No entanto, conceder aprovações a atores maliciosos, como um endereço de phishing, pode levar a perdas financeiras. Se a vítima não perceber e revogar a aprovação, um ataque de phishing pode persistir por um longo período de tempo.

Exemplo de transação de ataque
3. Exemplo de transação de ataque
Os golpes de transferência de valor zero, também conhecidos como "envenenamento", ocorrem quando phishers manipulam transferências de valor zero do endereço de uma vítima para um endereço de phishing que se assemelha aos endereços legítimos com os quais a vítima interagiu anteriormente. Essa tática enganosa visa induzir as vítimas a transferirem fundos erroneamente para esses endereços de phishing, resultando em uma perda significativa de ativos.

4. Golpe de Token de Gas
Na Binance Smart Chain (BSC), certos phishers empregam golpes de airdrop, nos quais distribuem tokens fraudulentos às vítimas e as convencem a aprovar ou transferir esses tokens. Lamentavelmente, as vítimas incorrem inadvertidamente em taxas substanciais ao interagir com esses tokens fraudulentos. Essas taxas são utilizadas para mintar tokens de gas para o endereço do golpista, que são posteriormente trocados por lucro.

Exemplo de transação de phishing
5. Golpe de Mercado de NFT
Os NFTs são uma forma única de ativos virtuais. Os preços dos NFTs de uma mesma coleção apresentam variação significativa, tornando as transações automatizadas por meio de exchanges descentralizadas (Dex) impraticáveis. Como resultado, o mercado de NFTs surgiu, fornecendo uma plataforma para os usuários fazerem pedidos e realizarem compras de forma mais facilitada. No entanto, os golpistas exploram esses mercados criando ordens maliciosas e roubando os NFTs das vítimas.

Exemplo de transação de phishing
6. Golpe de Interface Falsa
Os usuários interagem com contratos on-chain, como DApps, por meio de chamadas de interface de contrato. Para melhorar a compreensão do usuário, essas interfaces são tipicamente apresentadas na forma de nomes de métodos. No entanto, é importante notar que os nomes dos métodos podem nem sempre representar com precisão a implementação específica do método. Por exemplo, um método chamado "SecurityUpdate" pode não envolver necessariamente uma atualização de segurança, mas poderia, em vez disso, envolver a transferência dos ativos do chamador.


Exemplo de transação de phishing
Como se Proteger do Phishing na Web3
-
Evite visitar sites suspeitos de fontes não confiáveis e seja extremamente cuidadoso com aqueles que exigem uma carteira conectada. Muitas carteiras e extensões de explorer podem alertá-lo sobre sites de phishing. Ferramentas como o MetaMask podem ajudar.
-
Verifique novamente os endereços com os quais você interage, incluindo EOAs e contratos. Não presuma que estão corretos apenas porque os primeiros e últimos caracteres do endereço são familiares. Para endereços com os quais você interage pela primeira vez, use ferramentas para verificar seus riscos, como o scanner de risco da AvengerDAO e o MetaDock.
-
Verifique e revogue regularmente as permissões de tokens. Muitas ferramentas podem ajudá-lo com isso. Por exemplo, o MetaDock é uma extensão de navegador que ajuda os usuários a identificar aprovações arriscadas, melhorando o recurso de gerenciamento de aprovações de tokens dos exploradores de blockchain.
-
Use múltiplas carteiras e mantenha seus ativos distribuídos. Armazene apenas os ativos necessários em carteiras quentes para uso diário. Mantenha a grande maioria dos ativos em carteiras frias mais seguras, como carteiras de hardware.
Sobre o MetaSleuth
O MetaSleuth é uma plataforma abrangente desenvolvida pela BlockSec para auxiliar os usuários a rastrear e investigar efetivamente todas as atividades cripto. Com o MetaSleuth, os usuários podem facilmente rastrear fundos, visualizar fluxos de fundos, monitorar movimentações de fundos em tempo real, salvar informações importantes e colaborar compartilhando suas descobertas com outras pessoas. Atualmente, suportamos 13 blockchains diferentes, incluindo Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) e mais.
Website: https://metasleuth.io/
Twitter: @MetaSleuth
Telegram: https://t.me/MetaSleuthTeam



