Explicação do Ice Phishing: drenos de aprovação ocultos

O livro-razão enganoso: passando do roubo de credenciais para o sequestro de permissões

• Nos primórdios da segurança Web3, a proteção de ativos digitais era uma batalha relativamente simples, centrada na proteção de credenciais. Se um investidor memorizasse sua frase inicial de 12 palavras, armazenasse suas chaves privadas totalmente offline e evitasse downloads de software malicioso, seu capital na rede era geralmente considerado seguro. 

• Os ataques de phishing tradicionais dependiam fortemente de fraude de força bruta: enganar os usuários para que digitassem suas frases mestras de recuperação diretamente em formulários falsos da web.

• Hoje, o cenário de ameaças passou por uma evolução estrutural dramática. Os cibercriminosos avançados da Web3 não desperdiçam mais energia tentando roubar suas chaves privadas ou frases iniciais. Em vez disso, eles implantam uma técnica altamente sofisticada conhecida como Phishing de gelo. 
• Em vez de invadir seu carteira, o ice phishing engana você para que abra a porta educadamente e entregue o controle operacional total de seus ativos. Ao manipular interfaces de usuário de contratos inteligentes, explorar assinaturas fora da cadeia e aproveitar vulnerabilidades de assinatura cega, essas aprovações ocultas drenam milhões de contas de autocustódia, deixando as chaves privadas totalmente intocadas.

O que é Ice Phishing?

• Ice phishing é uma exploração criptográfica em que um invasor manipula um usuário para que assine uma transação maliciosa de contrato inteligente ou permissão de token. Esta autorização altera o estado de aprovação do token na cadeia, concedendo ao invasor permissão legal total para gastar os ativos da vítima.

• Ao contrário de uma transação típica que move fundos instantaneamente do ponto A para o ponto B, o ice phishing é uma ameaça assíncrona. No momento em que um usuário assina uma aprovação maliciosa, nada parece acontecer. Nenhum token sai da carteira imediatamente. Em vez disso, o invasor aguarda a liquidação da assinatura e, posteriormente, invoca as funções de transferência interna do contrato de token para drenar a conta de forma limpa.

1. A Mecânica da Armadilha On-Chain: approve e setApprovalForAll

• Para interagir com aplicativos descentralizados, criadores de mercado automatizados e mercados NFT, os usuários da Web3 devem interagir com estruturas de permissão de tokens. Como os contratos inteligentes não podem ler ou mover automaticamente os tokens dentro de sua carteira sem permissão, você deve primeiro conceder ao contrato um subsídio de despesas específico.

As campanhas de ice phishing exploram essa escolha de design ao implantar aplicativos descentralizados fraudulentos (dApps) que alteram os parâmetros das interações rotineiras de tokens:

• Alocações de token ERC-20 (approve): Quando você acredita que está configurando uma troca de token de rotina, o dApp malicioso modifica a carga útil dos dados de chamada da transação subjacente. Em vez de chamar uma função de troca, ele chama a função de alocação nativa do token, concedendo ao endereço do contrato do invasor um limite máximo de gastos de vários trilhões de tokens.

• Varreduras de ecossistema NFT (setApprovalForAll): Para tokens não fungíveis, a ameaça é ainda mais absoluta. Assinar uma transação contendo um código malicioso setApprovalForAll concede ao invasor total poder administrativo sobre toda a sua coleção de tokens dentro desse contrato específico. O hacker pode posteriormente retirar todos os itens colecionáveis ​​digitais de alto valor da sua conta em uma execução de bloco único.

2. A assinatura invisível: EIP-2612 permite phishing

• À medida que os provedores de carteira implementaram melhores banners de alerta para sinalizar aprovações suspeitas na rede, os serviços de drenagem mudaram para a manipulação da estrutura de assinatura fora da rede, visando especificamente Licença EIP-2612 Módulos .

• O padrão EIP-2612 foi introduzido para criar uma experiência de usuário mais eficiente, permitindo aprovações de tokens sem gás. Em vez de enviar um relatório ao vivo e dispendioso blockchain Na transação para ajustar uma permissão, o usuário assina uma mensagem estruturada e fora da rede dentro de sua carteira do cliente. Essa string de assinatura criptográfica bruta é então passada para um terceiro que paga a taxa de gás da rede para executar a transação na cadeia.

• Em um cenário de ice phishing, esse recurso se transforma em uma vulnerabilidade silenciosa. Os invasores criam belos aplicativos da Web clonados que solicitam aos usuários que assinem uma mensagem de texto simples e sem gás para “verificar a propriedade da carteira” ou “reivindicar uma recompensa da comunidade”. Por trás da interface do usuário front-end, a carga útil é, na verdade, uma string de validação de permissão EIP-2612. No momento em que o usuário clica no sinal, o drenador captura a carga útil da assinatura bruta, transmite-a para o livro-razão público do blockchain para garantir a permissão e retira seus tokens da conta.

3. O ponto cego da assinatura cega: explorando carteiras de hardware

• A linha de defesa definitiva para um participante da Web3 é uma carteira de hardware. No entanto, mesmo o chip de segurança física mais seguro não pode salvar um investidor de uma exploração de ice phishing se for vítima de Assinatura às cegas.

• A assinatura cega ocorre quando um dispositivo de hardware é forçado a autorizar uma transação de contrato inteligente ou carga útil de mensagem complexa que não pode analisar ou exibir nativamente em sua pequena tela física. Em vez de mostrar instruções em texto claro como "Conceder Direitos de Transferência ao Contrato X," a carteira de hardware exibe uma mensagem de aviso genérica ao lado de uma sequência longa e ilegível de dados hexadecimais hexadecimais brutos.

• Quando os usuários encontram esses campos de dados ilegíveis durante eventos de mercado de alta pressão, eles frequentemente clicam nos avisos em seus botões físicos de hardware por hábito. Ao assinar cegamente a sequência de dados não verificada, o usuário valida criptograficamente a carga maliciosa de phishing de gelo, criando uma aprovação on-chain irreversível e inapelável que permite que o script do drenador ignore totalmente o modelo de segurança do dispositivo físico.

Matriz de Projeto Técnico: Assinaturas de Vetor de Dreno de Aprovação

4. Como reconhecer e proteger seu capital na rede

Defender seu portfólio contra ataques sofisticados de ice phishing e outros "phishings" exige um compromisso intransigente com protocolos rígidos de segurança operacional.

• Dados de simulação de transação de auditoria: Carteiras Web3 modernas e seguras incorporam módulos avançados de simulação de transações. Antes de autorizar qualquer solicitação de transação, revise cuidadosamente a tela de saída da simulação. Se um site que afirma executar uma função básica gerar um aviso de simulação informando que sua carteira está modificando uma franquia, ou se solicitar uma ação contendo termos como approve ou Permit, rejeite a conexão imediatamente.

• Nunca faça sinal cego de cargas desconhecidas: Trate os prompts de assinatura cega em suas carteiras de hardware como eventos de segurança de alto risco. Se a tela do seu dispositivo físico não puder exibir contornos de texto claros e legíveis explicando exatamente para onde seus tokens estão se movendo e por quê, não pressione os botões de confirmação. Atualize o firmware do seu dispositivo ou utilize rotas de interface dApp alternativas e verificadas para garantir uma visibilidade clara dos dados.

• Aplicar auditorias de permissão de rotina: As permissões de token são persistentes; uma vez concedidos, eles permanecem ativos no blockchain para sempre até serem explicitamente modificados. Utilize aplicativos independentes de auditoria de subsídios, como Revoke.cash ou portais de segurança de carteira nativos, para limpar periodicamente aprovações históricas, garantindo que plataformas legadas comprometidas não possam atuar como backdoor para seus saldos atuais.

Rastreamento de entradas de capital por meio de telemetria forense DEXTools