什麼是冰網絡釣魚攻擊？

定義和機制

1. 冰網絡釣魚攻擊是一種欺騙性技術，攻擊者會誘騙用戶簽署惡意交易，從而授予對其加密貨幣錢包進行未經授權的訪問。

2. 與竊取憑證的傳統網絡釣魚不同，冰網絡釣魚利用錢包簽名請求，使受害者在不知不覺中批准代幣配額或轉移授權。

3. 攻擊者通常會託管一個模仿合法 DeFi 平台或 NFT 市場的虛假去中心化應用程序 (dApp) 界面。

4. 當用戶連接他們的 Web3 錢包（例如 MetaMask）並簽署例行交易時，他們實際上批准了一份智能合約，從他們的地址提取資產。

5. 一旦獲得批准，攻擊者可以隨時耗盡代幣，無需進一步的用戶交互或確認。

常見載體和平台

1. 通過 Telegram 群組、Discord 服務器和 Twitter/X DM 分發的惡意鏈接通常會導致偽造的空投領取頁面。

2. 受損的 GitHub 存儲庫或 npm 包將惡意代碼注入開發人員使用的開源錢包集成中。

3. 偽裝成錢包連接器的虛假瀏覽器擴展在安裝或首次使用期間請求籤名權限。

4. 受損的廣告網絡在加密新聞網站上投放有毒橫幅，將用戶重定向到仿質押注儀表板。

5. 搜索引擎優化操縱將欺詐性 dApp 置於真實的 dApp 之上，以進行“Uniswap v3 流動性計算器”等高意圖查詢。

技術特點

1、冰釣涉及的交易很少涉及ETH轉賬；相反，他們部署針對 ERC-20 或 ERC-721 合約的approve()調用。

2. 攻擊者經常使用零地址津貼，為看似無害的函數名稱（如“initReward”或“setManager”）的惡意合約授予無限的支出權限。

3. 簽名有效負載通常使用EIP-712 類型的數據結構進行混淆，將真實意圖隱藏在人類可讀的域分隔符和屏蔽消息字段後面。

4. 某些變體採用批量簽名請求，將多個批准捆綁到一個提示中以減少懷疑。

5. 這些攻擊中使用的合約地址通常駐留在新部署的、未經驗證的 EVM 兼容鏈上，以逃避鏈上安全掃描器的檢測。

現實世界的事件

1. 2023 年 6 月，超過 300 個錢包通過一個虛假的 Arbitrum 橋接網站遭到入侵，該網站提示用戶簽署“樂觀同步批准”——這實際上是流氓合約的代幣津貼。

2. 2024 年初針對 OpenSea 用戶的網絡釣魚活動利用帶有 SSL 證書欺騙的克隆域，導致受害者簽署“集合驗證”交易，從而實現 NFT 盜竊。

3. Polygon 上的多款錢包連接遊戲在集成包含隱藏setApprovalForAll()邏輯的第三方分析 SDK 後遭受大規模利用。

4. 假冒的 Ledger Live 更新頁面誘導用戶簽署固件驗證請求，該請求秘密授權 BSC 上的 BEP-20 代幣轉移合約。

5. Blur 市場的假版本注入了惡意 JavaScript，攔截錢包連接事件，並用攻擊者控制的簽名有效負載替換合法簽名有效負載。

常見問題解答

問：硬件錢包可以防止冰網釣魚嗎？答：硬件錢包會在簽名前顯示交易詳細信息，但如果用戶誤解顯示的數據或跳過驗證步驟，他們仍然可能會批准危險的限額。

問：撤銷代幣配額是否可以完全減輕冰網絡釣魚事件後的損失？答：撤銷會阻止以後的提款，但不會追回已經被盜的資產；它必須在攻擊者發起傳輸之前執行。

問：移動 Web3 瀏覽器是否比桌面瀏覽器更容易受到冰網絡釣魚的攻擊？答：移動界面通常將簽名提示壓縮為不太詳細的視圖，增加了盲目批准的可能性，尤其是在 dApp 調試工具有限的 iOS Safari 上。

問：為什麼一些區塊鏈瀏覽器無法將冰網絡釣魚合約標記為惡意？答：許多此類合約在部署時不包含明顯有害的操作碼；僅當與特定的簽名上下文和外部調用模式配對時，它們的危險才會出現。