什么是冰网络钓鱼攻击？

定义和机制

1. 冰网络钓鱼攻击是一种欺骗性技术，攻击者会诱骗用户签署恶意交易，从而授予对其加密货币钱包进行未经授权的访问。

2. 与窃取凭证的传统网络钓鱼不同，冰网络钓鱼利用钱包签名请求，使受害者在不知不觉中批准代币配额或转移授权。

3. 攻击者通常会托管一个模仿合法 DeFi 平台或 NFT 市场的虚假去中心化应用程序 (dApp) 界面。

4. 当用户连接他们的 Web3 钱包（例如 MetaMask）并签署例行交易时，他们实际上批准了一份智能合约，从他们的地址提取资产。

5. 一旦获得批准，攻击者可以随时耗尽代币，无需进一步的用户交互或确认。

常见载体和平台

1. 通过 Telegram 群组、Discord 服务器和 Twitter/X DM 分发的恶意链接通常会导致伪造的空投领取页面。

2. 受损的 GitHub 存储库或 npm 包将恶意代码注入开发人员使用的开源钱包集成中。

3. 伪装成钱包连接器的虚假浏览器扩展在安装或首次使用期间请求签名权限。

4. 受损的广告网络在加密新闻网站上投放有毒横幅，将用户重定向到仿质押注仪表板。

5. 搜索引擎优化操纵将欺诈性 dApp 置于真实的 dApp 之上，以进行“Uniswap v3 流动性计算器”等高意图查询。

技术特点

1、冰钓涉及的交易很少涉及ETH转账；相反，他们部署针对 ERC-20 或 ERC-721 合约的approve()调用。

2. 攻击者经常使用零地址津贴，为看似无害的函数名称（如“initReward”或“setManager”）的恶意合约授予无限的支出权限。

3. 签名有效负载通常使用EIP-712 类型的数据结构进行混淆，将真实意图隐藏在人类可读的域分隔符和屏蔽消息字段后面。

4. 某些变体采用批量签名请求，将多个批准捆绑到一个提示中以减少怀疑。

5. 这些攻击中使用的合约地址通常驻留在新部署的、未经验证的 EVM 兼容链上，以逃避链上安全扫描器的检测。

现实世界的事件

1. 2023 年 6 月，超过 300 个钱包通过一个虚假的 Arbitrum 桥接网站遭到入侵，该网站提示用户签署“乐观同步批准”——这实际上是流氓合约的代币津贴。

2. 2024 年初针对 OpenSea 用户的网络钓鱼活动利用带有 SSL 证书欺骗的克隆域，导致受害者签署“集合验证”交易，从而实现 NFT 盗窃。

3. Polygon 上的多款钱包连接游戏在集成包含隐藏setApprovalForAll()逻辑的第三方分析 SDK 后遭受大规模利用。

4. 假冒的 Ledger Live 更新页面诱导用户签署固件验证请求，该请求秘密授权 BSC 上的 BEP-20 代币转移合约。

5. Blur 市场的假版本注入了恶意 JavaScript，拦截钱包连接事件，并用攻击者控制的签名有效负载替换合法签名有效负载。

常见问题解答

问：硬件钱包可以防止冰网钓鱼吗？答：硬件钱包会在签名前显示交易详细信息，但如果用户误解显示的数据或跳过验证步骤，他们仍然可能会批准危险的限额。

问：撤销代币配额是否可以完全减轻冰网络钓鱼事件后的损失？答：撤销会阻止以后的提款，但不会追回已经被盗的资产；它必须在攻击者发起传输之前执行。

问：移动 Web3 浏览器是否比桌面浏览器更容易受到冰网络钓鱼的攻击？答：移动界面通常将签名提示压缩为不太详细的视图，增加了盲目批准的可能性，尤其是在 dApp 调试工具有限的 iOS Safari 上。

问：为什么一些区块链浏览器无法将冰网络钓鱼合约标记为恶意？答：许多此类合约在部署时不包含明显有害的操作码；仅当与特定的签名上下文和外部调用模式配对时，它们的危险才会出现。