區(qū)塊鏈、去中心化技術、DeFi、智能合約、“元宇宙 ”的概念和Web3，這些建立在加密系統(tǒng)之上的去中心化基礎，也是區(qū)塊鏈項目的基礎。它們都有可能對我們今天理解和體驗連接的方式產生徹底的改變。

然而，隨著每一次技術革新，也可能為網絡攻擊者創(chuàng)造新的途徑，Web3也不例外。現(xiàn)在，最常見的威脅包括通過電子郵件和社交媒體平臺進行的大規(guī)模垃圾郵件和網絡釣魚，社會工程和漏洞利用。

2月16日，微軟365防御者研究團隊表示，尤其是網絡釣魚已經蔓延到區(qū)塊鏈、托管錢包和智能合約上大行其道。同時，他們強調了這些威脅的持久性，以及在未來相關系統(tǒng)和框架中構建安全基礎的必要性。

微軟的網絡安全研究人員說，針對 Web3 和區(qū)塊鏈的網絡釣魚攻擊可以采取多種形式。其中，較為主要的一種是攻擊者試圖獲得私人的加密密鑰來訪問包含數(shù)字資產的錢包。

雖然電子郵件的網絡釣魚嘗試確實發(fā)生了，但社交媒體的詐騙也很猖獗。例如，詐騙者可能會向用戶直接發(fā)送消息，公開請求加密貨幣服務的幫助 -- 并在假裝來自支持團隊的同時，要求提供密鑰。

另一種策略是通過在社交媒體網站上發(fā)起免費代幣的假空投，當用戶試圖訪問他們的新資產時，他們會被重定向到惡意域名，這些域名要么試圖竊取憑證，要么在受害者的機器上執(zhí)行加密劫持惡意軟件的有效載荷。

此外，眾所周知，網絡犯罪分子會進行錯別字搶注，以冒充合法的區(qū)塊鏈和加密貨幣服務。他們注冊含有小錯誤或變化的網站域名--如cryptocurency.com而不是cryptocurrency.com--并建立釣魚網站，直接盜取密鑰。

冰雪釣魚則不同，它完全忽略了私人密鑰。這種攻擊方法試圖欺騙受害者簽署一項交易，將用戶的代幣批準權交給犯罪分子。例如，此類交易可用于 DeFi 環(huán)境和智能合約，以允許進行代幣交換。

微軟指出，“一旦批準交易被簽署、提交和挖掘，支付者就可以訪問資金。如果是'冰上釣魚'攻擊，攻擊者可以在一段時間內積累審批，然后迅速耗盡所有受害者的錢包?！?/p>

最引人注目的冰上釣魚的例子是去年的BadgerDAO入侵事件。攻擊者能夠破壞BadgerDAO的前端，以獲得對Cloudflare API密鑰的訪問，然后從Badger智能合約中注入惡意腳本并刪除。而高余額的客戶往往是這些人的欺詐者的目標。

據悉，上述事件大約有1.21億美元被盜，而相關的審計和恢復計劃還在進行中。而Badger DAO攻擊強調了在Web3處于早期發(fā)展和采用階段，我們有必要將安全性納入其中。

最后，微軟表示：“在較高的層面上，我們建議軟件開發(fā)人員提高 Web3 的安全可用性。與此同時，最終用戶需要通過額外的資源來明確驗證信息，例如查看項目的文檔和外部聲譽/信息網站?！?/p>