آیس فیشینگ (Ice Phishing) چیست؟ راهنمای کامل شناسایی، پیشگیری و مقابله با آن
آیس فیشینگ (Ice Phishing) یک نوع حمله سایبری پیشرفته در اکوسیستم ارزهای دیجیتال است. هدف اصلی این حمله، سرقت داراییهای دیجیتال از طریق فریب کاربران برای امضای مجوزهای تراکنش (Approvals) است. در این روش، مهاجم به جای تلاش برای دزدیدن کلید خصوصی (Private Key) یا عبارت بازیابی (Seed Phrase)، کاربر را متقاعد میسازد تا اختیار برداشت توکنهای خود را به یک آدرس یا قرارداد هوشمند مخرب واگذار کند. این حمله به دلیل سواستفاده از اعتماد کاربران به رابطهای کاربری و بهرهگیری از پیچیدگیهای فنی بلاکچینها، یک تهدید جدی برای تمام فعالان این حوزه، خصوصا افراد تازهکار، محسوب میشود.
آیس فیشینگ چگونه انجام میشود؟
حملات آیس فیشینگ طبق یک فرایند چندمرحلهای اجرا میشوند که ترکیبی از مهندسی اجتماعی و سواستفاده از قابلیتهای فنی استانداردهای توکن، مانند ERC-20، است. برای محافظت موثر از داراییها، درک این مراحل ضروری محسوب میشود.
مرحله اول: فریب کاربر
نقطه شروع حمله آیس فیشینگ، جلب اعتماد کاربر و هدایت او به یک پلتفرم مخرب است. مهاجمان از روشهای گوناگونی برای ایجاد طعمه استفاده میکنند. آنها وبسایتها یا برنامههای غیرمتمرکزی (dApps) را طراحی میکنند که از نظر ظاهری کاملا شبیه به پلتفرمهای معتبر دیفای (DeFi) مانند Aave هستند.
سپس، از طریق کانالهای مختلف مانند ایمیل، شبکههای اجتماعی (توییتر، دیسکورد و تلگرام) یا تبلیغات جعلی در موتورهای جستجو، لینک این پلتفرمهای جعلی را منتشر میکنند. این پیامها معمولا حاوی وعدههای وسوسهانگیز مانند ایردراپهای انحصاری، فرصتهای استیکینگ با سود بالا یا هشدارهای امنیتی جعلی هستند تا کاربر را برای اتصال کیف پول آنها ترغیب کنند.
مرحله دوم: کسب مجوز (Approval)
این مرحله، هسته اصلی حمله آیس فیشینگ را تشکیل میدهد. پس از اینکه کاربر کیف پول خود را به پلتفرم جعلی متصل کرد، از او خواسته میشود تا یک تراکنش را امضا کند. این تراکنش در ظاهر ممکن است یک فعالیت عادی مانند مبادله توکن یا سپردهگذاری به نظر برسد.
اما در واقعیت، کاربر در حال امضای یک تراکنش برای فراخوانی تابع approve در قرارداد هوشمند توکن مورد نظر است. این تابع به یک آدرس دیگر (آدرس مهاجم) اجازه میدهد تا مقدار مشخصی از توکنهای کاربر را برداشت کند. مهاجمان معمولا درخواست مجوز نامحدود (Unlimited Allowance) میدهند. کاربران زیادی بدون توجه به این جزئیات و برای صرفهجویی در هزینههای تراکنشهای آتی، این مجوز را تایید میکنند و با این کار، عملا کلید صندوق داراییهای خود را به سارق میدهند.
مرحله سوم: برداشت داراییها
پس از ثبت شدن مجوز روی بلاکچین، حمله آیس فیشینگ وارد فاز نهایی خود میشود. مهاجم اکنون این اختیار را دارد که هر زمان بخواهد، با استفاده از تابع transferFrom در قرارداد توکن، داراییهای کاربر را از کیف پول او به آدرس خود منتقل کند. نکته خطرناک این است که این برداشت ممکن است فورا انجام نشود. مهاجم میتواند هفتهها یا حتی ماهها منتظر بماند تا کاربر دارایی بیشتری در کیفپول خود انباشته کند و سپس در یک لحظه تمام موجودی را خالی کند. این تاخیر، شناسایی منشا حمله را برای قربانی بسیار دشوار میکند.
تفاوت آیس فیشینگ با فیشینگ معمولی
مهمترین تفاوت میان حمله آیس فیشینگ و فیشینگ معمولی در روش آنها نهفته است. در حالی که هر دو بر فریب کاربر متمرکز هستند، فیشینگ معمولی به دنبال سرقت مستقیم اطلاعات هویتی و کلیدهای دسترسی است، اما آیس فیشینگ از مکانیسمهای داخلی خود بلاکچین برای کسب مجوز سواستفاده میکند.
جدول زیر تفاوتهای کلیدی این دو نوع حمله را نشان میدهد. درک این تمایز برای شناسایی و مقابله با هر یک از آنها ضروری است.
| آیس فیشینگ | فیشینگ معمولی | |
|---|---|---|
| هدف اصلی | کسب مجوز تراکنش (Token Approval) برای برداشت داراییها. | سرقت اطلاعات حساس (کلید خصوصی، عبارت بازیابی، رمز عبور). |
| روش حمله | فریب کاربر برای امضای تراکنش approve در یک dApp جعلی. | هدایت کاربر به صفحات ورود جعلی برای وارد کردن اطلاعات. |
| نیاز به اطلاعات کاربر | نیازی به کلید خصوصی یا عبارت بازیابی کاربر ندارد. | مستقیما به دنبال به دست آوردن کلید خصوصی یا عبارت بازیابی است. |
| زمان برداشت دارایی | میتواند با تاخیر و مدتها پس از کسب مجوز انجام شود. | معمولا بلافاصله پس از سرقت اطلاعات، داراییها منتقل میشوند. |
| قابلیت شناسایی | دشوار است؛ زیرا تراکنش مجوز در ظاهر معتبر به نظر میرسد. | با بررسی URL و گواهی امنیتی سایت، راحتتر قابل شناسایی است. |
| اکوسیستم هدف | اکوسیستمهای وب ۳، DeFi و NFT. | سیستمهای مالی متمرکز (بانکها)، ایمیل و شبکههای اجتماعی. |
BadgerDAO نمونه واقعی از یک حمله آیس فیشینگ
برای درک بهتر ابعاد عملیاتی و خطرناک بودن آیس فیشینگ، بررسی یک نمونه واقعی بسیار راهگشا است. حمله به پروتکل BadgerDAO در دسامبر ۲۰۲۱ یکی از پیچیدهترین و پرهزینهترین موارد ثبتشده از این نوع حمله به شمار میرود.
در این رویداد، مهاجمان به جای ایجاد یک وبسایت جعلی، موفق شدند یک اسکریپت مخرب را به صورت دورهای در رابط کاربری (Frontend) وبسایت اصلی BadgerDAO تزریق کنند. این کار از طریق دسترسی غیرمجاز به کلید API سرویس Cloudflare پروتکل انجام شد.
این اسکریپت مخرب، درخواستهای تراکنش اضافی و نامرئی را برای کاربرانی که در حال تعامل با پروتکل بودند، ارسال میکرد. کاربران با تصور اینکه در حال انجام عملیات عادی مانند سپردهگذاری یا برداشت سود هستند، این تراکنشهای مخرب را امضا میکردند. این امضاها در واقع مجوزهای نامحدودی بودند که به آدرسهای تحت کنترل مهاجمان اجازه میدادند تا توکنهای کاربران را برداشت کنند. در نتیجه این حمله پیچیده، بیش از ۱۲۰ میلیون دلار دارایی دیجیتال از کیف پول صدها کاربر به سرقت رفت. این مورد به وضوح نشان میدهد که حتی تعامل با وبسایتهای معتبر نیز در صورت وجود ضعفهای امنیتی میتواند خطرناک باشد.
چرا آیس فیشینگ به یک تهدید جدی تبدیل شده است؟
گسترش حملات Ice Phishing نتیجه ترکیبی از عوامل فنی، روانشناختی و ساختاری در اکوسیستم وب ۳ است. این عوامل، بستری را فراهم کردهاند که مهاجمان میتوانند با کمترین ریسک، بیشترین آسیب را به کاربران وارد کنند.
پیچیدگی رابطهای کاربری (UI): رابطهای کاربری کیف پولهای ارز دیجیتال مانند متامسک (MetaMask) اطلاعات تراکنشها را به شکلی فنی نمایش میدهند که درک آن عمدتا برای کاربران عادی دشوار است. بسیاری از کاربران نمیتوانند تفاوت بین یک تراکنش انتقال ساده (transfer) و یک تراکنش اعطای مجوز (approve) را تشخیص دهند و جزئیاتی مانند آدرس قرارداد هوشمند را به دقت بررسی نمیکنند.
اعتماد کامل کاربران به پلتفرمهای دیفای: کاربران معمولا به پلتفرمهای شناختهشده اعتماد میکنند و تصور میکنند هر تراکنشی که از طریق رابط کاربری آنها درخواست میشود، امن است. مهاجمان با شبیهسازی دقیق این رابطها یا در موارد پیشرفتهتر، با هک کردن کدهای سمت کاربر (Frontend) یک وبسایت معتبر، از این اعتماد سواستفاده میکنند.
ضعفهای ذاتی در استانداردهای توکن: استاندارد توکن ERC-20 و استانداردهای مشابه، عملکرد صحیح اکوسیستم دیفای را ممکن میسازند، اما ویژگی اعطای مجوز (Approval) در آنها به یک شمشیر دو لبه تبدیل شده است. قابلیت اعطای مجوز نامحدود که برای سهولت تجربه کاربری طراحی شده، به یک ابزار قدرتمند برای مهاجمان آیس فیشینگ بدل شده است.
عدم آگاهی عمومی کاربران: بسیاری از افراد تازهوارد به دنیای ارزهای دیجیتال، با مفاهیم فنی مانند قراردادهای هوشمند، مجوزهای توکن و تفاوت بین انواع تراکنشها آشنا نیستند. این موضوع، آنها را به اهداف آسانی برای این نوع حملات تبدیل میکند.
نحوه جلوگیری از حملات آیس فیشینگ
پیشگیری از آیس فیشینگ نیازمند یک رویکرد امنیتی چندگانه است که شامل هوشیاری فردی، استفاده از ابزارهای مناسب و رعایت بهترین شیوههای امنیتی میشود. هیچ راهحل واحدی وجود ندارد و امنیت داراییها به مجموعهای از اقدامات پیشگیرانه بستگی دارد.
بررسی دقیق جزئیات تراکنش
مهمترین سپر دفاعی در برابر آیس فیشینگ، دقت به خرج دادن پیش از امضای هر تراکنش است. کاربران باید عادت کنند که پیش از کلیک روی دکمه تایید، جزئیات نمایش داده شده در کیف پول خود را به دقت بخوانند. باید بررسی شود که آیا تراکنش از نوع approve است یا خیر و اینکه مجوز به چه «آدرسی» و برای چه مقدار توکن صادر میشود.
مدیریت و چک کردن مجوزها (Token Approvals)
حتی محتاطترین کاربران نیز ممکن است در گذشته مجوزهای غیرضروری صادر کرده باشند. مدیریت و چک کردن این مجوزها یک اقدام حیاتی برای کاهش سطح تهدید است.
- استفاده از ابزارهای لغو مجوز: ابزارهایی مانند Revoke.cash به کاربران اجازه میدهند تا تمام مجوزهای فعالی که به آدرسهای مختلف برای توکنهای گوناگون صادر کردهاند را مشاهده کنند. توصیه میشود کاربران به صورت دورهای (مثلا ماهانه) به این ابزارها مراجعه کرده و تمام مجوزهای غیرضروری یا مشکوک را لغو (Revoke) کنند.
- محدود کردن مقدار مجوز: به جای انتخاب گزینه مجوز نامحدود، کاربران باید تنها به همان مقداری مجوز دهند که برای انجام تراکنش فعلی نیاز است. اگرچه این کار ممکن است در آینده نیازمند صرف هزینه گس (Gas Fee) اضافی برای تراکنشهای جدید باشد، اما ریسک از دست دادن تمام داراییها را از بین میبرد.
بهکارگیری ابزارهای امنیتی پیشرفته
استفاده از فناوریهای نوین امنیتی میتواند یک لایه دفاعی قدرتمند ایجاد کند. کیف پولهای سختافزاری (Hardware Wallets) مانند Ledger و Trezor، با نگهداری کلیدهای خصوصی در یک محیط آفلاین، امنیت را به شدت افزایش میدهند. علاوه بر این، افزونههای امنیتی مرورگرها مانند Pocket Universe یا Fire میتوانند تراکنشها را پیش از امضا شبیهسازی کنند و اگر تراکنش منجر به از دست رفتن داراییها شود، با هشدارهای واضحی به کاربر اطلاع دهند.
رعایت اصول سایبری عمومی
اصول اولیه امنیت سایبری، در دنیای وب ۳ نیز کاملا کاربرد دارند. کاربران باید آدرس وبسایتهای معتبری که مرتبا از آنها استفاده میکنند را نشانهگذاری (Bookmark) کرده و همیشه از این طریق وارد آنها شوند. همچنین، باید از کلیک روی لینکهای مشکوک در ایمیلها، پیامهای خصوصی و تبلیغات جدا خودداری کنند.
اگر شخصی قربانی آیس فیشینگ شد باید چه کند؟
با وجود تمام اقدامات پیشگیرانه، هر کسی ممکن است قربانی یک حمله آیس فیشینگ شود. در صورتی که فردی متوجه فعالیت مشکوک در کیف پول خود شد یا مشکوک به قربانی شدن در حمله آیس فیشینگ بود، باید فورا و با حفظ خونسردی، مجموعهای از اقدامات اضطراری را برای محدود کردن خسارت انجام دهد.
۱. لغو فوری تمام مجوزهای فعال: اولین و حیاتیترین اقدام، قطع کردن دسترسی مهاجم است. فرد باید بلافاصله به ابزاری مانند Revoke.cash مراجعه کرده و تمام مجوزهای فعال، به ویژه مجوزهای نامحدود و مجوزهای صادر شده به آدرسهای مشکوک را لغو کند.
۲. ایجاد یک کیف پول کاملا جدید: کیف پول قربانی اکنون یک کیف پول آلوده و ناامن تلقی میشود. فرد باید یک کیف پول جدید با عبارت بازیابی (Seed Phrase) کاملا جدید ایجاد کند. استفاده مجدد از کیف پول قبلی به هیچ وجه توصیه نمیشود.
۳. انتقال سریع داراییهای باقیمانده: پس از لغو مجوزها، هر دارایی ارزشمندی که هنوز در کیف پول قدیمی باقی مانده است، باید فورا به آدرس کیف پول جدید و امن منتقل شود. این کار باید با اولویتبندی داراییهای با ارزشتر انجام شود.
۴. گزارش آدرس مهاجم: اگرچه بازگرداندن داراییهای سرقتشده تقریبا غیرممکن است، اما گزارش دادن آدرس کیف پول مهاجم به جامعه و پلتفرمهای امنیتی اهمیت دارد. میتوان این آدرس را در بلاکاکسپلوررهایی مانند Etherscan به عنوان آدرس فیشینگ گزارش کرد تا دیگران از آن آگاه شوند.
ابزارهای کاربردی برای مقابله با آیس فیشینگ
خوشبختانه ابزارهای متعددی برای کمک به کاربران در شناسایی و مدیریت ریسکهای مرتبط با آیس فیشینگ توسعه یافتهاند. در جدول زیر برخی از مهمترین این ابزارها معرفی شدهاند.
| نام ابزار | کاربرد اصلی | نحوه کمک به کاربر |
|---|---|---|
| Revoke.cash | مدیریت و لغو مجوزهای توکن | به کاربر اجازه میدهد تمام مجوزهای فعال را در شبکههای مختلف ببیند و آنها را لغو کند. |
| Etherscan Token Approval Checker | بررسی مجوزهای توکن | ابزار داخلی بلاکاکسپلورر اتریوم برای مشاهده و لغو مجوزهای صادر شده از یک آدرس خاص. |
| Pocket Universe / Fire | شبیهساز تراکنش | به عنوان افزونه مرورگر، تراکنش را قبل از امضا تحلیل و خطرات احتمالی آن را به کاربر هشدار میدهد. |
| کیف پول سختافزاری | نگهداری امن کلید خصوصی | با جداسازی امضای تراکنش از محیط آنلاین، ریسک حملات از طریق نرمافزارهای مخرب را کاهش میدهد. |
| DeBank | ردیاب پورتفوی و مجوزها | علاوه بر ردیابی داراییها، بخشی برای نمایش و مدیریت مجوزهای فعال در پلتفرمهای مختلف دارد. |
آینده و چشمانداز مقابله با Ice Phishing
مبارزه با آیس فیشینگ یک چالش مداوم است و توسعهدهندگان وب ۳ در تلاش هستند تا راهحلهای پایدارتری برای آن بیابند. آینده امنیت در این حوزه بر سه محور اصلی متمرکز خواهد بود.
بهبود رابطهای کاربری کیف پولها: کیف پولهای نسل جدید در حال توسعه رابطهای کاربری هوشمندتری هستند که اطلاعات تراکنش را به زبانی ساده و قابل فهم برای کاربر نمایش میدهند. برای مثال، به جای نمایش یک آدرس طولانی، نام شناختهشده یک پروتکل (در صورت تایید) نمایش داده میشود و هشدارهای واضحی در مورد اعطای مجوزهای پرخطر صادر میشود.
توسعه استانداردهای جدید توکن: جامعه اتریوم در حال کار روی پیشنهادهایی برای کاهش ریسک مجوزها است. برای نمونه، استانداردهایی پیشنهاد شدهاند که به کاربران اجازه میدهند مجوزها را پس از یک دوره عدم فعالیت به صورت خودکار منقضی کنند یا سقف برداشت روزانه برای یک مجوز تعیین شود.
نقش هوش مصنوعی در شناسایی تهدیدات: ابزارهای امنیتی مبتنی بر هوش مصنوعی (AI) میتوانند الگوهای تراکنشهای مشکوک را در سطح شبکه شناسایی کرده و به صورت آنی به کیف پولها یا کاربران هشدار دهند. این سیستمها میتوانند آدرسهای مرتبط با حملات فیشینگ شناختهشده را شناسایی و تعامل با آنها را مسدود کنند.
جمعبندی
آیس فیشینگ یک تهدید خاموش اما بسیار جدی در دنیای وب ۳ محسوب میشود. این نوع حمله نشان میدهد که در یک اکوسیستم غیرمتمرکز، مسئولیت نهایی امنیت داراییها بر عهده خود فرد است. اگرچه ابزارها و فناوریهای جدید در حال توسعه برای مقابله با این تهدید هستند، اما بهترین دفاع همچنان ترکیبی از آموزش، هوشیاری و استفاده صحیح از ابزارهای امنیتی موجود است. با بررسی دقیق تراکنشها، مدیریت فعال مجوزها و دانستن اقدامات اضطراری پس از حمله، کاربران میتوانند ریسک قربانی شدن در این حملات پیچیده را به حداقل برسانند.
