区块链安全公司CertiK再次提醒加密社区，要警惕“冰钓”诈骗——这是一种有针对性的网络钓鱼诈骗，它针对的是Web3用户，最早由微软在今年年初识别出来。

在12月20日的分析报告中，CertiK把冰钓诈骗描述为一种误导Web3用户签署权限的攻击，最终使得骗子可以花费他们的代币。

这与试图通过欺诈网站等方式获取敏感信息（如私钥或密码）的传统钓鱼攻击不同，这些网站声称能帮助FTX投资者追回 lost funds。

#CertiKSkynetAlert

1/ 冰钓钓鱼对Web3社区构成了很大的威胁

骗子不是直接获取你的私钥，而是让你签署授权，消耗你的资产。

下面我们将详细说明该注意什么，以及如何自我保护！

12月17日发生的一起诈骗案中，14只Bored Apes被盗，这是一个复杂冰钓攻击的例子。一位投资者被说服签署了一份伪装成电影合同的交易请求，最终使骗子能够以极小的金额将自己变成所有用户的Apes。

CertiK指出，这种诈骗是一个“巨大的威胁”，仅在Web3世界中出现，投资者常常需要签署权限以访问去中心化金融（DeFi）协议，这些协议很容易被伪造。CertiK写道：

一旦骗子获得批准，他们就能将资产转移到他们选择的地址。

为了防止冰钓诈骗，CertiK建议投资者使用代币批准工具和像Etherscan这样的区块链浏览器，以便撤销他们对不熟悉地址的权限。

相关：OneCoin诈骗4亿首领认罪，面临60年监禁

此外，用户计划互动的地址应在这些区块链浏览器上查找是否有可疑活动。在其分析中，CertiK指出一个由Tornado Cash提取资助的地址作为可疑活动的例子。

CertiK还建议用户只与能够验证的官方网站互动，并特别提防社交媒体网站如Twitter，以一个伪造的Optimism Twitter账户作为例子。

公司还建议用户用几分钟时间检查像CoinMarketCap或CoinGecko这样的可信网站，以确保URL链接的是合法网站。

科技巨头微软是在2月16日的一篇博客文章中首次强调这种做法的，当时他们表示，虽然凭证钓鱼在Web2世界中非常普遍，但冰钓让个人骗子能够偷走加密行业的一部分，同时保持“几乎完全匿名”。

他们建议Web3项目和钱包提供商在软件层面提高安全性，以防止用户不得不独自承受避免冰钓攻击的负担。