قامت شركة سيرتيك لأمان بلوكتشين بتذكير مجتمع العملات المشفرة بالبقاء في حالة تأهب بشأن عمليات "التصيد الاحتيالي غير المباشر" - وهو نوع فريد من التصيد الاحتيالي يستهدف مستخدمي الويب 3، وقد تم تحديده لأول مرة بواسطة مايكروسوفت في وقت سابق من هذا العام. 

ففي تقرير تحليلي صدر يوم 20 ديسمبر، وصفت سيرتيك عمليات التصيد الاحتيالي غير المباشرة بأنها هجوم يخدع مستخدمي الويب 3 لتوقيع أذونات تنتهي في النهاية بالسماح للمخادع بإنفاق التوكنات.

ويختلف هذا عن هجمات التصيد الاحتيالي التقليدية التي تحاول الوصول إلى معلومات سرية مثل المفاتيح الخاصة أو كلمات المرور، عبر طرق مثل مواقع الويب المزيفة التي تدعي أنها تساعد مستثمري إف تي إكس على استرداد أموالهم المفقودة.

تعتبر عملية احتيال حدثت يوم 17 ديسمبر حيث سُرق 14 توكن بورد إيبس مثالًا على هجوم تصيد غير مباشر متطور؛ حيث كان المستثمر مقتنعًا بالتوقيع على طلب معاملة متخفيًا في صورة عقد فيلم، مما مكّن المحتال في النهاية من بيع جميع توكنات المستخدم لنفسه مقابل مبلغ ضئيل.

وقد أشارت الشركة إلى أن هذا النوع من الاحتيال كان "تهديدًا كبيرًا" ولا يوجد إلا في عالم الويب 3، حيث يُطلب من المستثمرين غالبًا توقيع أذونات لبروتوكولات التمويل اللامركزية التي يمكن تزويرها بسهولة. حيث كتبت سيرتيك:

"يحتاج المتسلل فقط إلى جعل المستخدم يعتقد أن العنوان الضار الذي يمنح الموافقة عليه شرعي. وبمجرد موافقة المستخدم على الأذونات للمخادع لإنفاق التوكنات، تصبح الأصول معرضة لخطر الاستنزاف".

وبمجرد حصول المخادع على الموافقة، يمكنه نقل الأصول إلى عنوان من اختياره.

مثال على كيفية عمل هجوم التصيد الاحتيالي غير المباشر على إيثرسكان. المصدر: سيرتيك

لحماية أنفسهم من التصيد الاحتيالي غير المباشر، أوصت سيرتيك المستثمرين باستخدام أداة الموافقة على التوكنات وموقع مستكشف بلوكتشين مثل إيثرسكان لإلغاء أذونات العناوين التي لا يتعرفون عليها.

واقترحت سيرتيك أيضًا أن يتفاعل المستخدمون فقط مع المواقع الرسمية التي يمكنهم التحقق منها، وأن يكونوا حذرين بشكل خاص من مواقع التواصل الاجتماعي مثل تويتر، مع إبراز حساب أوبتيميزم الوهمي على تويتر كمثال.

حساب أوبتيميزم الوهمي على تويتر. المصدر: سيرتيك

كما نصحت الشركة المستخدمين بأخذ بضع دقائق للتحقق من موقع موثوق به مثل كوين ماركت كاب أو كوين غيكو للتأكد من أن عنوان URL يرتبط بموقع شرعي.

كانت شركة مايكروسوفت العملاقة للتكنولوجيا هي أول من سلط الضوء على هذه الممارسة في منشور مدونة بتاريخ 16 فبراير، حيث قالت في ذلك الوقت إنه في حين أن التصيد الاحتيالي لبيانات الاعتماد هو المنتشر بشكل كبير في عالم الويب 3، فإن التصيد الاحتيالي غير المباشر يمنح المحتالين الأفراد القدرة على سرقة جزء كبير من صناعة العملات المشفرة مع الحفاظ على "إخفاء الهوية بشكل شبه كامل".

وأوصوا بأن تزيد مشاريع الويب 3 ومزودي المحفظة من مستوى الأمان لديهم على مستوى البرمجيات من أجل منع عبء تجنب هجمات التصيد الاحتيالي غير المباشر التي يتكبدها المستخدم النهائي فقط.