Що атака на $440 тисяч розкриває про зростаючу загрозу шахрайств із "дозволами" в Ethereum

Джерело: PortaldoBitcoin Оригінальна назва: Що reveals атака на суму 440 000 доларів США щодо зростаючої загрози шахрайства з “дозволом” в Ethereum Оригінальне посилання: Хакер викрав понад 440 000 доларів США в USDC після того, як власник гаманця підписав, не знаючи, зловмисний підпис “дозволу”.

Злодійство відбувається на тлі зростання втрат через фішинг. У листопаді було втрачено близько 7,77 мільйонів доларів США з понад 6000 жертв, що становить зростання загальних втрат на 137% порівняно з жовтнем, навіть при зменшенні кількості жертв на 42%.

“Полювання на китів посилилося, з максимальною втратою у 1,22 мільйона доларів США (підпис дозволу). Попри зменшення кількості атак, окремі втрати значно зросли”.

Що таке шахрайства з дозволом?

Шахрайства, засновані на дозволі, полягають у тому, щоб обдурити користувачів підписати транзакцію, яка здається легітимною, але насправді надає зловмиснику право витрачати їхні токени. Децентралізовані застосунки (dapps) зловмисного характеру можуть приховувати поля, фальсифікувати назви контрактів або подавати запит на підпис як щось рутинне.

Якщо користувач не уважно вивчить деталі, підписання запиту надає зловмиснику дозвіл отримати доступ до всіх токенів ERC-20 користувача. Після надання дозволу шахраї зазвичай одразу виводять кошти.

Метод використовує функцію дозволу Ethereum, яка була розроблена для полегшення переказів токенів, дозволяючи користувачам делегувати права витрат довіреним застосункам. Ця зручність стає вразливістю, коли ці права надаються зловмиснику.

“Що особливо ускладнює цей тип атаки, так це те, що зловмисники можуть здійснювати дозвіл і переказ токенів у одній транзакції (подхід типу ’ smash and grab’) або можуть отримати доступ через дозвіл, а потім залишатися неактивними, очікуючи на переказ будь-яких доданих коштів пізніше (за умови, що вони встановлять досить довгий строк доступу у метаданих функції дозволу)”.

“Успіх цього виду шахрайства залежить від того, чи підпишете ви щось, не розуміючи повністю, що станеться. Усе зводиться до людської вразливості та використання наївності людей”.

Є багато прикладів шахрайських фішингових атак великого обсягу і вартості, створених для обману користувачів і змусити їх підписати щось, що вони повністю не розуміють. Часто ці шахрайства маскуються під безкоштовний розподіл грошей, фальшиві цільові сторінки проектів для підключення вашого гаманця або фальшиві попередження безпеки.

Як захиститися

Провайдери цифрових гаманців впроваджують більше захисних функцій. Наприклад, MetaMask попереджає користувачів, якщо сайт здається підозрілим, і намагається перетворити дані транзакції у зрозумілу людською мовою. Інші гаманці також підкреслюють дії високого ризику. Але шахраї продовжують адаптуватися.

Рекомендується користувачам перевіряти адреси відправників і деталі контрактів. “Це найчіткіший спосіб зрозуміти, чи протокол відповідає реальному призначенню коштів, оскільки, ймовірно, хтось намагається їх вкрасти. Ви можете перевірити суму; часто вони намагаються надати необмежені дозволи”.

Пильність залишається найкраїм захистом користувачів. “Найкращий спосіб захиститися від шахрайств типу ‘permit’ — це переконатися, що ви знаєте, що підписуєте. Які дії дійсно будуть здійснені у транзакції? Які функції використовуються? Вони відповідають тому, що ви думали підписати?”

“Багато гаманців і децентралізованих застосунків покращили свої інтерфейси користувача, щоб гарантувати, що ви не підписуєте щось наосліп і можете побачити результат, а також отримати попередження про функції високого ризику. Однак важливо активно перевіряти, що ви підписуєте, а не просто підключати гаманець і натискати ‘підписати’”.

Після крадіжки відновлення коштів малоймовірне. У фішингових атаках ви маєте справу з особою, чиїм єдиним ціллю є крадіжка ваших коштів. Немає переговорів, немає контактних точок і часто — жодної ідеї, хто є іншим учасником.

“Ці зловмисники грають з цифрами. Як тільки гроші зникли, вони назавжди втрачені. Відновлення фактично неможливе”.