Что атака на $440 тысяч раскрывает о растущей угрозе мошенничества с «разрешениями» в сети Ethereum

Источник: PortaldoBitcoin Оригинальный заголовок: Что атака на $440 тыс. раскрывает о растущей угрозе мошенничества с «разрешениями» в сети Ethereum Оригинальная ссылка:

Хакер похитил более $440 000 в USDC после того, как владелец кошелька, не подозревая об этом, подписал вредоносную «разрешающую» подпись, согласно твиту Scam Sniffer в понедельник [image]8(.

Кража произошла на фоне роста потерь от фишинга. Около $7,77 млн были потеряны более чем у 6 000 жертв в ноябре, согласно ежемесячному отчету Scam Sniffer, что составляет рост общих потерь на 137% по сравнению с октябрем, несмотря на снижение числа жертв на 42%.

«Охота на китов усилилась, максимальный ущерб составил $1,22 млн )разрешающая подпись(. Несмотря на снижение числа атак, индивидуальные потери значительно увеличились», — отметила компания.

Что такое мошенничество с разрешениями?

Мошенничество на базе разрешений заключается в том, чтобы обмануть пользователей и заставить их подписать транзакцию, которая выглядит легитимной, но на самом деле предоставляет злоумышленнику право тратить их токены. Злоумышленники могут использовать вредоносные децентрализованные приложения )dapps(, маскировать поля, подделывать названия контрактов или преподносить запрос на подпись как рутинный.

Если пользователь невнимательно проверяет детали, подпись такого запроса предоставляет злоумышленнику разрешение на доступ ко всем токенам ERC-20 пользователя. Как только разрешение предоставлено, мошенники обычно сразу выводят средства.

Метод использует функцию разрешения в Ethereum, которая была разработана для упрощения перевода токенов, позволяя пользователям делегировать права на трату доверенным приложениям. Это удобство становится уязвимостью, если эти права предоставляются злоумышленнику.

«Особенность этой атаки в том, что злоумышленники могут выполнить разрешение и перевод токенов в одной транзакции )метод “smash and grab”(, либо получить доступ через разрешение и затем оставаться бездействующими, ожидая, чтобы перевести любые последующие поступления )если в метаданных функции разрешения установлен достаточно длительный срок доступа(», — рассказала Тара Эннисон, руководитель продукта Twinstake.

«Успех такого мошенничества зависит от того, что вы подпишете что-то, не полностью понимая, что произойдет», — сказала она, добавив: «Все сводится к человеческой уязвимости и использованию наивности людей».

Эннисон добавила, что этот инцидент далеко не единичный случай. «Есть много примеров масштабных и крупных фишинговых атак, созданных для обмана пользователей и вынуждающих их подписывать то, что они не до конца понимают. Часто такие атаки маскируются под бесплатную раздачу токенов, фейковые лендинговые страницы проектов для подключения кошелька или мошеннические предупреждения о безопасности для проверки, пострадали ли вы», — добавила она.

Как защититься

Поставщики цифровых кошельков внедряют больше функций защиты. MetaMask, например, предупреждает пользователей, если сайт кажется подозрительным, и пытается переводить данные транзакции на понятный человеку язык. Другие кошельки также выделяют действия с высоким риском. Однако мошенники продолжают адаптироваться.

Гарри Доннелли, основатель и CEO Circuit, заявил, что атаки типа «permit» «довольно распространены» и посоветовал пользователям проверять адреса отправителей и детали контракта.

«Это самый понятный способ узнать, если протокол не соответствует реальному получателю средств, значит, скорее всего, кто-то пытается их украсть», — сказал он. «Вы также можете проверить сумму; часто они пытаются получить неограниченные разрешения, как в этом случае».

Эннисон подчеркнула, что бдительность по-прежнему остается лучшей защитой пользователей. «Лучший способ защититься от мошенничества типа ‘permit’, ‘approveAll’ или ‘transferFrom’ — убедиться, что вы знаете, что подписываете. Какие именно действия будут выполнены в транзакции? Какие функции используются? Соответствует ли это тому, что, как вы думали, вы подписываете?»

«Многие кошельки и децентрализованные приложения )dapps( улучшили свои пользовательские интерфейсы, чтобы вы не подписывали ничего вслепую и могли видеть результат, а также получать предупреждения о действиях с высоким риском. Однако важно, чтобы пользователи активно проверяли, что они подписывают, а не просто подключались к кошельку и нажимали “подписать”», — сказала она.

После кражи возврат средств маловероятен. Мартин Дерка, сооснователь и технический директор Zircuit Finance, отметил, что шансы вернуть средства «практически нулевые».

«В фишинговых атаках вы сталкиваетесь с человеком, единственная цель которого — украсть ваши средства. Нет переговоров, нет точки контакта и зачастую невозможно узнать, кто вторая сторона», — сказал он.

«Эти злоумышленники играют на больших числах», — добавил Дерка, — «как только деньги ушли, они ушли навсегда. Возврат практически невозможен».