Новые методы фишинга: permit для злоумышленной торговли, приводящей к потерям в 230 000 долларов, ваш кошелек также может находиться под угрозой

По последним данным, один пользователь был обманут фишерами и лишился активов на сумму 230 000 долларов США в виде aArbWETH и aEthLBTC из-за подписания вредоносных транзакций permit и increaseAllowance. Это не единичный случай. С 2026 года подобные случаи мошенничества в блокчейне происходят с частотой, начиная от фальшивых проектов MEME до вредоносных контрактов, постоянно эволюционируя. Этот инцидент напоминает нам, что каждое решение перед подписанием транзакции может определить безопасность ваших активов.

Как работают фишинговые схемы

Данные мониторинга GoPlus показывают, что в этом мошенничестве задействованы два ключевых вредоносных действия:

Опасность Permit и Increaseallowance

Эти две функции кажутся безобидными, но при неправильном использовании обладают огромной силой. permit позволяет пользователю в рамках одной транзакции дать разрешение и осуществить перевод, а increaseAllowance — увеличить лимит расходов для определённого адреса. Фишеры используют поддельные транзакции или诱导ят пользователя подписать видимую как нормальную взаимодействие с контрактом, на самом деле получая полномочия свободно переводить активы пользователя.

Ключевые риски:

• Пользователь может не видеть реальное содержание транзакции при подписании
• Интерфейс контракта может быть подделан или скрывать важную информацию
• После подписания злоумышленник получает право переводить активы
• Cross-chain активы, такие как aArbWETH (обёрнутый ETH на Arbitrum) и aEthLBTC, из-за меньшей ликвидности более уязвимы к атакам

Почему такие мошенничества легко удаются

Пользователи чаще всего попадаются в ловушку в следующих случаях:

• Их привлекают проекты с обещанием высокой доходности, и они спешат участвовать
• Ссылки на фишинг маскируются под официальные каналы или известные проекты
• Не проверяя внимательно содержимое перед подписанием, нажимают «подтвердить»
• Недостаточно понимают разрешения контрактов

Модели недавних мошенничеств

Инцидент с группировкой RUG, которая контролировала десятки MEME-коинов, показал, что к началу 2026 года мошенничество уже сформировало системную сеть сбора средств. От фальшивых «мифов о богатстве» до вредоносных контрактов — злоумышленники используют множество методов одновременно. Это означает, что одного защитного механизма уже недостаточно.

Как защитить себя

Обязательный чек-лист перед транзакцией

• Получайте ссылки только из официальных источников, не доверяйте прямым ссылкам из соцсетей
• Перед подписанием используйте инструменты безопасности, такие как функции риск-оценки GoPlus, для проверки адреса контракта
• Понимайте, что именно делает транзакция, которую собираетесь подписать; если не понимаете — не подписывайте
• Будьте осторожны с незнакомыми проектами: обещания высокой доходности часто связаны с высокими рисками
• Регулярно проверяйте разрешения, предоставленные контрактам, и отзывайте ненужные

Рекомендации по распределению активов

• Не держите крупные суммы на адресах, с которыми активно взаимодействуете; используйте несколько кошельков для диверсификации рисков
• Cross-chain активы, такие как aArbWETH, из-за меньшей ликвидности более уязвимы, требуя повышенной осторожности
• Для средств, инвестируемых в новые проекты, установите лимит возможных потерь, который вы готовы принять

Итог

Потеря в 230 000 долларов США — это серьёзный удар для одного пользователя, но в целом по рынку это лишь вершина айсберга. Частота и сложность мошенничеств в начале 2026 года растут. Главное — понять, что в мире блокчейна каждое подписание — это передача полномочий, и к этому нужно относиться так же осторожно, как к управлению ключами. Не стоит снижать бдительность из-за кажущейся простоты операции. Лучший способ защититься — задавать себе вопрос перед подписанием: действительно ли мне нужно подписывать эту транзакцию?