Що атака на $440 тисяч розкриває про зростаючу загрозу шахрайств із "дозволами" в Ethereum

Джерело: PortaldoBitcoin Оригінальна назва: Що атака на $440 тисяч розкриває про зростаючу загрозу шахрайств із «дозволами» в Ethereum Оригінальне посилання:

Хакер викрав понад $440 000 у USDC після того, як власник гаманця, не знаючи цього, підписав шкідливий підпис «дозволу», згідно з твітом Scam Sniffer у понеділок [image]8(.

Крадіжка відбувається на фоні зростання втрат через фішинг. Близько $7,77 мільйона було втрачено понад 6 000 жертвами у листопаді, за даними місячного звіту Scam Sniffer, що становить збільшення на 137% загальних втрат у порівнянні з жовтнем, незважаючи на зниження кількості жертв на 42%.

«Полювання на китів посилилось, із максимальною втратою у $1,22 мільйона )підпис дозволу(. Незважаючи на зменшення кількості атак, індивідуальні втрати значно зросли», — зазначила компанія.

Що таке шахрайства з дозволами?

Шахрайства на основі дозволів полягають у тому, щоб змусити користувачів підписати транзакцію, яка здається легітимною, але насправді надає зловмиснику право витрачати їхні токени. Шкідливі децентралізовані додатки )dapps( можуть маскувати поля, підробляти назви контрактів або подавати запит на підпис як щось рутинне.

Якщо користувач не перевірить деталі уважно, підписання запиту надає зловмиснику дозвіл на доступ до всіх токенів ERC-20 користувача. Як тільки дозвіл надано, шахраї зазвичай одразу виводять кошти.

Метод використовує функцію дозволу Ethereum, яка була створена для полегшення переказів токенів, дозволяючи користувачам делегувати права на витрати довіреним додаткам. Ця зручність стає вразливістю, коли ці права надані зловмиснику.

«Особливо підступно в цьому типі атак те, що зловмисники можуть виконати дозвіл і переказ токенів в одній транзакції )підхід “удар і винос”(, або можуть отримати доступ через дозвіл і залишатися неактивними, чекаючи на переказ будь-яких додаткових коштів )за умови, що вони встановлять досить тривалий строк доступу в метаданих функції дозволу(», — сказала Тара Еннісон, керівник продукту Twinstake.

«Успіх цього типу шахрайства залежить від того, що ви підписуєте щось, не розуміючи повністю, що станеться», — сказала вона, додаючи: «Все зводиться до людської вразливості та використання наївності людей».

Еннісон додала, що цей випадок далеко не поодинокий. «Є багато прикладів фішинг-шахрайств з великими сумами і обсягами, створених для того, щоб обдурити користувачів і змусити їх підписати щось, що вони не розуміють повністю. Часто ці шахрайства маскуються під airdrop, фейкові лендінгові сторінки проектів для підключення гаманця або підроблені сповіщення про безпеку для перевірки, чи ви не постраждали», — додала вона.

Як захиститися

Провайдери цифрових гаманців впровадили більше захисних функцій. Наприклад, MetaMask попереджає користувачів, якщо сайт здається підозрілим, і намагається перекласти дані транзакції на зрозумілу мову. Інші гаманці також виділяють дії з високим ризиком. Однак шахраї продовжують адаптуватися.

Гаррі Доннеллі, засновник і CEO Circuit, сказав, що атаки типу «permit» є «досить поширеними» і порадив користувачам перевіряти адреси відправників і деталі контракту.

«Це найочевидніший спосіб дізнатися, чи протокол не відповідає фактичному місцю призначення коштів, адже, ймовірно, хтось намагається їх вкрасти», — сказав він. «Ви можете перевірити суму; часто вони намагаються надати необмежені дозволи, як у цьому випадку.»

Еннісон підкреслила, що пильність залишається найкращим захистом користувача. «Найкращий спосіб захиститися від шахрайств типу ‘permit’, ‘applianceAll’ чи ‘transferFrom’ — впевнитися, що ви знаєте, що саме підписуєте. Які дії дійсно будуть виконані у транзакції? Які функції використовуються? Чи відповідають вони тому, що ви думали, що підписуєте?»

«Багато гаманців і децентралізованих додатків )dapps( вдосконалили свої інтерфейси, щоб ви не підписували нічого наосліп, могли бачити результат і отримувати попередження про функції з високим ризиком. Проте важливо, щоб користувачі активно перевіряли, що саме підписують, а не просто підключали гаманець і натискали “підписати”», — сказала вона.

Після крадіжки повернути кошти малоймовірно. Мартін Дерка, співзасновник і технічний директор Zircuit Finance, сказав, що шанси на повернення коштів «практично нульові».

«У фішинг-атаках ви маєте справу з особою, чия єдина мета — вкрасти ваші кошти. Немає переговорів, немає точки контакту і часто взагалі немає уявлення, хто ця інша сторона», — сказав він.

«Ці зловмисники грають на кількості», — додав Дерка, зазначивши, що «як тільки гроші пішли — вони пішли назавжди. Повернення фактично неможливе».