Новий спосіб фішингу: permit зловмисних транзакцій завдав користувачам збитків на 230 000 доларів США, ваш гаманець також може бути під ризиком

За останніми новинами, певний користувач через підписання зловмисних permit і increaseAllowance транзакцій був обманутий фішерами, які вкрали активи на суму 23 000 доларів США у вигляді aArbWETH і aEthLBTC. Це не поодинокий випадок. З 2026 року подібні випадки ончейн-шахрайств трапляються часто — від фальшивих проектів MEME до зловмисних контрактних транзакцій, і шахрайські схеми постійно еволюціонують. Ця подія нагадує нам, що кожне рішення перед підписанням транзакції може визначити безпеку активів.

Як працюють фішингові схеми

Дані моніторингу GoPlus показують, що цей шахрайство пов’язане з двома ключовими зловмисними операціями:

Ризики Permit і IncreaseAllowance

Ці дві функції здаються безпечними, але при неправильному використанні мають величезну силу. Permit дозволяє користувачу делегувати право на транзакцію і переказ, а increaseAllowance збільшує ліміт витрат для певної адреси. Фішери підробляють транзакції або вводять користувачів у оману, змушуючи їх підписати нібито звичайний контракт, фактично ж отримуючи дозвіл на вільний переказ активів.

Ключові ризики:

• Користувач може не бачити реальний зміст транзакції перед підписанням
• Інтерфейс контракту може бути підроблений або приховувати важливу інформацію
• Після підписання фішер отримує право на переказ активів
• Cross-chain активи, такі як aArbWETH (обгорнутий ETH на Arbitrum), і aEthLBTC мають меншу ліквідність і тому більш вразливі до атак

Чому такі шахрайства легко успішні

Користувачі зазвичай потрапляють у пастку у таких випадках:

• їх приваблює обіцянка високого доходу, і вони поспішають долучитися
• фішингові посилання маскуються під офіційні канали або відомі проекти
• користувачі не уважно читають умови підписання і натискають «Підтвердити»
• недостатнє розуміння прав доступу контрактів

Моделі останніх шахрайських схем

Інцидент із групою RUG, яка контролювала десятки MEME-коінів, показує, що наприкінці 2026 року шахрайство вже стало системною мережею збору активів. Від фальшивих «міфів про багатство» до зловмисних контрактних дозволів — шахраї використовують кілька методів одночасно. Це означає, що одна лише превентивна міра вже недостатня.

Як захистити себе

Обов’язковий чек-лист перед транзакцією

• Отримуйте посилання тільки з офіційних джерел, не довіряйте прямим посиланням у соцмережах
• Перед підписанням використовуйте інструменти безпеки, наприклад, функцію ризик-аналізу GoPlus, щоб перевірити адресу контракту
• Розумійте, що саме робить транзакція, яку ви підписуєте; якщо не зрозуміло — не підписуйте
• Будьте обережні з новими проектами, високий дохід часто супроводжується високими ризиками
• Регулярно перевіряйте дозволені контракти і відкликайте непотрібні дозволи

Рекомендації щодо розподілу активів

• Не зберігайте великі суми на адресах, з якими ви часто взаємодієте; використовуйте кілька гаманців для диверсифікації ризиків
• Cross-chain активи, такі як aArbWETH, мають меншу ліквідність і тому більш вразливі — будьте обережні
• Визначте для себе максимально допустимий рівень втрат при участі у нових проектах

Підсумки

Втрата у 23 000 доларів США — це серйозний удар для окремого користувача, але з огляду на весь ринок — це лише вершина айсберга. Частота шахрайств і складність схем у 2026 році зростають. Важливо усвідомлювати, що у світі блокчейну кожне підписання — це передача прав, і до цього потрібно ставитися з такою ж обережністю, як до обробки ключів. Не зменшуйте пильність через простоту операцій. Найкращий захист — ставити собі запитання перед підписанням: чи дійсно мені потрібно підписувати цю транзакцію?