Apgaulingi patvirtinimai pavertė piniginę beveik tuščia

Apgaulingi patvirtinimai pavertė piniginę beveik tuščia

Komentarai

3 Minutės

Apgaulingi patvirtinimai leidžia atakuotojams išvalyti beveik visą piniginę

Kripto vartotojas neteko beveik 1 milijono dolerių po to, kai priėmė kenksmingą Ethereum žetono patvirtinimą, leidusį atakuotojams išvalyti piniginę. Grandinės saugumo stebėtojai praneša, kad auka pasirašė patvirtinimo užklausą, suteikusią teisę naudoti piniginės USDT balansą, todėl automatizuotas skriptas išgrynino beveik visą sumą.

Kaip vyko vagystė

Grandinės analizė rodo, kad atakuotojai iš pradžių bandė nubraukti apytiksliai 1 000 000 USD naudodami multicall transakcijas, tačiau išėmimas nepavyko, nes piniginėje buvo šiek tiek mažiau lėšų. Po kelių sekundžių kenksmingas skriptas perskaičiavo ir ištraukė tikslų likusį balansą, sėkmingai pervedęs 999 999 Tether (USDT) iš piniginės.

Saugumo platforma Scam Sniffer pažymėjo tą skripto korekciją, kuri sugavo galutinį piniginės balansą, iliustruodama, kaip nedideli laiko ir skaičiavimo pakeitimai gali padaryti patvirtinimais paremtą apgaulę labai efektyvią. Šis incidentas papildo augančių nuostolių skaičių dėl žetonų patvirtinimo sukčiavimo, kurie ir toliau taikosi į Ethereum ir kitas su EVM suderinamas grandines.

Patvirtinimų apgaulė išlieka pagrindine grėsme kriptovaliutų srityje

Tyrėjai ir saugumo įmonės įspėja, kad patvirtinimų apgaulė yra viena dažniausių socialinės inžinerijos taktikų decentralizuotose finansų sistemose (DeFi). Nukentėjusieji dažnai būna apgaunami pasirašyti tai, kas atrodo kaip įprasta transakcija, netyčia suteikiant begalines išleidimo teises kenksmingiems kontraktams arba adresams. Kai patvirtinimas duotas, atakuotojai gali perkelti lėšas be papildomo piniginės savininko parašo.

Blockchain saugumo įmonės CertiK duomenimis, 2025 m. phishing atakos lėmė maždaug 723 mln. USD nuostolių per 248 dokumentuotus incidentus. Daugelis šių pažeidimų susiję su kenksmingais žetonų patvirtinimais, leidusiais automatizuotiems įrankiams ištuštinti pinigines arba nusausinti stablekoinus, tokius kaip USDT.

Neseniai įvykę susiję incidentai pabrėžia įvairias grandinės rizikas

Ši vagystė seka po kitų reikšmingų grandinės kompromisų, apie kuriuos pranešta pastarosiose savaitėse. Mėnesio pradžioje vienas vartotojas neteko apie 1,65 mln. USD po to, kai prisijungė prie klastotės biržos ir pasirašė kenksmingą išmanųjį kontraktą. Šiuo atveju kenksmingas patvirtinimas suteikė atakuotojams laisvą prieigą, leidžiant automatizuotiems įrankiams išsiurbti lėšas.

Atskiru atveju prekybininkas neteko beveik 2 mln. USD, kai decentralizuota birža nukreipė Ether keitimą per žemo likvidumo baseiną. Saugumo įmonė GoPlus Security tą nuostolį priskyrė ne phishingui, o nepalankiam transakcijų maršruto pasirinkimui ir to paties bloko arbitražui; tai pabrėžia, kad vykdymo keliai ir DeFi likvidumo aspektai taip pat kelia didelę riziką.

Praktiniai veiksmai, kaip sumažinti patvirtinimų apgaulę ir maršruto nuostolius

Ekspertai rekomenduoja kelias gynybos priemones vartotojams, atliekantiems grandinės transakcijas ir DeFi veiklą:

  • Atidžiai peržiūrėkite kiekvieną parašą ir patvirtinimo užklausą; venkite aklai priimti neribotus leidimus.
  • Naudokite piniginės funkcijas, nustatančias žetonų išlaidų ribas, o ne suteikiančias begalinius patvirtinimus.
  • Patikrinkite transakcijų vykdymo maršrutus ir slippage nustatymus prieš patvirtindami mainus, kad sumažintumėte maršruto išnaudojimus.
  • Įdiekite patikimus naršyklės plėtinius, identifikuojančius sukčiavimą, ir naudokite blockchain saugumo paslaugas, kad patikrintumėte įtartinus kontraktus.
  • Pristabdykite ir patikrinkite bet kokius netikėtus dApp ar biržos raginimus, ypač jungiant pinigines.

Scam Sniffer ir kiti saugumo tyrėjai pabrėžia, kad reikia sulėtinti veiksmus ir patvirtinti kiekvieną sąveiką. Kripto vartotojams svarbu didesnis budrumas dėl žetonų patvirtinimų, piniginių jungčių ir transakcijų maršrutizavimo, kad apsaugotų turtą ir sumažintų pažeidžiamumą phishingui ir grandinės išnaudojimams.

Šaltinis: crypto

Palikite komentarą

Komentarai