Підпис дозволу та aEthWBTC: Як захистити свою криптовалюту від фішингових атак без газу
Розуміння підписів дозволу та їх призначення
Підписи дозволу є революційною інновацією в екосистемі криптовалют, створеною для спрощення передачі токенів і зниження витрат на транзакції. Завдяки можливості авторизації транзакцій поза блокчейном, підписи дозволу усувають необхідність у сплаті комісій за газ під час процесу затвердження. Ця функція особливо корисна для користувачів, які прагнуть оптимізувати свої криптоактивності, мінімізуючи витрати.
Однак, незважаючи на значну зручність, підписи дозволу також створюють потенційні вразливості. Зловмисники все частіше використовують ці механізми, тому важливо розуміти, як працюють підписи дозволу та які ризики вони несуть, щоб ефективно захистити свої цифрові активи.
Вразливості та ризики підписів дозволу
Незважаючи на їхню ефективність, підписи дозволу є двосічним мечем. Ті самі функції, які роблять їх привабливими — авторизація поза блокчейном без газу — також роблять їх основною мішенню для атак. Ось чому:
Транзакції без газу здаються безпечними: Відсутність комісій за газ часто змушує користувачів недооцінювати потенційні ризики. Це робить фішингові схеми, які використовують підписи дозволу, звичними та нешкідливими на перший погляд.
Комбінація функцій 'Permit' і 'TransferFrom': Зловмисники використовують комбінацію цих двох функцій для прямого виведення активів із гаманців. Як тільки користувач несвідомо авторизує шкідливу транзакцію, зловмисник може перевести кошти без подальшої взаємодії.
Авторизація поза блокчейном приховує активність: Оскільки авторизація відбувається поза блокчейном, інформаційні панелі гаманців зазвичай не відображають незвичайну активність. Жертви часто не усвідомлюють атаку, поки їхні кошти не будуть переведені.
Високопрофільні фішингові атаки із використанням підписів дозволу
Зростання кількості фішингових атак, які використовують підписи дозволу, призвело до значних фінансових втрат у криптоспільноті. Один із помітних випадків стосувався криптовалютного «кита», який втратив понад $6 мільйонів у стейкінговому Ethereum (stETH) та Aave-загорнутому Bitcoin (aEthWBTC). Атака була здійснена через складну фішингову схему, яка маскувала шкідливі запити під звичайні підтвердження гаманця.
Ще одна тривожна тенденція — використання шахрайств із пакетними підписами EIP-7702. Ці шахрайства змушують жертв підписувати кілька дозволів одночасно, надаючи зловмисникам необмежений доступ до їхніх гаманців. Такі тактики підкреслюють зростаючу складність фішингових схем, спрямованих на підписи дозволу.
Механіка експлуатації підписів дозволу
Щоб краще зрозуміти, як відбуваються ці атаки, розглянемо їхню механіку:
Фішингове налаштування: Зловмисники створюють фальшиві вебсайти, спливаючі вікна гаманців або посилання в електронних листах, які імітують легітимні платформи.
Шкідливий запит: Жертви отримують запит на підписання дозволу, часто під виглядом звичайного підтвердження гаманця.
Надання авторизації: Як тільки жертва підписує, зловмисник комбінує функції 'Permit' і 'TransferFrom', щоб перевести активи безпосередньо з гаманця.
Виведення коштів: Транзакція виконується без негайного відома жертви, оскільки комісії за газ не стягуються, і попередження не надходять.
Тривожна статистика втрат через фішинг
Масштаби втрат через фішинг у криптопросторі вражають. Остання статистика показує наступне:
Лише у серпні зловмисники викрали $12,17 мільйона у понад 15 200 жертв, що на 72% більше порівняно з липнем.
Значна частина цих втрат припала на кілька великих рахунків, один із яких втратив $3,08 мільйона в одній атаці.
Зростання шахрайств із пакетними підписами EIP-7702 значно сприяло збільшенню втрат через фішинг.
Ці цифри підкреслюють зростаючу поширеність і складність фішингових схем, спрямованих на підписи дозволу.
Як захистити свій гаманець від експлуатації підписів дозволу
Хоча ризики, пов’язані з підписами дозволу, реальні, є проактивні кроки, які ви можете зробити для захисту своїх активів:
Відмовляйтеся від необмежених дозволів: Уникайте надання необмежених дозволів на будь-які запити гаманця. Завжди перевіряйте обсяг авторизації перед підписанням.
Перевіряйте спливаючі вікна гаманця: Будьте обережні при взаємодії зі спливаючими вікнами гаманця. Перевіряйте URL-адреси та переконайтеся, що ви перебуваєте на офіційній платформі.
Використовуйте надійні гаманці: Вибирайте гаманці з надійними функціями безпеки та регулярними оновленнями для захисту від нових загроз.
Увімкніть сповіщення: Налаштуйте сповіщення для будь-якої активності, пов’язаної з вашим гаманцем, щоб бути в курсі потенційно несанкціонованих транзакцій.
Освічуйте себе: Слідкуйте за останніми тактиками фішингу та шахрайствами у криптопросторі, щоб розпізнавати червоні прапорці.
Висновок
Підписи дозволу, хоча й створені для спрощення передачі токенів, стали улюбленим інструментом зловмисників через їхню безгазову та позаблокчейнову природу. Зростання фішингових схем, спрямованих на ці підписи, підкреслює важливість пильності та проактивних заходів безпеки.
Розуміючи механіку цих експлуатацій та дотримуючись найкращих практик, ви можете захистити свої активи та впевнено орієнтуватися у криптопросторі. Завжди будьте обережні при авторизації транзакцій і пам’ятайте: якщо щось здається занадто хорошим, щоб бути правдою, це, ймовірно, так і є.
© OKX, 2025. Цю статтю можна відтворювати або поширювати повністю чи в цитатах обсягом до 100 слів за умови некомерційного використання. Під час відтворення або поширення всієї статті потрібно чітко вказати: «Ця стаття використовується з дозволу власника авторських прав © OKX, 2025». Цитати мають наводитися з посиланням на назву й авторство статті, наприклад: «Назва статті, [ім’я та прізвище автора, якщо є], © OKX, 2025». Деякий вміст може бути згенеровано інструментами штучного інтелекту (ШІ) або з їх допомогою. Використання статті в похідних і інших матеріалах заборонено.
Схожі статті
Показати більше