В ярком напоминании о том, как старые ошибки могут преследовать пользователей Web3, криптовалютный кошелек потерял более 908 000 USDC из-за фишинговой атаки. Согласно сообщению Scam Sniffer, кража была инициирована одобрением, которое жертва подписала 458 дней назад, давно забыто, но все еще активно. Атакующий использовал это разрешение для перевода средств напрямую из кошелька жертвы на фишинговый адрес.
Транзакция, которая произошла ранним утром 2 августа, была выполнена группой Pink Drainer, известной фишинговой операцией. Одобрение оставалось без проверки и открытым, предоставляя нападающему полный доступ в подходящий момент.
Как это произошло
Одобрения смарт-контрактов позволяют децентрализованным приложениям (dApps) перемещать токены от имени пользователя. Хотя это необходимо для DeFi, эти разрешения остаются активными до тех пор, пока не будут вручную отменены. В данном случае жертва подписала одобрение более года назад. Нападающий воспользовался этим доступом, похитив почти миллион долларов в одной транзакции.
Исследователи безопасности предупредили, что даже старые, на первый взгляд безвредные разрешения могут быть использованы злоумышленниками. Достаточно одной ошибки, злонамеренного веб-сайта, поддельного dApp или устаревшего соединения, чтобы атакующий нанёс удар.
Одобрения токенов: Тихий риск
Многие пользователи забывают, что одобрения смарт-контрактов не имеют временных ограничений. Если вы когда-либо нажимали "одобрить" в приложении DeFi, это разрешение может быть все еще активным. Вот почему эксперты по безопасности настоятельно рекомендуют пользователям регулярно проверять свои разрешения на токены.
Чтобы оставаться в безопасности, пользователи должны сделать привычкой использование инструментов безопасности. Страница одобрения токенов Etherscan и Debank помогут пользователям проверять и отменять ненужные разрешения. Это займет всего несколько минут, но может сэкономить тысячи.
Не первый, не последний
Этот инцидент присоединяется к растущему списку подобных случаев. За последний год несколько пользователей потеряли средства из-за неотменённых одобрений. Scam Sniffer и другие блокчейн-надзиратели, такие как PeckShield, неоднократно предупреждали о фишинговых атаках, которые используют забытый доступ к кошелькам.
Эти схемы фишинга часто используют обманчивые веб-сайты или ссылки, чтобы обмануть пользователей и заставить их подписать злонамеренные разрешения. После их предоставления эти разрешения могут оставаться в «тихом» режиме, пока мошенник не решит воспользоваться ими.
Кто такой Scam Sniffer?
Scam Sniffer — это веб3 компания по безопасности, сосредоточенная на выявлении мошенничеств и обучении пользователей криптовалюты. Их расширение для браузера и уведомления помогают пользователям выявлять фишинговые ловушки до того, как станет слишком поздно. Их раннее предупреждение освятило инцидент, подчеркивая необходимость постоянной бдительности.
Будьте в безопасности, будьте в курсе
Чтобы защитить свои кошельки, пользователи должны предпринять несколько ключевых мер предосторожности. Начните с проверки старых токенов; отзыв тех, которые вы больше не используете, может заблокировать мошенников до того, как они ударят. Не подписывайте слепо запросы на смарт-контракты, независимо от того, насколько они выглядят легитимно. Если вы имеете дело с реальной ценностью, аппаратный кошелек добавляет дополнительный уровень защиты, который трудно превзойти.
И не забывайте о таких инструментах, как Revoke.cash или расширение Scam Sniffer для браузера, они как антивирус для вашей Web3 жизни. В конце концов, разрешение, которое вы забыли в прошлом году, может стать тем, что опустошит ваш кошелек завтра.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
$908K украдено в результате фишинга, связанного с одобрением кошелька, которому 458 дней
В ярком напоминании о том, как старые ошибки могут преследовать пользователей Web3, криптовалютный кошелек потерял более 908 000 USDC из-за фишинговой атаки. Согласно сообщению Scam Sniffer, кража была инициирована одобрением, которое жертва подписала 458 дней назад, давно забыто, но все еще активно. Атакующий использовал это разрешение для перевода средств напрямую из кошелька жертвы на фишинговый адрес.
Транзакция, которая произошла ранним утром 2 августа, была выполнена группой Pink Drainer, известной фишинговой операцией. Одобрение оставалось без проверки и открытым, предоставляя нападающему полный доступ в подходящий момент.
Как это произошло
Одобрения смарт-контрактов позволяют децентрализованным приложениям (dApps) перемещать токены от имени пользователя. Хотя это необходимо для DeFi, эти разрешения остаются активными до тех пор, пока не будут вручную отменены. В данном случае жертва подписала одобрение более года назад. Нападающий воспользовался этим доступом, похитив почти миллион долларов в одной транзакции.
Исследователи безопасности предупредили, что даже старые, на первый взгляд безвредные разрешения могут быть использованы злоумышленниками. Достаточно одной ошибки, злонамеренного веб-сайта, поддельного dApp или устаревшего соединения, чтобы атакующий нанёс удар.
Одобрения токенов: Тихий риск
Многие пользователи забывают, что одобрения смарт-контрактов не имеют временных ограничений. Если вы когда-либо нажимали "одобрить" в приложении DeFi, это разрешение может быть все еще активным. Вот почему эксперты по безопасности настоятельно рекомендуют пользователям регулярно проверять свои разрешения на токены.
Чтобы оставаться в безопасности, пользователи должны сделать привычкой использование инструментов безопасности. Страница одобрения токенов Etherscan и Debank помогут пользователям проверять и отменять ненужные разрешения. Это займет всего несколько минут, но может сэкономить тысячи.
Не первый, не последний
Этот инцидент присоединяется к растущему списку подобных случаев. За последний год несколько пользователей потеряли средства из-за неотменённых одобрений. Scam Sniffer и другие блокчейн-надзиратели, такие как PeckShield, неоднократно предупреждали о фишинговых атаках, которые используют забытый доступ к кошелькам.
Эти схемы фишинга часто используют обманчивые веб-сайты или ссылки, чтобы обмануть пользователей и заставить их подписать злонамеренные разрешения. После их предоставления эти разрешения могут оставаться в «тихом» режиме, пока мошенник не решит воспользоваться ими.
Кто такой Scam Sniffer?
Scam Sniffer — это веб3 компания по безопасности, сосредоточенная на выявлении мошенничеств и обучении пользователей криптовалюты. Их расширение для браузера и уведомления помогают пользователям выявлять фишинговые ловушки до того, как станет слишком поздно. Их раннее предупреждение освятило инцидент, подчеркивая необходимость постоянной бдительности.
Будьте в безопасности, будьте в курсе
Чтобы защитить свои кошельки, пользователи должны предпринять несколько ключевых мер предосторожности. Начните с проверки старых токенов; отзыв тех, которые вы больше не используете, может заблокировать мошенников до того, как они ударят. Не подписывайте слепо запросы на смарт-контракты, независимо от того, насколько они выглядят легитимно. Если вы имеете дело с реальной ценностью, аппаратный кошелек добавляет дополнительный уровень защиты, который трудно превзойти.
И не забывайте о таких инструментах, как Revoke.cash или расширение Scam Sniffer для браузера, они как антивирус для вашей Web3 жизни. В конце концов, разрешение, которое вы забыли в прошлом году, может стать тем, что опустошит ваш кошелек завтра.