У яскравому нагадуванні про те, як старі помилки можуть переслідувати користувачів Web3, криптогаманець втратив понад 908 000 USD через фішинг-аферу. Згідно з повідомленням Scam Sniffer, крадіжка була спровокована дозволом, який жертва підписала 458 днів тому, давно забутим, але все ще активним. Зловмисник використав цей дозвіл, щоб безпосередньо перевести кошти з гаманця жертви на фішингову адресу.
Транзакція, яка відбулася на початку 2 серпня, була виконана групою Pink Drainer, відомою фішинговою операцією. Схвалення залишалося неперевіреним і відкритим, надаючи зловмиснику повний доступ, коли настав момент.
Як це сталося
Смарт-контрактні дозволи дозволяють децентралізованим додаткам (dApps) переміщати токени від імені користувача. Хоча це необхідно для DeFi, ці дозволи залишаються активними, поки їх не відкличуть вручну. У цьому випадку жертва підписала дозвіл більше року тому. Зловмисник скористався цим доступом, викачуючи майже мільйон доларів в одній транзакції.
Дослідники безпеки попередили, що навіть старі, на перший погляд безпечні дозволи можуть бути використані зловмисниками. Досить одного промаху, зловмисного веб-сайту, підробленого dApp або застарілого з'єднання, щоб атакуючий завдав удару.
Затвердження токенів: Тиха загроза
Багато користувачів забувають, що схвалення смарт-контрактів не мають обмеження за часом. Якщо ви коли-небудь натискали «схвалити» в додатку DeFi, це дозволення може залишатися активним. Ось чому експерти з безпеки закликають користувачів регулярно переглядати свої дозволи на токени.
Щоб залишатися в безпеці, користувачі повинні звикнути використовувати інструменти безпеки. Сторінка затвердження токенів Etherscan та Debank допомагають користувачам перевіряти та скасовувати непотрібні дозволи. Це займає всього кілька хвилин, але може заощадити тисячі.
Не перший, не останній
Цей інцидент приєднується до зростаючого списку подібних випадків. Протягом минулого року кілька користувачів втратили кошти через невідкликані дозволи. Scam Sniffer та інші наглядові органи, такі як PeckShield, неодноразово сигналізували про фішингові атаки, які використовують забуті доступи до гаманців.
Ці схеми фішингу часто використовують оманливі веб-сайти або посилання, щоб обманути користувачів на підписання шкідливих дозволів. Після надання такі дозволи можуть залишатися непоміченими доти, поки зловмисник не вирішить отримати вигоду.
Хто такий Scam Sniffer?
Scam Sniffer – це компанія з безпеки Web3, яка зосереджена на виявленні шахрайств та навчанні крипто-користувачів. Їхнє розширення для браузера та сповіщення допомагають користувачам виявляти фішингові пастки до того, як стане занадто пізно. Їхнє раннє попередження висвітлило інцидент, підкреслюючи необхідність постійної пильності.
Будьте в безпеці, будьте в курсі
Щоб захистити свої гаманці, користувачі повинні вжити кілька ключових заходів. Почніть з перевірки своїх старих дозволів на токени; скасування тих, які ви більше не використовуєте, може заблокувати шахраїв до того, як вони вдарять. Не підписуйте сліпо запити смарт-контрактів, незалежно від того, як вони виглядають легітимно. Якщо ви маєте справу з реальною вартістю, апаратний гаманець додає додатковий рівень захисту, який важко перевершити.
І не забувайте про інструменти, такі як Revoke.cash або розширення браузера Scam Sniffer, вони як антивірус для вашого життя в Web3. Адже дозвіл, який ви забули минулого року, може бути тим, що вичерпує ваш гаманець завтра.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
$908K вкрадено у фішингу, пов'язаному з 458-денною затвердженням гаманець
У яскравому нагадуванні про те, як старі помилки можуть переслідувати користувачів Web3, криптогаманець втратив понад 908 000 USD через фішинг-аферу. Згідно з повідомленням Scam Sniffer, крадіжка була спровокована дозволом, який жертва підписала 458 днів тому, давно забутим, але все ще активним. Зловмисник використав цей дозвіл, щоб безпосередньо перевести кошти з гаманця жертви на фішингову адресу.
Транзакція, яка відбулася на початку 2 серпня, була виконана групою Pink Drainer, відомою фішинговою операцією. Схвалення залишалося неперевіреним і відкритим, надаючи зловмиснику повний доступ, коли настав момент.
Як це сталося
Смарт-контрактні дозволи дозволяють децентралізованим додаткам (dApps) переміщати токени від імені користувача. Хоча це необхідно для DeFi, ці дозволи залишаються активними, поки їх не відкличуть вручну. У цьому випадку жертва підписала дозвіл більше року тому. Зловмисник скористався цим доступом, викачуючи майже мільйон доларів в одній транзакції.
Дослідники безпеки попередили, що навіть старі, на перший погляд безпечні дозволи можуть бути використані зловмисниками. Досить одного промаху, зловмисного веб-сайту, підробленого dApp або застарілого з'єднання, щоб атакуючий завдав удару.
Затвердження токенів: Тиха загроза
Багато користувачів забувають, що схвалення смарт-контрактів не мають обмеження за часом. Якщо ви коли-небудь натискали «схвалити» в додатку DeFi, це дозволення може залишатися активним. Ось чому експерти з безпеки закликають користувачів регулярно переглядати свої дозволи на токени.
Щоб залишатися в безпеці, користувачі повинні звикнути використовувати інструменти безпеки. Сторінка затвердження токенів Etherscan та Debank допомагають користувачам перевіряти та скасовувати непотрібні дозволи. Це займає всього кілька хвилин, але може заощадити тисячі.
Не перший, не останній
Цей інцидент приєднується до зростаючого списку подібних випадків. Протягом минулого року кілька користувачів втратили кошти через невідкликані дозволи. Scam Sniffer та інші наглядові органи, такі як PeckShield, неодноразово сигналізували про фішингові атаки, які використовують забуті доступи до гаманців.
Ці схеми фішингу часто використовують оманливі веб-сайти або посилання, щоб обманути користувачів на підписання шкідливих дозволів. Після надання такі дозволи можуть залишатися непоміченими доти, поки зловмисник не вирішить отримати вигоду.
Хто такий Scam Sniffer?
Scam Sniffer – це компанія з безпеки Web3, яка зосереджена на виявленні шахрайств та навчанні крипто-користувачів. Їхнє розширення для браузера та сповіщення допомагають користувачам виявляти фішингові пастки до того, як стане занадто пізно. Їхнє раннє попередження висвітлило інцидент, підкреслюючи необхідність постійної пильності.
Будьте в безпеці, будьте в курсі
Щоб захистити свої гаманці, користувачі повинні вжити кілька ключових заходів. Почніть з перевірки своїх старих дозволів на токени; скасування тих, які ви більше не використовуєте, може заблокувати шахраїв до того, як вони вдарять. Не підписуйте сліпо запити смарт-контрактів, незалежно від того, як вони виглядають легітимно. Якщо ви маєте справу з реальною вартістю, апаратний гаманець додає додатковий рівень захисту, який важко перевершити.
І не забувайте про інструменти, такі як Revoke.cash або розширення браузера Scam Sniffer, вони як антивірус для вашого життя в Web3. Адже дозвіл, який ви забули минулого року, може бути тим, що вичерпує ваш гаманець завтра.