Узнайте, как обезопасить USDT и другие стейблкоины от фишинговых атак в Web3. Изучите ключевые меры безопасности, риски разрешающих подписей и эффективные методы защиты криптоактивов на Gate.
Обзор инцидента
Недавно в результате сложной фишинговой атаки пользователь потерял около 1,22 млн долларов в стейблкоинах. Были похищены USDC и aPlaUSDT0 — два известных токена стейблкоинов в криптовалютной экосистеме. О данном инциденте 7 ноября сообщил Scam Sniffer. Это событие наглядно подтверждает постоянные угрозы безопасности для держателей криптовалюты и жизненно важную необходимость соблюдать высокие стандарты защиты.
Как произошла фишинговая атака
Атака была реализована с помощью фишинговой схемы, эксплуатирующей доверие пользователя и недостаток осведомленности о подписях транзакций. Пользователь неосознанно подписал несколько поддельных подписей permit, что позволило злоумышленникам получить несанкционированный доступ к средствам его кошелька. В криптовалютной среде фишинговые атаки чаще всего связаны с созданием поддельных сайтов или интерфейсов, максимально похожих на настоящие платформы, чтобы вынудить пользователя подключить кошелек и одобрить вредоносную транзакцию.
В данном случае злоумышленники, вероятно, оформили запрос на транзакцию, выглядевший легитимным, однако permit-подписи фактически разрешили перевод стейблкоинов жертвы на адреса мошенников. Сложность таких атак делает их особенно опасными: даже опытные пользователи могут стать жертвами тщательно подготовленных фишинговых схем.
Влияние и детали потерь
Финансовый ущерб от этой фишинговой атаки значителен: пользователь утратил 1,22 млн долларов в стейблкоинах. Основную часть похищенных активов составили USDC, один из самых используемых стейблкоинов на рынке, и aPlaUSDT0 — доходный токен стейблкоина. Потеря столь крупной суммы подчеркивает высокие риски в сфере криптобезопасности и тяжелые последствия даже одной ошибки в защите.
Scam Sniffer — сервис мониторинга безопасности блокчейн, отслеживающий и документирующий криптовалютные мошенничества и фишинговые атаки. Этот инцидент зафиксирован в рамках их постоянной работы по информированию сообщества о новых угрозах и уязвимостях в криптосфере. Их сообщения помогают сообществу своевременно узнавать о новых схемах атак и рисках безопасности.
Что такое мошенничество с permit-подписями
Мошенничество с permit-подписями — это особенно опасная разновидность фишинга в криптовалютной среде. Функция permit — легитимная опция во многих токен-контрактах, позволяющая одобрять перевод токенов подписью вне блокчейна, что снижает расходы на газ по сравнению с обычными транзакциями. В то же время злоумышленники используют эту функцию для кражи средств с кошельков пользователей.
Когда пользователь подписывает поддельную permit-подпись, он бессознательно предоставляет злоумышленнику разрешение переводить токены с его кошелька без дополнительного подтверждения. В отличие от обычных транзакций, которые отражаются в интерфейсе кошелька с явными деталями получателя и суммы, permit-подписи сложнее для понимания, что облегчает обман. Техническая сложность этих подписей способствует тому, что пользователи одобряют их, не осознавая реальных последствий.
Как защититься от фишинговых атак
Чтобы предотвратить фишинговые атаки и мошенничество с permit-подписями, пользователям криптовалюты важно соблюдать ключевые меры безопасности. Всегда проверяйте подлинность сайтов и приложений перед подключением кошелька. Внимательно проверяйте URL-адреса, чтобы выявить опечатки или подмену домена, указывающие на фишинговый сайт. Добавляйте надежные платформы в закладки и используйте только проверенные ссылки.
Перед подписанием любой транзакции или запроса внимательно изучайте детали — адрес контракта, предоставляемые права и возможные последствия. Особую осторожность соблюдайте при permit-подписях и одобрениях токенов, так как они открывают доступ к вашим активам. Для хранения значительных сумм используйте аппаратные кошельки: они обеспечивают дополнительную защиту, сохраняя приватные ключи в автономном режиме.
Следите за новыми фишинговыми схемами и угрозами, используя авторитетные сервисы мониторинга и оповещения. Включайте все доступные средства защиты в кошельках и на биржах, такие как двухфакторная аутентификация и белые списки для вывода средств. Всегда сохраняйте настороженность по отношению к нежданным сообщениям, неожиданным airdrop-предложениям и предложениям, которые выглядят слишком выгодными — такие сценарии часто используются при фишинговых атаках в криптосфере.
FAQ
Что такое фишинг (Phishing)? Как распознавать фишинговые схемы в сфере криптовалют?
Фишинг — метод социальной инженерии, направленный на кражу конфиденциальной информации: приватных ключей, паролей. В криптовалюте выявляйте мошенничество через проверку подлинности отправителя, наличие HTTPS и значка замка в адресе, использование антифишинговых фраз, критическую оценку нежданных инвестиционных предложений. Никогда не раскрывайте приватные ключи и не переходите по подозрительным ссылкам.
Как пользователям защитить свои стейблкоин-активы? Какие меры безопасности наиболее эффективны?
Используйте сложные пароли и включайте двухфакторную аутентификацию. Не совершайте операции через ненадежные сети. Регулярно проверяйте активность аккаунта. Никогда не передавайте приватные ключи или seed-фразы. Всегда проверяйте адреса перед отправкой средств, чтобы избежать фишинговых атак.
Можно ли вернуть стейблкоины, если их украли через фишинг? Как действовать в такой ситуации?
Вернуть активы практически невозможно из-за необратимости транзакций в блокчейне. Срочно сообщите о случившемся в соответствующие органы и своему провайдеру кошелька. Зафиксируйте доказательства, отслеживайте адрес мошенника и при необходимости обратитесь к юристам. Лучшей защитой остается профилактика и высокий уровень осведомленности о безопасности.
Действительно ли стейблкоины чаще становятся объектом мошенничества, чем другие криптовалюты? Почему?
Да. Стейблкоины часто атакуют из-за их стабильной стоимости, что удобно для кражи и отмывания средств. Мошенники используют низкую волатильность и кажущуюся безопасность этих активов, чтобы убедить жертв перевести деньги через фишинговые схемы и мошеннические инвестиционные предложения.
Какие тактики чаще всего используются в криптовалютном фишинге и как их избежать?
Типичные схемы — подделка компаний через email или соцсети, фейковые раздачи с обещаниями бесплатной криптовалюты, мошеннические приложения с запросом seed-фраз. Избегайте мошенничества: не делитесь фразами восстановления, используйте только официальные каналы, игнорируйте нереалистичные предложения, проверяйте официальные аккаунты по значку верификации.
* Информация не предназначена и не является финансовым советом или любой другой рекомендацией любого рода, предложенной или одобренной Gate.
