Хак на $440,000 викриває загрозу шахрайства з «дозволами» на Ethereum

Хакер вкрав понад $440,000 USDC після того, як власник гаманця випадково підписав зловмисний підпис «дозволу», згідно з попередженням, опублікованим у понеділок антифішинговою платформою Scam Sniffer.

Інцидент стався на тлі різкого зростання шкоди від фішингових атак. Лише в листопаді було вилучено близько 7,77 мільйона доларів з понад 6 000 жертв — це на 137 відсотків більше, ніж у жовтні, хоча кількість жертв зменшилася на 42 відсотки.

Згідно зі звітом, «полювання на китів» продовжувало зростати, і найбільший випадок досяг 1,22 мільйона доларів лише з одного підпису дозволу, що свідчить про те, що хоча кількість випадків зменшилася, рівень шкоди на одну жертву значно зрос.

Що таке шахрайство з дозволами?

Шахрайства з дозволами використовують практику обману користувачів, змушуючи їх підписати транзакцію, яка здається легітимною, але насправді дає зловмиснику право витрачати їхні гроші. Багато шкідливих dApps маскують контент, підробляють назви контрактів або створюють запити на підписи, які виглядають як рутинні операції.

Якщо користувач не перевіряє ще раз, цей підпис дає зловмиснику повний дозвіл використовувати токен ERC-20 у гаманці. Після отримання ліцензії вони зазвичай одразу витрачають кошти.

Цей метод використовує функцію permit Ethereum — яка призначена для полегшення авторизації витрат на довірені додатки. Однак зручність стає недоліком, коли це право потрапляє не в ті руки.

Було запущено нову міжвідомчу ініціативу з ліквідації міжнародних мереж криптошахрайства, зокрема моделей «свинячого забою», які за останні роки завдали мільярдів доларів збитків. Багато агентств, таких як Міністерство юстиції, ФБР, Секретна служба та Міністерство фінансів США, координуватимуть боротьбу з цими злочинними групами.

Чому шахрайство з дозволами важко розпізнати?

Тара Еннісон, керівниця продукту Twinstake, сказала, що небезпека полягає в тому, що зловмисник може зняти кошти за одну транзакцію або чекати, поки жертва завантажить більше токенів у гаманець — за умови, що він встановив достатньо тривалий термін дії підпису.

«Успіх такого шахрайства полягає в тому, що користувачі підписують щось, чого не розуміють. Вона експлуатує суб’єктивність і людську імпульсивність», — сказала вона.

Вона також сказала, що це не рідкісний випадок. Багато високоефективних фішингових атак часто видають себе за безкоштовні airdrop-файли, фейкові сайти проєктів або фейкові сповіщення безпеки, щоб заманити користувачів підключати гаманці та підписувати транзакції.

Криптогаманці збільшують кількість сповіщень — але недостатньо

Гаманці, такі як MetaMask, додали підозрілі сповіщення на сайтах і перенесли дані транзакцій у більш зрозумілий формат. Деякі інші гаманці також підкреслюють операції з високим ризиком. Однак нападник постійно змінював тактику.

Гаррі Доннеллі, засновник Circuit, попереджає, що атаки на основі дозволу «досить поширені», і користувачам потрібно перевіряти свої адреси для відправлення, пов’язані контракти та особливо ліцензійні обмеження — у багатьох випадках недобросовісні особи просять необмежені дозволи на витрати.

Як захистити себе

Еннісон підкреслює, що перевірка того, що ви збираєтеся підписати, залишається найважливішою лінією захисту:

• Розуміти, які дії відбудуться після підписання
• Перевірте, чи правильна функція, що викликається, для потрібної операції
• Не підписуйте лише тому, що DAPP цього просить або через обіцянку отримати винагороди

Багато гаманців покращили інтерфейс, щоб користувачам було легше розуміти, але все одно самим користувачам потрібно бути пильними.

За словами Мартіна Дерки, співзасновника Zircuit Finance, шанси повернути гроші «майже нульові».

Він зазначив, що під час фішингових атак жертва не знає, хто інша особа, немає точки контакту, і нападник завжди має лише одну мету: забрати гроші і зникнути. «Як тільки гроші зникли, вони зникли», — сказав він.

Тхач Санх