Безопасность кошелька Web3

Безопасность кошелька Web3: Как мошенничества с поддельным одобрением эксплуатируют функцию отзыва

2025-02-28

Основные выводы

Мошенничества с поддельным одобрением обманывают пользователей Web3, заставляя их верить, что они защищают свои кошельки, отзывая одобрения транзакций, - но на самом деле жертвы платят непомерные «газовые сборы», которые идут прямо в карманы мошенников.

Преступники используют функцию "отозвать" в кошельках Web3, чтобы исчерпать ваши средства с каждой попыткой отменить разрешения на поддельное одобрение.

Чтобы защитить свои активы, всегда проверяйте одобрения, проверяйте сборы и подходите ко всем транзакциям Web3 с осторожностью.



"Отозвать" всегда безопасно, верно? Именно так думают большинство пользователей криптовалюты, особенно поскольку "отозвать" часто рассматривается как ключевая часть гигиены кошелька Web3. К сожалению, мошенники нашли способ эксплуатировать именно эту функцию. В наших предыдущих блогах по безопасности кошельков Web3 мы освещали риски, связанные с одобрением транзакций смарт-контрактов без тщательной проверки всех деталей. В этом блоге мы разберем, что такое мошенничества с поддельным одобрением, как мошенники манипулируют функцией "отозвать" в своих интересах и, что наиболее важно, как вы можете избежать становления жертвой этих тактик.

Что такое мошенничества с поддельным одобрением?

Мошенничества с поддельным одобрением, использующие трюк "отозвать", вводят пользователей в заблуждение, заставляя думать, что они возвращают транзакционные разрешения, выданные незнакомым платформам или смарт-контрактам. Когда пользователи пытаются сделать это, они в конечном итоге платят непомерные «газовые сборы», полагая, что защищают свои кошельки.

Наживка: просматривая свои одобрения токенов на исследователе блокчейна, таком как Etherscan, или в своем кошельке, пользователь замечает незнакомое одобрение токена, который он не узнал. Похоже, что какой-то неизвестный контракт имеет доступ к его ценным активам. Паникуя, пользователь инстинктивно спешит отозвать одобрение, полагая, что он защищает свою криптовалюту.

Трюк: Однако никакое реальное одобрение никогда не было дано изначально. Мошенник не трогал токены пользователя. Вместо этого они манипулировали тем, как кошелек или исследователь блокчейна отображает информацию, чтобы создать впечатление, что доступ был предоставлен незнакомому контракту. Это всего лишь хитрый визуальный трюк - поддельное одобрение, созданное для того, чтобы выглядеть законным. Никакого доступа никогда не было предоставлено, но когда пользователь пытается его отозвать, именно в этот момент срабатывает триггер мошенничества.

Газовая уловка: транзакция "отозвать", которую инициирует пользователь, является реальной - это законное действие, но оно предназначено для того, чтобы стоить им целое состояние в сборах. Мошенник получает прибыль от этих завышенных транзакционных затрат, часто используя их для создания новых токенов или выполнения других злонамеренных действий под своим контролем. То, что пользователь считал защитным шагом, обернулось дорогой ошибкой. Поддельное одобрение было лишь наживкой, чтобы заставить их платить за ничего.

Хотя эти мошенничества не крадут средства напрямую, они эксплуатируют пользователя, исчерпывая его кошелек через неоправданно высокие газовые сборы, оставляя остальные его активы нетронутыми.

Дорогая петля: И самое худшее? Это хитрое одобрение не исчезает из исследователя. Если пользователь считает, что отзыв не удался, он может попробовать снова, невольно подкармливая мошенника еще большими средствами. Каждая попытка увеличивает убытки, поскольку мошенник получает еще один шанс забрать криптовалюту пользователя. Чем больше пользователь пытается это исправить, тем глубже он попадает в ловушку.

Пример из реальной жизни

На изображении ниже вы заметите, что исследователь цепи показывает, что пользователь выдал неограниченное одобрение для «BEP-20 TOKEN*» неизвестному тратителю. Это тревожное зрелище может вызвать панику, заставляя пользователя поверить, что он неосознанно авторизовал злонамеренный контракт.



Однако на самом деле это поддельный токен USDT, и мошенники манипулировали отображением, чтобы создать иллюзию предыдущего одобрения.



Ближайший взгляд на страницу транзакции показывает, что было сгенерировано 300 предполагаемых вызовов одобрения для нескольких адресов, связанных с этим мошенническим токеном. Эта тактика предназначена для усиления срочности, оказывая давление на жертву, чтобы она немедленно приняла меры.

Когда пользователь пытается отозвать одобрение, вместо этого он сталкивается с непомерными сборами - от нескольких долларов до потенциально сотен и более. Эти сборы не просто потрачены впустую; мошенник активно использует их, используя транзакцию для создания новых токенов или выполнения дополнительных злонамеренных действий, оставаясь при этом незамеченным.

В приведенном выше примере попытка жертвы отозвать одобрение обернулась против нее. Мошенник использовал транзакцию в своих интересах, оставив пользователя с неожиданно высокими сборами и без решения: вводящее в заблуждение одобрение оставалось видимым, усиливая иллюзию, что необходима еще одна попытка.

Как распознать и избежать этих мошенничеств

Сохраняйте спокойствие

Мошенники рассчитывают на страх и срочность, чтобы заставить вас совершить ошибку. Если что-то кажется странным, сделайте шаг назад, вдохните и оцените ситуацию, прежде чем действовать. Чистая голова - ваша лучшая защита от попадания в их ловушку.

Дважды проверьте перед тем, как нажать

Перед тем как одобрить любую транзакцию, потратьте немного времени на просмотр деталей. Кажется ли сумма правильной? Узнаете ли вы адрес контракта? Есть ли какие-либо странные предупреждения или необычные сборы? Если что-то кажется странным, проверьте с надежными источниками, платформами или форумами.

Знайте свои сборы

Познакомьтесь со средним размером газовых сборов на цепях, которые вы используете. Если сбор за транзакцию выглядит подозрительно высоким или необычным, это может быть красным флагом. Используйте инструменты, такие как трекер газа Etherscan, GasNow или оценщик газа Blocknative, чтобы отслеживать цены на газ в реальном времени и проверять ожидаемые затраты перед продолжением.

Постоянно обучайте себя

Мошенники всегда совершенствуют свои тактики, но знание - это ваша самая сильная защита. Чем больше вы понимаете о новых угрозах и лучших практиках безопасности, тем лучше вы подготовлены к распознаванию красных флагов, прежде чем они станут дорогостоящими ошибками. Будьте в курсе с Binance Academy и погружайтесь в нашу серию по безопасности для более глубокого понимания последних мошенничеств.

Заключительные мысли

Мошенники thrive на срочности, но немного бдительности может значительно помочь. Лучшая защита от этих обманчивых тактик - это не только знание о том, что они существуют, но и предвосхищение их, дважды проверяя одобрения, проверяя сборы с помощью надежных инструментов и никогда не спеша с транзакциями. Помните, что дополнительная осторожность - это не паранойя, а дополнительный уровень защиты в динамичном мире Web3.