Кража средств через злонамеренные подписи
Хакер похитил более $440,000 в USDC после того, как владелец кошелька неосознанно подписал злонамеренную подпись «разрешения», согласно сообщению Scam Sniffer в понедельник. Кража произошла на фоне роста потерь от фишинга.
Статистика потерь от фишинга
По данным ежемесячного отчета Scam Sniffer, в ноябре было украдено около $7.77 миллионов у более чем 6,000 жертв, что представляет собой рост общих потерь на 137% по сравнению с октябрем, несмотря на то, что количество жертв сократилось на 42%.
«Охота на китов усилилась с максимальным ударом в $1.22 миллиона (подпись разрешения). Несмотря на меньшее количество атак, индивидуальные потери значительно возросли», — отметила компания.
Методы мошенничества
Мошенничества на основе разрешений связаны с обманом пользователей, заставляя их подписывать транзакцию, которая выглядит легитимной, но на самом деле передает злоумышленнику право тратить их токены. Злонамеренные dapps могут маскировать поля, подделывать названия контрактов или представлять запрос на подпись как что-то рутинное.
Если пользователь не проверяет детали, подписывая запрос, он фактически предоставляет злоумышленнику разрешение на доступ ко всем своим токенам ERC-20. После этого мошенники, как правило, немедленно выводят средства.
Уязвимость пользователей
«Что особенно сложно в этом типе атаки, так это то, что злоумышленники могут либо провести разрешение и перевод токенов в одной транзакции (подход типа ‘схватить и убежать’), либо они могут предоставить себе доступ через разрешение и затем оставаться в режиме ожидания, ожидая перевода любых позже добавленных средств», — сказала Тара Эннисон, руководитель продукта в Twinstake, в интервью Decrypt.
«Успех этих типов мошенничеств зависит от того, что вы подписываете что-то, не совсем понимая, что это сделает», — добавила она, отметив, что «всё дело в человеческой уязвимости и использовании стремления людей».
Примеры мошенничества
Эннисон добавила, что этот инцидент далеко не единственный. «Существует множество примеров мошенничеств с фишингом большой ценности и высокого объема, предназначенных для обмана пользователей», чтобы они подписали что-то, что они не полностью понимают. Часто это делается под предлогом бесплатных эирдропов, поддельных страниц проектов для подключения вашего кошелька или мошеннических предупреждений о безопасности.
Защитные меры
Провайдеры кошельков внедряют больше защитных функций. Например, MetaMask предупреждает пользователей, если сайт кажется подозрительным, и пытается перевести данные транзакции в понятный для человека формат. Другие кошельки аналогично подчеркивают высокие риски действий.
«Это самый ясный способ узнать, если это протокол, который не соответствует тому, куда вы на самом деле пытаетесь отправить средства, то, вероятно, это кто-то, кто пытается украсть средства», — сказал Гарри Доннелли, основатель и CEO Circuit.
Бдительность пользователей
Эннисон подчеркнула, что бдительность остается самой сильной защитой пользователей. «Лучший способ защитить себя от мошенничества с разрешениями — это убедиться, что вы знаете, что подписываете. Какие действия на самом деле будут выполнены в транзакции?»
«Многие кошельки и dapps улучшили пользовательские интерфейсы, чтобы убедиться, что вы не подписываете что-то вслепую и можете видеть, к чему это приведет, а также предупреждения о высоких рисках используемых функций. Однако важно, чтобы пользователи активно проверяли, что они подписывают, а не просто подключали свой кошелек и нажимали ‘подписать'», — сказала она.
Восстановление украденных средств
«В атаках фишинга вы имеете дело с индивидуумом, чья единственная цель — забрать ваши средства. Нет переговоров, нет точки контакта, и часто нет представления о том, кто является контрагентом», — сказал Мартин Дерка, соучредитель и технический руководитель Zircuit Finance.
«Эти злоумышленники играют в числовую игру», — сказал Дерка, добавив, что «как только деньги ушли, они ушли. Восстановление практически невозможно».
