Alert bezpieczeństwa Web3: Szkodliwe zatwierdzenia

Czym jest oszustwo związane z fałszywym zatwierdzaniem?

Złośliwe zatwierdzenia to jedno z najpowszechniejszych, najniebezpieczniejszych i najbardziej szkodliwych oszustw w sieci Web3, które dotyka niezliczoną liczbę użytkowników.

W sieci Web3, za każdym razem, gdy wchodzisz w interakcję ze smart kontraktem, często pojawia się prośba o udzielenie określonych uprawnień poprzez podpisanie transakcji. Przykłady obejmują:

● Wyrażenie zgody na dostęp DAppu do tokenów (np. zatwierdzenie ERC-20)

● Udzielenie pozwolenia na przeniesienie Twoich NFT (setApprovalForAll)

● Wykonywanie pozornie nieszkodliwych czynności on-chain, takich jak logowanie lub weryfikacja.

Złośliwe oszustwa związane z zatwierdzaniem wykorzystują te działania, nakłaniając użytkownika do udzielenia złośliwemu kontraktowi pozwolenia na przeniesienie jego aktywów.

Kluczowe cechy

1. Nakłanianie użytkowników do udzielenia niebezpiecznych uprawnień

Oszuści podszywają się pod legalne DAppy, airdropy lub projekty NFT. Zachęcają Cię do kliknięcia przycisku „Zatwierdź”, ale w rzeczywistości autoryzujesz działania takie jak [zatwierdź] (dostęp do tokenu) lub [setApprovalForAll] (dostęp do NFT) dla złośliwego kontraktu.

2. Twoje aktywa zostają utracone bez możliwości przelewu

Nie inicjujesz przelewu — po prostu klikasz „Potwierdź”. Ale gdy oszust uzyska zgodę, może w dowolnym momencie wywołać funkcje on-chain, aby opróżnić Twój portfel bez konieczności uzyskania dalszej zgody lub podpisu od Ciebie.

3. Zatwierdzenia są często nieograniczone

Większość fałszywych kontraktów wymaga zatwierdzenia maksymalnej możliwej wartości (2^256 - 1), co daje im nieograniczony i stały dostęp do Twoich aktywów.

4. Kontrakt nie przewiduje nic innego

Fałszywe kontakty są pasywne — nie kradną aktywnie środków samodzielnie. Wszystko zależy od tego, czy dobrowolnie podpiszesz zgodę, co pomoże im ominąć tradycyjne mechanizmy wykrywania oszustw i ostrzegania o nich.

5. Wprowadzające w błąd prośby o podpis

Prośby o zatwierdzenie wyświetlane w portfelu są często mylące — zbyt skomplikowane lub zbyt uproszczone — co utrudnia analizę podpisywanych funkcji. Większość użytkowników zakłada, że jest to „tylko autoryzacja” i klika „Potwierdź”, nie zdając sobie sprawy z poważnego ryzyka, jakie się z tym wiąże.

Typowe scenariusze

1. Fałszywe strony z airdropami lub mintowaniem tokenów NFT

Strona może reklamować „ograniczone czasowo airdropy” lub promocje „bezpłatnego mintowania”. Kliknięcie przycisku powoduje wysłanie prośby o zatwierdzenie USDT (Zatwierdź) lub NFT (Ustaw zatwierdzenie dla wszystkich) — po zatwierdzeniu oszuści mogą w dowolnym momencie wyczyścić Twoje aktywa.

2. Fałszywy DEX lub platformy swap

Łączysz swój portfel Bitget z fałszywą giełdą DEX i próbujesz wymienić USDC na nowy token. Witryna nie inicjuje faktycznej wymiany — po prostu wyświetla komunikat „Zatwierdź USDC”. Po wykonaniu tych czynności Twoje środki zostaną skradzione za pomocą złośliwego kontraktu.

3. Fałszywe staking/farming lub platformy gier

Pojawi się prośba o „stakowanie tokenów” lub „rozpoczęcie gry” w aplikacji DeFi/GameFi. Witryna wymaga zatwierdzenia tokenu/NFT. Cała platforma jest przykrywką dla złośliwych kontraktów, które po autoryzacji wyczerpują Twoje aktywa.

4. Zhakowane interfejsy użytkownika autentycznych projektów

Hakerzy przejmują kontrolę nad zaufanymi stronami projektów lub przejmują rekordy DNS, wprowadzając złośliwe skrypty, aby zamienić prawdziwy kontrakt na kontrakt phishingowy. Użytkownicy są przekonani, że korzystają z autentycznej aplikacji, ale w rzeczywistości udzielają dostępu osobom atakującym.

5. Fałszywa obsługa klienta lub fałszywe dokumenty pomocy

Prosisz o pomoc w społeczności, a fałszywy „pracownik pomocy technicznej” lub „obsługi klienta” wysyła Ci link. Link prowadzi do fałszywej strony pomocy technicznej, na której użytkownik proszony jest o wyrażenie zgody na kontrakt pod pretekstem „rozwiązania problemu” — w rzeczywistości jest to jednak pułapka.

Jak to działa?

Podstawową zasadę złośliwych zatwierdzeń można podsumować w jednym zdaniu:

Wykorzystuje niewiedzę użytkowników na temat działania uprawnień w łańcuchu bloków. Wprowadzając Cię w błąd i uzyskując Twoją zgodę, oszuści przejmują kontrolę nad Twoimi aktywami i kradną je bez Twojej wiedzy.

Kwestie techniczne

Oto typowy przebieg oszustwa polegającego na fałszywym zatwierdzaniu:

1. Oszust wdraża złośliwy kontrakt (ale nie inicjuje bezpośrednio transferów).

2. Użytkownik zostaje nakłoniony do wywołania funkcji „zatwierdź” (w przypadku tokenów) lub „setApprovalForAll” (w przypadku NFT).

3. Zgoda została udzielona, ale aktywa pozostają w portfelu — do czasu.

4. Oszuści wykorzystują następnie funkcję [transferFrom()] lub podobne funkcje, aby przenieść środki do własnego portfela.

5. Ponieważ transakcja jest technicznie ważna (zatwierdzona przez użytkownika), portfele i łańcuchy bloków jej nie blokują.

Środki bezpieczeństwa Bitget Wallet

● Ostrzeżenia o fałszywych stronach internetowych: jeśli odwiedzisz podejrzaną stronę, Bitget Wallet wyświetli ostrzeżenie, aby zapobiec nieświadomemu zatwierdzeniu złośliwego kontraktu.

● Wbudowana funkcja wykrywania ryzyka związanego z kontraktami: Bitget Wallet zawiera narzędzie, które skanuje istniejące zatwierdzenia. Możesz proaktywnie przeglądać i cofać uprawnienia obarczone wysokim ryzykiem lub nieaktualne, aby zapewnić bezpieczeństwo swoich aktywów.

Najlepsze praktyki, które pomogą Ci się zabezpieczyć

Zwróć uwagę na te sygnały ostrzegawcze, aby rozpoznać potencjalne złośliwe próby zatwierdzenia:

● DApp nie ma żadnej rzeczywistej funkcjonalności — wyświetla jedynie monit z prośbą o zatwierdzenie czegoś.

● Prosi o dostęp do kluczowych aktywów (USDT, ETH, NFT).

● Zatwierdzenie nie ma ograniczeń (zatwierdź (uint256 max)).

● W wyskakującym okienku portfela wyświetla się komunikat SetApprovalForAll: true.

● Strona internetowa wygląda nieprofesjonalnie lub naśladuje znany projekt.

● Nigdy nie klikaj przypadkowych linków ani nie zatwierdzaj niczego z wiadomości prywatnych na Telegramie, odpowiedzi na Twitterze ani innych niezweryfikowanych źródeł.

Uwagi końcowe

Jeśli czegoś nie rozumiesz, nie podpisuj. Jeśli nie jest to transakcja handlowa, zastanów się dwa razy przed kliknięciem.

W przypadku zwykłych użytkowników zatwierdzanie uprawnień smart kontraktów powinno odbywać się z najwyższą ostrożnością. Zawsze kieruj się zasadą bezpieczeństwa: „zatwierdzenie = przekazanie środków”. Przed podpisaniem należy dokładnie sprawdzić i zweryfikować każdą autoryzację kontraktu.

Powiązane artykuły:

Alert bezpieczeństwa Web3: Fałszowanie wiadomości SMS

Alert bezpieczeństwa Web3: Payzero

Alert bezpieczeństwa Web3: Tokeny obarczone wysokim ryzykiem

Alert bezpieczeństwa Web3: Fałszywe aplikacje

Alert bezpieczeństwa Web3: Szkodliwe zatwierdzenia