Bezpečnost Web3 peněženek: Jak falešné podvodné schválení zneužívají funkci odvolání

Hlavní poznatky

• Falešné podvody s odvoláním schválení klamou uživatele Web3, aby věřili, že zabezpečují své peněženky tím, že odvolávají schválení transakcí – ale ve skutečnosti oběti platí nepřiměřené „poplatky za plyn“, které přímo putují do kapes podvodníků.

• Zločinci zneužívají funkci "odvolat" Web3 peněženek, aby s každým pokusem o zrušení oprávnění pro falešné schválení vyčerpali vaše prostředky.

• Abychom ochránili vaše aktiva, vždy ověřujte schválení, kontrolujte poplatky a přistupujte ke všem transakcím Web3 opatrně.

"Odvolat" je vždy bezpečné, že? To si myslí většina uživatelů kryptoměn, zejména protože "odvolat" je často považováno za klíčovou součást hygieny Web3 peněženek. Bohužel, podvodníci našli způsob, jak tuto funkci zneužít. V našich předchozích blozích o bezpečnosti Web3 peněženek jsme pokryli risika spojená se schvalováním transakcí chytrých kontraktů bez pečlivého ověření všech podrobností. V tomto blogu si podrobně vysvětlíme, co jsou falešné podvodné schválení, jak podvodníci manipulují s funkcí "odvolat" ve svůj prospěch a co je nejdůležitější, jak se můžete vyhnout tomu, abyste se stali obětí těchto taktik.

Co jsou falešné podvodné schválení?

Falešné podvodné schválení zneužívají funkci "odvolat" a klamou uživatele, aby si mysleli, že odvolávají oprávnění k transakcím udělená neznámým platformám nebo chytrým kontraktům. Když se uživatelé pokusí udělat toto, nakonec platí nepřiměřené „poplatky za plyn“, přičemž věří, že zabezpečují své peněženky.

Přitažlivost: Při procházení svých tokenových schválení na blockchainovém prozkoumávači, jako je Etherscan, nebo uvnitř své peněženky, uživatel zaznamená neznámé schválení pro token, který nepoznává. Vypadá to, že nějaký neznámý kontrakt má přístup k jejich cenným aktivům. Obavy se dostaví a uživatel instinktivně spěchá, aby schválení odvolal, věříc, že chrání své krypto.

Trik: Nicméně, žádné skutečné schválení nikdy nebylo uděleno. Podvodník se nedotkl tokenů uživatele. Místo toho si pohrál se způsobem, jakým peněženka nebo blockchainový prozkoumávač zobrazuje informace, aby to vypadalo, že byl udělen přístup k neznámému kontraktu. Je to nic jiného než chytrý vizuální trik – falešné schválení, které vypadá legitimně. Žádný přístup nikdy nebyl udělen, ale když se uživatel pokusí to odvolat, to je místo, kde je spuštěn podvod.

Poplatek za plyn: Transakce "odvolat", kterou uživatel spouští, je skutečná – je to legitimní akce, ale je navržena tak, aby je stála obrovské poplatky. Podvodník profituje z těchto nafouknutých transakčních nákladů, často je využívá k mintování nových tokenů nebo provádění dalších zlých akcí pod jejich kontrolou. Co uživatel považoval za ochranný krok, se změnilo na drahou chybu. Falešné schválení bylo jen návnadou, která je přivedla k tomu, aby platili za nic.

I když tyto podvody přímo nekradou prostředky, zneužívají uživatele tím, že vyčerpávají jejich peněženku prostřednictvím neúměrně vysokých poplatků za plyn, přičemž zbytek jejich aktiv zůstává nedotčen.

Nákladný cyklus: A nejhorší část? To lstivé schválení nezmizí z prozkoumávače. Pokud si uživatel myslí, že odvolání selhalo, může se pokusit znovu, nevědomky dodávající podvodníkovi více prostředků. Každý pokus zvyšuje ztrátu, protože podvodník dostává další šanci, aby si přivlastnil uživatelovo krypto. Čím více se uživatel snaží to opravit, tím hlouběji se dostává do pasti.

Příklad ze skutečného života

Na obrázku níže si všimnete, že prozkoumávač řetězců naznačuje, že uživatel udělil neomezené schválení pro „BEP-20 TOKEN*“ neznámému výdajci. Tento znepokojující pohled může vyvolat paniku, způsobující, že uživatel věří, že nevědomky autorizoval zlý kontrakt.

Ve skutečnosti se však jedná o falešný USDT token a podvodníci manipulovali s displejem, aby vytvořili iluzi předchozího schválení.

Bližší pohled na stránku transakce odhaluje, že bylo vygenerováno 300 údajných schválených volání pro více adres spojených s tímto podvodným tokenem. Taktika je navržena tak, aby zesílila naléhavost, tlačící oběť k okamžité akci.

Když se uživatel pokusí odvolat schválení, místo toho je hit s nepřiměřenými poplatky – od několika dolarů po potenciálně stovky a více. Tyto poplatky nejsou jen tak promarněny; podvodník je aktivně zneužívá, používá transakci k mintování nových tokenů nebo provádění dalších zlých akcí, přičemž zůstává bez povšimnutí.

V uvedeném příkladu se pokus oběti odvolat schválení nevydařil. Podvodník využil transakci ve svůj prospěch, nechávajíc uživatele s neočekávaně vysokými poplatky a bez vyřešení: klamné schválení zůstalo viditelné, posilujíc iluzi, že je nutný další pokus.

Jak rozpoznat a vyhnout se těmto podvodům

Zůstaňte klidní

Podvodníci spoléhají na strach a naléhavost, aby vás přiměli udělat chybu. Pokud se něco zdá být špatně, udělejte krok zpět, nadechněte se a zhodnoťte situaci předtím, než jednáte. Jasná hlava je vaší nejlepší obranou proti pádu do jejich pasti.

Dvakrát zkontrolujte, než kliknete

Před schválením jakékoli transakce si věnujte chvíli na přezkoumání podrobností. Vypadá částka správně? Rozpoznáváte adresu kontraktu? Existují nějaké podivné varování nebo neobvyklé poplatky? Pokud se něco zdá být špatně, zkontrolujte to s důvěryhodnými zdroji, platformami nebo fóry.

Poznejte své poplatky

Seznamte se s průměrnou velikostí poplatků za plyn na řetězcích, které používáte. Pokud se poplatek za transakci zdá být podezřele vysoký nebo neobvyklý, může to být červená vlajka. Používejte nástroje jako Gas Tracker od Etherscan, GasNow nebo Gas Estimator od Blocknative k monitorování aktuálních cen plynu a ověření očekávaných nákladů před pokračováním.

Nepřetržitě se vzdělávejte

Podvodníci neustále zdokonalují své taktiky, ale znalosti jsou vaší nejsilnější obranou. Čím více rozumíte novým hrozbám a nejlepším bezpečnostním praktikám, tím lépe jste vybaveni k odhalení červených vlajek dříve, než se stanou nákladnými chybami. Zůstaňte informováni s Binance Academy a ponořte se do naší security series pro hlubší pohledy na nejnovější podvody.

Závěrečné myšlenky

Podvodníci prosperují díky naléhavosti, ale trochu bdělosti je velmi užitečné. Nejlepší obranou proti těmto klamavým taktikám není jen vědět, že existují, ale také být o krok napřed tím, že znovu zkontrolujete schválení, ověříte poplatky pomocí důvěryhodných nástrojů a nikdy nespěcháte do transakcí. Pamatujte, že extra opatrnost není paranoia – je to další vrstva ochrany v dynamickém světě Web3.

Další čtení

• Bezpečnost Web3 peněženek: Rizika schvalování transakcí chytrých kontraktů

• Bezpečnost Web3 peněženek: Vyhněte se falešným peněženkovým aplikacím a smishingu

• Bezpečnost Web3: Nebezpečí neomezených schválení na Ethereum virtuálních strojích