Один інвестор, який володіє великою кількістю криптоактивів, нещодавно пережив шокуючу втрату активів. Його 8430000 USDT не було вкрадено, а зникло внаслідок, здавалося б, безневинної операції. Цей інвестор завжди вважав, що його активи абсолютно безпечні, оскільки він використовував холодний гаманець Ledger і суворо дотримувався всіх рекомендацій щодо безпеки: закритий ключ ніколи не підключався до Інтернету, мнемонічна фраза зберігалася лише в паперовій формі, ніколи не робив скріншотів або не ділився нею.
Однак, виявляється, що навіть найобережніші користувачі можуть потрапити в ретельно спроектовані пастки. Аналізуючи записи операцій в ланцюгу, правда виходить на поверхню: проблема полягає в одному, здавалося б, безпечному авторизаційному процесі.
Щоб полегшити перегляд активів, цей інвестор встановив браузерний плагін-гаманець, що підтримує синхронізацію холодного гаманця. Інтерфейс плагіна простий, він може відображати монети та ціни, і має чимало рекомендацій від спільноти. Інвестор вважає, що лише "перегляд" активів не повинен мати ризику. Але він не знає, що під час підключення плагіна насправді підписав стандартний контракт "SetApprovalForAll", передавши всі права на переказ активів контракту, створеному хакерами.
Ця авторизація дії подібна на підписання порожнього чека. Через три дні, коли холодний гаманець отримав переказ 8430000 USDT, хакер негайно викликав контракт і одноразово забрав весь баланс. Протягом всього процесу, телефон користувача не отримав жодного повідомлення, а записи в гаманці показували лише одну "подію виклику".
Цей випадок виявляє ключову проблему: багато користувачів надмірно довіряють "абсолютній безпеці" холодного гаманця. Однак хакерам не потрібно вдаватися до насильницького вторгнення, їм просто потрібно скористатися довірою користувачів, через на вигляд безпечні кроки, поступово підводячи жертву до пастки.
Наразі частина вкрадених активів була заморожена на біржі. Ця подія знову нагадує нам, що у світі криптоактивів навіть використання найбезпечніших інструментів вимагає високої пильності, особливо щодо будь-яких операцій, які потребують авторизації.
Для власників криптоактивів цей урок має глибокий зміст: не слід сліпо вірити жодному сторонньому додатку, навіть якщо вони виглядають дуже надійними. Перед здійсненням будь-яких операцій з авторизацією необхідно уважно читати та розуміти зміст контракту. Одночасно регулярна перевірка та скасування непотрібної авторизації також є важливим кроком для захисту активів.
З розвитком екосистеми криптоактивів все більш важливими стають освіта користувачів і підвищення обізнаності щодо безпеки. Лише знайти баланс між технічною безпекою та обережністю користувачів можна справді гарантувати безпеку цифрових активів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
3
Поділіться
Прокоментувати
0/400
EthMaximalist
· 07-31 12:51
Ай, це ж не податок на IQ?
Переглянути оригіналвідповісти на0
EntryPositionAnalyst
· 07-31 12:50
Це жадібність, хіба не можна обійтися без такого складного плагіна?
Один інвестор, який володіє великою кількістю криптоактивів, нещодавно пережив шокуючу втрату активів. Його 8430000 USDT не було вкрадено, а зникло внаслідок, здавалося б, безневинної операції. Цей інвестор завжди вважав, що його активи абсолютно безпечні, оскільки він використовував холодний гаманець Ledger і суворо дотримувався всіх рекомендацій щодо безпеки: закритий ключ ніколи не підключався до Інтернету, мнемонічна фраза зберігалася лише в паперовій формі, ніколи не робив скріншотів або не ділився нею.
Однак, виявляється, що навіть найобережніші користувачі можуть потрапити в ретельно спроектовані пастки. Аналізуючи записи операцій в ланцюгу, правда виходить на поверхню: проблема полягає в одному, здавалося б, безпечному авторизаційному процесі.
Щоб полегшити перегляд активів, цей інвестор встановив браузерний плагін-гаманець, що підтримує синхронізацію холодного гаманця. Інтерфейс плагіна простий, він може відображати монети та ціни, і має чимало рекомендацій від спільноти. Інвестор вважає, що лише "перегляд" активів не повинен мати ризику. Але він не знає, що під час підключення плагіна насправді підписав стандартний контракт "SetApprovalForAll", передавши всі права на переказ активів контракту, створеному хакерами.
Ця авторизація дії подібна на підписання порожнього чека. Через три дні, коли холодний гаманець отримав переказ 8430000 USDT, хакер негайно викликав контракт і одноразово забрав весь баланс. Протягом всього процесу, телефон користувача не отримав жодного повідомлення, а записи в гаманці показували лише одну "подію виклику".
Цей випадок виявляє ключову проблему: багато користувачів надмірно довіряють "абсолютній безпеці" холодного гаманця. Однак хакерам не потрібно вдаватися до насильницького вторгнення, їм просто потрібно скористатися довірою користувачів, через на вигляд безпечні кроки, поступово підводячи жертву до пастки.
Наразі частина вкрадених активів була заморожена на біржі. Ця подія знову нагадує нам, що у світі криптоактивів навіть використання найбезпечніших інструментів вимагає високої пильності, особливо щодо будь-яких операцій, які потребують авторизації.
Для власників криптоактивів цей урок має глибокий зміст: не слід сліпо вірити жодному сторонньому додатку, навіть якщо вони виглядають дуже надійними. Перед здійсненням будь-яких операцій з авторизацією необхідно уважно читати та розуміти зміст контракту. Одночасно регулярна перевірка та скасування непотрібної авторизації також є важливим кроком для захисту активів.
З розвитком екосистеми криптоактивів все більш важливими стають освіта користувачів і підвищення обізнаності щодо безпеки. Лише знайти баланс між технічною безпекою та обережністю користувачів можна справді гарантувати безпеку цифрових активів.