У світі Web3 надання необмеженої кількості схвалень створює вразливості, якими хакери можуть скористатися через недоліки смартконтрактів або соціальну інженерію.
Регулярно перевіряйте та скасовуйте зайві схвалення, щоб запобігти несанкціонованому доступу до ваших активів.
Захистіть свої кошти за допомогою таких інструментів, як Web3-гаманець Binance, і постійно отримуйте інформацію про ризики безпеки Web3.
У світі децентралізованих фінансів, якою може бути ціна одного непоміченого схвалення? Хоча смартконтракти можуть спростити транзакції, ці взаємодії також створюють унікальні ризики безпеки, особливо коли користувачі надають необмежений дозвіл третім сторонам на доступ та управління своїми коштами. У нашому попередньому блозі ми розповідали про ризики схвалення смартконтрактів та акаунтів, що належать зовнішнім власникам (EOA). У цій статті ми глибше заглибимося в додаткові ризики схвалення, зокрема у мережах віртуальної машини Ethereum (EVM), і як ви можете захистити свої активи від цих загроз.
Багато користувачів вважають, що взаємодія з відомими або перевіреними проєктами гарантує повну безпеку їхніх коштів. Однак навіть найбільш ретельно розроблені проєкти, особливо в децентралізованому просторі, не застраховані від зломів. Необмежені схвалення підвищують ризик, надаючи смартконтрактам необмежений контроль над активами вашого гаманця, коли застосунок або платформа, якій ви довіряли в минулому, скомпрометовані.
Це стає ще небезпечнішим, оскільки користувачі часто схвалюють смартконтракти для зручності, а згодом забувають про них. Згодом ці забуті схвалення перетворюються на приховані вразливості, готові до використання. Якщо безпека проєкту скомпрометована, хакери можуть використовувати ці необмежені схвалення, щоб миттєво вивести ваші кошти, не вимагаючи від вас жодних подальших дій. Нездатність обмежувати або періодично скасовувати схвалення – це все одно, що залишити свої двері незамкненими й зробити свої активи легкою мішенню. Ось чому в екосистемі Web3 дуже важливо ретельно керувати своїми схваленнями.
Вам, ймовірно, цікаво, як безпека проєкту може бути поставлена під загрозу. Виділяють два поширені методи: використання вразливостей у коді смартконтракту та використання тактики соціальної інженерії для маніпулювання розробниками. Обидва підходи можуть відкрити зловмисникам можливість отримати несанкціонований доступ до коштів користувачів.
Смартконтракти складають основу функціональності блокчейну, уможливлюючи такі функції, як створення токенів, кредитування, стейкінг і використання мостів. Однак, як і в будь-якому програмному забезпеченні, жоден код не може бути абсолютно захищеним від вразливостей. Ці слабкі місця стають головними цілями для зловмисників, особливо в популярних проєктах з великою базою користувачів або значними коштами.
Ось як може розгортатися така атака.
Пошук відповідної цілі: хакери націлюються на відомі проєкти, аналізуючи їхні смартконтракти на наявність недоліків. Завдяки прозорій природі блокчейну, цей процес вимагає як терпіння, так і навичок, оскільки зловмисники прискіпливо шукають помилки кодування або логічні невідповідності.
Злом: після виявлення вразливості зловмисники отримують несанкціонований доступ до контрактів проєкту. З цього моменту їхня мета очевидна: викрасти кошти. Вони прагнуть вичерпати пули ліквідності, кредитні резерви або напряму використовувати користувачів, які взаємодіють зі скомпрометованим контрактом.
Витік: ризик значно зростає для користувачів, які надали необмежені схвалення скомпрометованому контракту. Ці схвалення надають необмежений доступ до токенів у їхніх гаманцях. Зловмисники можуть виконувати такі функції, як transferFrom(), щоб зняти весь баланс токенів, не один раз, а кілька разів. Будь-які нові депозити на той самий гаманець також залишаються вразливими, доки активне необмежене схвалення.
В результаті користувачі ризикують втратити як свої поточні кошти, так і будь-які майбутні депозити, доки схвалення не буде скасовано. Хоча необмежені схвалення можуть здатися зручними, вони можуть швидко стати серйозною вразливістю. Ось чому важливо виробити звичку переглядати та скасовувати непотрібні або рідко використовувані смартконтракти. Завжди безпечніше витратити хвилину на повторне схвалення контракту, ніж ризикувати втратою своїх коштів.
Хоча смартконтракти можуть бути вразливими, часто саме людська помилка є ключем до злому. Зловмисники атакують розробників або власників проєктів, використовуючи довіру, щоб отримати доступ до конфіденційних систем. Поширеною тактикою є шахрайство зі зловмисним програмним забезпеченням, коли зловмисники обманом змушують людей завантажити шкідливі програми. Після встановлення ці програми можуть красти приватні ключі, отримувати доступ до гаманців або маніпулювати контрактами, виснажуючи як кошти проєкту, так і баланси користувачів. Отже, соціальна інженерія є серйозною загрозою, яка може вплинути на всю екосистему.
Вразливість під час оновлення смартконтракту на платформі LI.FI дозволила зловмиснику виконувати довільні виклики будь-якого контракту без належної перевірки. Цей недолік дозволив зловмиснику використовувати гаманці, які надавали нескінченну кількість схвалень доступу до токенів для контрактів LI.FI. Використовуючи ці неперевірені дозволи, зловмисник міг зняти кошти з цих гаманців, не вимагаючи подальшої авторизації від користувачів. Оскільки вразливості можуть з'являтися несподівано, завжди безпечніше скасовувати дозволи, коли це можливо.
Зловмисники скомпрометували пристрої трьох підписантів і отримали контроль над гаманцем із мультипідписом, що належить Radiant Capital. Використовуючи цей доступ, вони передали право власності на гаманець собі та оновили контракти кредитного пулу. Це оновлення дозволило їм вивести всі кошти з пулів кредитування, а також з гаманців користувачів, які надали необмежену кількість схвалень. Користувачі, які не відкликали свої необмежені схвалення, залишаються під загрозою, особливо в деяких блокчейнах.
Цей випадок ілюструє небезпеку невідкликання схвалення після злому. Один користувач гаманця Web3, як показано нижче, надав необмежене схвалення для скомпрометованого контракту кредитного пулу Radiant Capital. Необмежений дозвіл означав, що контракт може знімати токени з гаманця користувача без обмежень.
Поки схвалення залишається активним, зловмисник може неодноразово знімати BUSC-USD з гаманця користувача. Крім того, будь-які нові депозити на гаманець також піддаються ризику, оскільки контракт зберігає дозвіл на зняття коштів. Цей сценарій підкреслює критичну необхідність для користувачів переглядати та скасовувати схвалення, коли відбувається порушення безпеки, щоб захистити свої активи.
Розробник Monoswap став жертвою цілеспрямованого шахрайства, коли зловмисники видавали себе за венчурних капіталістів. Розробника ошукали, змусивши встановити зловмисну копію месенджера Kakaotalk, щоб він міг приєднатися до дзвінка, на якому нібито планували обговорювати можливість фінансування. Без його відома, зловмисники скористалися цією можливістю, щоб встановити ботнет на його офісному комп'ютері, який мав доступ до пов'язаних з Monoswap гаманців і контрактів.
Завдяки цьому доступу зловмисники відкликали більшість позицій ліквідності у стейкінгу, що завдало значної шкоди протоколу і спричинило збитки його користувачам. Цей інцидент підкреслює важливість дотримання суворих протоколів безпеки та перевірки легітимності будь-яких програм або комунікацій перед наданням доступу до конфіденційних систем.
У світі Web3 пильність є ключем до захисту ваших активів. Хоча жодна система не є повністю захищеною від ризиків, вживання проактивних заходів може значно зменшити вплив потенційних загроз. Ось як ви можете захистити себе:
За можливості уникайте надання необмеженої кількості схвалень доступу до токенів, навіть для авторитетних проєктів. Обмеження схвалень створює додатковий рівень безпеки, гарантуючи, що зловмисники не зможуть скористатися ними, якщо проєкт буде скомпрометовано.
Візьміть за звичку регулярно переглядати та скасовувати схвалення доступу до токенів для контрактів, які ви більше не використовуєте. Ця проста дія знижує ризик доступу до ваших активів через зловмисні експлойти або непередбачені вразливості.
Перш ніж схвалювати контракт, перевірте його за допомогою надійних інструментів безпеки, таких як honeypot.is. Хоча ці інструменти не можуть гарантувати абсолютну безпеку, вони надають цінну інформацію про потенційні ризики й набагато кращі, ніж повна відмова від перевірки. Дотримуючись цих звичок, ви контролюєте свою безпеку у Web3, перетворюючи обережність на найнадійніший захист від потенційних загроз.
Захистіть свої гаманці за допомогою надійних інструментів, таких як Web3-гаманець Binance, що надає пріоритет безпеці користувачів завдяки надійним функціям для протидії поширеним загрозам Web3, включаючи зловживання схваленнями.
Коли проєкт скомпрометовано, Web3-гаманець Binance швидко реагує, щоб захистити своїх користувачів. Негайно надсилаються сповіщення про безпеку та повідомлення в застосунку, що закликають користувачів скасувати потенційно небезпечні схвалення або захистити свої активи. Постійне спливне вікно залишається активним, доки схвалення ризикованого смартконтракту не буде повністю скасовано. Це гарантує, що користувачі вживуть заходів для захисту своїх коштів.
Ці профілактичні заходи тримають користувачів в курсі та дозволяють їм швидко реагувати, що знижує ризик потенційних втрат.
Знання – це ваш найкращий захист у світі DeFi, що постійно розвивається. Залишайтеся в курсі новин з безпеки, розробок проєктів і нових вразливостей з Binance Academy. Щоб дізнатися більше про можливі загрози, ознайомтеся з нашою серією статей "Як розпізнати шахрайство". Ці ресурси надають цінну інформацію про те, як розпізнати шахрайство та захистити себе від останніх ризиків в екосистемі.
У світі Web3 навіть кілька простих звичок можуть стати вирішальними для захисту ваших активів. Регулярно перевіряйте свої схвалення, використовуйте надійні інструменти, такі як Web3-гаманець Binance, і залишайтеся поінформованими через такі ресурси, як Binance Academy. Завдяки цим невеликим, але важливим крокам ви зможете зберегти свої кошти в безпеці й зосередитися на можливостях децентралізованих фінансів.
Безпека Web3-гаманця: ризики схвалення транзакцій смартконтрактів
Безпека Web3-гаманця: ризики підписання повідомлень блокчейну
Binance запобігла потенційним збиткам користувачів на суму 2,4 мільярда доларів США у 2024 році
Стежте за нами в соцмережах Binance Ukraine:
Telegram канал | Telegram група | TikTok | X (Twitter) | Facebook | Instagram | YouTube
