Схеми шахрайства з відкликанням підроблених схвалень обманюють користувачів Web3, змушуючи їх вірити, що вони захищають свої гаманці, відкликаючи схвалення транзакцій – але насправді жертви сплачують надмірні "комісії gas", які йдуть прямо до кишень шахраїв.
Злочинці експлуатують функцію "відкликання" Web3-гаманців, використовуючи її для викачування коштів під час кожної спроби скасувати дозволи для підробленого схвалення.
Щоб захистити свої активи, завжди верифікуйте схвалення, перевіряйте комісії та обережно підходьте до всіх Web3-транзакцій.
Функція "відкликання" – це завжди безпечно, чи не так? Саме так вважає більшість криптокористувачів, особливо оскільки "відкликання" часто вважається ключовою частиною гігієни Web3-гаманця. На жаль, шахраї знайшли спосіб використати цю функцію у своїх схемах. У наших попередніх блогах про безпеку Web3-гаманця ми розглядали ризики, що виникають при схваленні транзакцій смартконтрактів без ретельної перевірки всіх деталей. У цьому блозі ми розглянемо, що таке шахрайські схеми з підробленими схваленнями, як шахраї маніпулюють функцією "відкликання" на свою користь, і, що найголовніше, як ви можете уникнути того, щоб стати жертвою цих тактик.
Шахрайства з підробленим схваленням, що експлуатують "відкликання", обманюють користувачів, змушуючи їх думати, що вони скасовують дозволи на транзакції, надані незнайомим платформам або смартконтрактам. Коли користувачі намагаються це зробити, вони в кінцевому підсумку сплачують захмарні "комісії gas", вважаючи, що вони захищають свої гаманці.
Приманка: переглядаючи дозволи на токени у провіднику блокчейну, такому як Etherscan, або у своєму гаманці, користувач помічає схвалення для токена, якого він не впізнає. Схоже, що якийсь невідомий контракт має доступ до його цінних активів. Починається паніка, і користувач інстинктивно кидається відкликати схвалення, вважаючи, що захищає свої криптоактиви.
Обман: насправді користувач ніколи не давав жодного реального схвалення. Шахрай не чіпав токени користувача. Натомість шахраї маніпулюють тим, як гаманець або провідник блокчейну відображає інформацію, щоб створити ілюзію наданого доступу до незнайомого смартконтракту. Це не більше ніж хитрий візуальний трюк – підроблене схвалення, що виглядає як справжнє. Доступ ніколи не надавався, але коли користувач намагається його відкликати, саме тоді спрацьовує шахрайська пастка.
Маніпуляція з комісією gas: транзакція "відкликання", яку ініціює користувач, є справжньою – це легітимна дія, але її спеціально налаштовано так, щоб він заплатив величезну комісію. Шахрай отримує прибуток від цих завищених витрат на транзакцію, часто використовуючи їх для карбування нових токенів або виконання інших зловмисних дій під своїм контролем. Те, що користувач вважав захисним кроком, обернулося дорогою помилкою. Фальшиве схвалення було лише приманкою, щоб змусити його здійснити оплату задарма.
Хоча ці шахрайські схеми не крадуть кошти безпосередньо, вони виснажують баланс користувача через непомірно високі комісії gas, залишаючи інші активи недоторканими.
Замкнене коло витрат: найгірше те, що це підступне схвалення не зникає з провідника блокчейну. Якщо користувач вважає, що відкликання не вдалося, він може спробувати ще раз, несвідомо віддаючи шахраю додаткові кошти. Кожна спроба збільшує втрати, оскільки шахрай отримує ще один шанс привласнити криптовалюту користувача. Що більше користувач намагається це виправити, то глибше він потрапляє в пастку.
На зображенні нижче ви побачите, що провідник блокчейну вказує на те, що користувач надав необмежене схвалення для "BEP-20 TOKEN*" невідомому адресату. Ця тривожна картина може викликати паніку, змушуючи користувача повірити, що він несвідомо надав дозвіл шкідливому смартконтракту.
Однак насправді це фальшивий токен USDT, і шахраї маніпулювали відображенням, щоб створити ілюзію попереднього схвалення.
При детальному перегляді сторінки транзакції видно, що було згенеровано 300 підроблених запитів на схвалення для різних адрес, пов’язаних із цим шахрайським токеном. Ця тактика спрямована на посилення невідкладності, спонукаючи жертву вжити негайних дій.
Коли користувач намагається відкликати схвалення, він натомість стикається з надмірними комісіями – від кількох доларів до потенційно сотень і більше. Ці комісії не просто привласнюються – шахрай активно використовує їх для карбування нових токенів або виконання додаткових зловмисних дій, залишаючись при цьому непоміченим.
У наведеному вище прикладі спроба жертви відкликати схвалення обернулася проти неї. Шахрай використав цю транзакцію у своїх інтересах, залишивши користувача з непередбачувано високими комісіями та без розвʼязання проблеми: оманливе схвалення залишилося видимим, посилюючи ілюзію необхідності повторної спроби.
Шахраї покладаються на страх і терміновість, щоб змусити вас зробити помилку. Якщо щось здається підозрілим, зробіть крок назад, видихніть і оцініть ситуацію, перш ніж діяти. Ясна голова – ваш найкращий захист від того, щоб не потрапити в їхню пастку.
Перед схваленням будь-якої транзакції приділіть час перевірці її деталей. Чи сума не викликає підозр? Чи впізнаєте ви адресу контракту? Чи є якісь дивні попередження або незвичні комісії? Якщо щось здається підозрілим, звірте інформацію з надійними джерелами, платформами або форумами.
Ознайомтеся із середнім розміром комісій gas на блокчейнах, які ви використовуєте. Якщо комісія за транзакцію виглядає підозріло високою або незвичною, це може бути тривожним сигналом. Використовуйте інструменти, такі як Gas Tracker від Etherscan, GasNow або Gas Estimator від Blocknative, щоб моніторити ціни gas в реальному часі та перевіряти очікувані витрати, перш ніж продовжити.
Шахраї завжди вдосконалюють свої тактики, але знання – ваш найсильніший захист. Чим більше ви знаєте про нові загрози та кращі практики безпеки, тим краще ви зможете розпізнавати підозрілі сигнали, перш ніж вони призведуть до фінансових втрат. Будьте в курсі подій разом із Binance Academy, і дізнавайтеся більше про нові шахрайські схеми в нашій серії статей про безпеку.
Шахраї користуються ситуаціями, що вимагають терміновості, але трохи пильності може вас уберегти. Найкращий захист від цих оманливих тактик – не просто знати про їх існування, а завжди бути на крок попереду: перевіряти схвалення двічі, звіряти комісії за допомогою надійних інструментів і ніколи не поспішати з транзакціями. Пам’ятайте, підвищена обережність – це не параноя, а додатковий рівень захисту в динамічному світі Web3.
Безпека Web3-гаманця: ризики схвалення транзакцій смартконтрактів
Безпека Web3-гаманця: як уникнути підроблених застосунків-гаманців і смішингу
Безпека Web3: ризики необмежених схвалень у мережах віртуальної машини Ethereum
Стежте за нами в соцмережах Binance Ukraine:
Telegram канал | Telegram група | TikTok | X (Twitter) | Facebook | Instagram | YouTube
