Lompakkovarkaudet ja niiden toimintatavat
Lompakkovarkaat ovat varastaneet miljardeja kryptokäyttäjiltä, eikä lähes missään tapauksessa ole ollut kyse varastetusta salasanasta tai hakkeroinnista. Uhrit ovat usein allekirjoittaneet transaktioita, joita he eivät ymmärtäneet. Tämä opas selittää, miten varkaat todella toimivat, hyväksyntämekanismin, jota he hyödyntävät, drainer-as-a-service -teollisuuden, joka on teollistanut varkaudet, sekä erityiset allekirjoitukset, jotka antavat hyökkääjille pääsyn uhriensa varoihin.
Hyökkäysten mekanismi
Kryptovarkauden menestynein tekniikka ei perustu murtautumiseen, vaan lupien pyytämiseen, ja uhri myöntää ne. Lompakkovarkaat tyhjentävät kryptolompakon sen tokeneista ja NFT:istä yhdellä hyväksytyllä transaktiolla. Hämmentävää on, että lähes jokaisessa tapauksessa lohkoketju toimi täydellisesti, salaus piti, eikä salasanaa koskaan varastettu. Uhri vietiin allekirjoittamaan transaktio, joka valtuutti varkauden, ja lohkoketju suoritti valtuutuksen uskollisesti.
Tämä on drainer-aikakauden määrittävä piirre: hyökkäyspinta on siirtynyt protokollasta henkilöön.
Hyväksynnät ja niiden haavoittuvuus
Ymmärtääksesi varkaita, on tärkeää ymmärtää token-hyväksynnät, sillä koko hyökkäys perustuu laillisen ja tarpeellisen ominaisuuden väärinkäyttöön. Kun käytät hajautettua sovellusta, DEX:ää, lainaprotokollaa tai NFT-markkinapaikkaa, se tarvitsee luvan siirtää tokeneitasi puolestasi. Ongelma on se, että mekanismi voi olla haavoittuva väärinkäytölle.
Drainer-hyökkäyksen vaiheet
Drainer-hyökkäys etenee johdonmukaisessa järjestyksessä, ja sen tunteminen tekee vaarasta ymmärrettävän. Se alkaa houkuttelemisella: uhri kohtaa jotain, joka on suunniteltu saamaan heidät yhdistämään lompakon ja allekirjoittamaan. Tämä voi olla valeversio todellisen projektin verkkosivustosta tai haitallinen linkki sosiaalisessa mediassa.
Sitten tulee allekirjoituspyyntö, hyökkäyksen sydän. Haitallinen sivusto kehottaa uhrin lompakkoa allekirjoittamaan transaktion, ja transaktio on muotoiltu myöntämään hyökkääjän sopimukselle lupa uhrin varoihin.
Vaaralliset allekirjoitukset
Kaikki haitalliset allekirjoitukset eivät ole yhtä, ja vaarallisimmat niistä kannattaa tietää nimeltä. Rajaton hyväksyntä on klassinen: allekirjoitus, joka myöntää sopimukselle luvan käyttää rajatonta määrää tiettyä tokenia. Lupa-allekirjoitus on hienovaraisempi ja vielä vaarallisempi, sillä se voi valtuuttaa tyhjennyksen allekirjoittamalla harmittoman näköisen viestin.
Teollisuuden kehitys
Drainer-as-a-service -teollisuus on muuttanut lompakkovarkaudet franchising-liiketoiminnaksi. Kehittyneet kehittäjät ovat rakentaneet drainer-kittejä, täydellisiä paketteja, jotka sisältävät haitalliset älykkäät sopimukset ja kalastussivustojen mallit. Tämä on syy siihen, miksi varkaat laajenivat niin katastrofaalisesti.
Puolustautuminen varkailta
Lompakon suojaaminen varkailta perustuu joukkoon tapoja ja yhteen ylläpitotehtävään. Tapoja ovat:
- Käsittele jokaista allekirjoituspyyntöä päätöksenä, ei muodollisuutena.
- Älä koskaan allekirjoita kiireellisessä tilassa.
- Vahvista sivustot itsenäisesti.
- Käytä lompakkoa, joka purkaa ja simuloi transaktioita.
Ylläpitotehtävä on hyväksyntöjen peruuttaminen, ja se on se, jonka useimmat käyttäjät ohittavat. Hyväksyntöjen tarkistustyökalut antavat sinun nähdä jokaisen aktiivisen hyväksynnän lompakossasi ja peruuttaa ne, joita et tunnista tai joita et enää tarvitse.
Yhteenveto
Rehellinen yhteenveto on, että varkaat ovat kypsä muoto kryptovarkaudesta aikakaudella, jolloin salausta ei voida murtaa. Puolustus on inhimillinen: informoitu epäluulo, luettavat transaktiot, minimaalinen altistus ja peruutetut hyväksynnät.
Tärkein palomuuri kryptovaluutassa on tauko allekirjoituspyynnön lukemisen ja sen hyväksymisen välillä.
Vastuuvapauslauseke: Tämä artikkeli on vain koulutustarkoituksiin eikä se muodosta sijoitus- tai turvallisuusneuvontaa.