Hakkerointi ja kalastelu
Hakkeri sai haltuunsa yli 440 000 dollaria USDC:ta sen jälkeen, kun lompakon omistaja allekirjoitti tietämättään haitallisen ”permit”-allekirjoituksen, kertoo Scam Snifferin maanantain twiitissä. Varkaus tapahtui kalastelutapausten lisääntyessä. Marraskuussa noin 7,77 miljoonaa dollaria vietiin yli 6 000 uhrilta, mikä edustaa 137 prosentin nousua kokonaismenetyksissä lokakuusta, vaikka uhreja oli 42 prosenttia vähemmän.
”Valashunting tiivistyi, ja suurin isku oli 1,22 miljoonaa dollaria (permit-allekirjoitus). Huolimatta vähemmistä hyökkäyksistä, yksittäiset menetykset kasvoivat merkittävästi,” yritys huomautti.
Permit-pohjaiset huijaukset
Permit-pohjaiset huijaukset keskittyvät käyttäjien huijaamiseen allekirjoittamaan transaktio, joka näyttää lailliselta, mutta antaa hyökkääjälle hiljaisesti oikeuden käyttää heidän tokeneitaan. Haitalliset dappit voivat naamioida kenttiä, väärentää sopimusten nimiä tai esittää allekirjoituspyynnön johonkin rutiininomaiseen. Jos käyttäjä ei tarkista yksityiskohtia, allekirjoittaminen käytännössä myöntää hyökkääjälle pääsyn kaikkiin käyttäjän ERC-20 tokeneihin.
”Mikä tekee tästä hyökkäystyyppisestä erityisen hankalan, on se, että hyökkääjät voivat joko suorittaa permitin ja token-siirron yhdessä transaktiossa (smash and grab -tyyppinen lähestymistapa) tai he voivat antaa itselleen pääsyn permitin kautta ja sitten odottaa siirtääkseen myöhemmin lisättyjä varoja,” sanoi Tara Annison, Twinstaken tuotejohtaja, Decryptille.
Huijauksen ehkäisy
Annison lisäsi, että tämä tapaus ei ole lainkaan eristyksissä. ”On monia suuria arvoisia ja suurivolyymisiä esimerkkejä kalasteluhuijauksista, jotka on suunniteltu huijaamaan käyttäjiä allekirjoittamaan jotain, jota he eivät täysin ymmärrä. Usein tämä tapahtuu ilmaiseksi airdropien tai väärien projektisivujen yhteydessä,” hän sanoi.
Lompakkotoimittajat ovat ottaneet käyttöön enemmän suojaavia ominaisuuksia. MetaMask, esimerkiksi, varoittaa käyttäjiä, jos sivusto vaikuttaa epäilyttävältä ja yrittää kääntää transaktiotiedot ihmisten ymmärtämään muotoon. Muut lompakot korostavat myös korkean riskin toimintoja. Mutta huijarit jatkavat sopeutumista.
”Paras tapa suojautua permit-, approveAll- tai transferFrom-huijauksilta on varmistaa, että tiedät, mitä allekirjoitat. Mitä toimintoja todella tehdään transaktiossa?” Annison korosti.
Varastettujen varojen palautus
Kun varat on varastettu, niiden palauttaminen on epätodennäköistä. Martin Derka, Zircuit Financen perustaja ja tekninen johtaja, kertoi Decryptille, että mahdollisuudet saada varat takaisin olivat ”perustasolla nolla”.
”Kalasteluhyökkäyksissä olet tekemisissä yksilön kanssa, jonka koko tavoite on ottaa varasi. Ei neuvotteluja, ei kontaktipistettä, ja usein ei aavistustakaan siitä, kuka vastapuoli on,” hän sanoi.
”Nämä hyökkääjät pelaavat numeroiden peliä,” Derka sanoi ja lisäsi, että ”kun raha on mennyt, se on mennyt. Palautus on käytännössä mahdotonta.”
