Złośliwa autoryzacja polega na autoryzacji określonego Tokena określoną liczbą możliwych do wywołania uprawnień poprzez operację Zatwierdź, co zazwyczaj kradnie całe saldo autoryzowanego Tokena. Jeśli więc zwykły adres nie wykonał operacji Zatwierdź, czy można go również wywołać?
Ostatnio coraz więcej użytkowników zgłasza, że na swojej liście przelewów USDT zobaczy zapisy o przelewie 0USDT, jak pokazano poniżej:
Kiedy widzisz, że Twój adres jest wzywany do przeniesienia 0 zasobów, Twoją pierwszą reakcją jest myśl, że możesz być narażony na złośliwą autoryzację, więc otwierasz narzędzie do wykrywania uprawnień lub przeglądarkę, aby sprawdzić swój rekord autoryzacji.
Znaleziono rekord autoryzacji na liście autoryzacji, ale po prawej stronie znaleziono komunikat [Anulowano]. Kliknij strzałkę, aby wyświetlić rekordy autoryzacji i anulowania.
Treść rekordu zmiany autoryzacji jest pusta, a użytkownik jest w tym momencie całkowicie zdezorientowany.
Nie martw się! Przywróćmy to razem.
1. Otwórz przeglądarkę TRON, znajdź adres kontraktu USDT i kliknij [Kontrakt]--[Napisz kontrakt]--[transferFrom]
2. Wpisz tutaj odpowiednio adres wysyłki, adres odbioru i ilość, a następnie kliknij [Wyślij], aby dokończyć podpis za pomocą portfela wtyczki. Na dole zobaczysz zielony [prawda] wskazujący, że wykonanie się powiodło. Jeśli ilość jest tutaj ustawiona na inną wartość, wyświetli się monit o wysłaną treść, ale ponieważ druga strona nie ma ilości, którą można wywołać, wykonanie nie może się powieść. Zużyty tutaj TRX jest opłacany przez drugą stronę.
3. Po pomyślnym wykonaniu kontynuowaliśmy sprawdzanie informacji autoryzacyjnych tego adresu i rzeczywiście dodano kolejny pusty rekord.
W tym momencie uważam, że każdy powinien mieć pełne zrozumienie przyczyn tego problemu. Pokazuje to, że można zadzwonić pod dowolny adres, ale ta metoda jest daremna. Nie naraża to naszych aktywów, ale ich ostateczne celem jest umożliwienie Ci użycia błędnego adresu w celu uruchomienia błędnych przelewów w celu uzyskania zysku. Oszustwo z użyciem tego samego ostatniego adresu jest uzupełniającą metodą oszustwa.
Ten rodzaj wywołania ma również zastosowanie do innych łańcuchów EVM. Poprzednia metoda oszustwa z użyciem adresu końcowego z dużą liczbą imitacji była aktywną metodą transferu. Obecne wywołanie jest metodą transferu, która będzie bardziej myląca pod względem wyzwalania błędnych operacji. Oszuści bardzo szybko aktualizują swoje sztuczki, dlatego każdy powinien zwracać większą uwagę na stosowane przez siebie środki ostrożności.
Wyjaśnijmy niektóre pytania, które wszyscy są zdezorientowani:
1. Dlaczego nazywa się mój zasób.
Operację tę wykonuje się bezpośrednio poprzez funkcję TransferFrom USDT Można tu wywołać dowolny adres i wygenerować zapis w portfelu oraz pusty zapis w rekordzie autoryzacyjnym.
2. Jeśli tak się stanie, czy moje aktywa są nadal bezpieczne?
Celem tej operacji jest symulacja zapisu przelewu z adresu użytkownika w połączeniu z metodą ukrytego adresu, aby nakłonić użytkownika do nieprawidłowego obchodzenia się z przelewem. Nie powoduje to żadnego ryzyka dla Twoich aktywów, ale pamiętaj, aby zwrócić na to uwagę możliwe nieprawidłowe działanie.
3. Dlaczego portfel nie podejmuje działań.
Jest to nowa metoda oszustwa pomocniczego, która wykorzystuje normalne mechanizmy do wykonywania operacji, więc na razie nie było zbyt wiele optymalizacji w portfelu, ale TokenPocket zoptymalizuje ten problem w przyszłości.