Jak donosi Scam Sniffer, użytkownik kryptowalut stracił niedawno tokeny aEthMKR i Pendle USDe o wartości ponad 11 milionów dolarów w wyniku oszustwa typu phishing. Według Arkham Intelligence ofiara, która jest pełnomocnikiem ds. zarządzania MakerDAO, padła ofiarą serii fałszywych podpisów na pozwoleniach. Ten incydent uwypukla znaczące ryzyko związane z protokołem EIP-2612, który pozwala na podpisy zezwoleń w celu autoryzacji transakcji bez weryfikacji w łańcuchu.

Jak działało oszustwo

Zezwalaj na podpisy:EIP-2612: Ta propozycja ulepszenia Ethereum umożliwia użytkownikom generowanie podpisów autoryzacyjnych bez konieczności wcześniejszej zgody w łańcuchu. Może to usprawnić transakcje, ale wprowadza również luki w zabezpieczeniach. Autoryzacja poza łańcuchem: te podpisy można tworzyć i używać bez przesyłania ich do łańcucha bloków, co utrudnia wykrycie nieuczciwych działań. Atak wyłudzający informacje: fałszywe strony internetowe: oszuści tworzą strony internetowe, które wydają się legalne aby nakłonić ofiary do podpisania pozwoleń. Zwodnicza autoryzacja: gdy ofiara podpisze pozwolenie na fałszywych stronach, oszuści uzyskują kontrolę nad swoimi zasobami bez konieczności dalszej interakcji w łańcuchu.

Zagrożenia i luki w zabezpieczeniach

Ryzyko związane z podpisami: Jak podkreśliła firma SlowMist zajmująca się bezpieczeństwem blockchain, główne ryzyko związane z zezwoleniami polega na łatwości, z jaką nieuczciwi uczestnicy mogą wykorzystać autoryzacje do podpisów. Ponieważ transakcje odbywają się poza łańcuchem, wykrycie zhakowanych podpisów staje się wyzwaniem. Brak ostrzeżeń: niektóre portfele dekodują i wyświetlają informacje o podpisach, ale ostrzeżenia dotyczące phishingu polegającego na zezwoleniu na podpis są często niewystarczające. Ta luka w ochronie użytkownika zwiększa prawdopodobieństwo udanych prób phishingu.

Zalecenia

Aby ograniczyć takie ryzyko, zaleca się użytkownikom:

Weryfikuj strony internetowe: Zawsze upewnij się, że strony internetowe są legalne przed podpisaniem jakichkolwiek zezwoleń. Zapoznaj się z uprawnieniami: uważnie przeczytaj i zrozum uprawnienia przyznane przy każdym podpisie. Korzystaj z renomowanych portfeli: wybieraj portfele, które dostarczają szczegółowych informacji i ostrzeżeń na temat podpisów zezwoleń. Bądź na bieżąco: Keep na bieżąco z najnowszymi praktykami bezpieczeństwa i potencjalnymi lukami w przestrzeni kryptograficznej.

To niefortunne wydarzenie podkreśla potrzebę zwiększonej świadomości i silniejszych środków bezpieczeństwa w celu ochrony przed wyrafinowanymi oszustwami typu phishing w świecie kryptowalut.#CryptoTradingGuide