Зловмисна авторизація — це авторизація певного токена з певною кількістю дозволів, які можна викликати, за допомогою операції «Схвалення», зазвичай з крадіжкою всього балансу авторизованого токена. Отже, якщо звичайна адреса не виконала операцію Підтвердження, чи можна її також викликати?
Останнім часом все більше користувачів повідомляють, що вони побачать записи про переказ 0USDT у своєму списку переказів USDT, як показано нижче:
Коли ви бачите, що вашу адресу викликають для передачі 0 активів, ваша перша реакція — це думка, що ви ризикуєте отримати зловмисну авторизацію, тому ви відкриваєте інструмент виявлення дозволів або браузер, щоб перевірити свій запис авторизації.
У списку авторизації знайдено запит [Скасовано], щоб переглянути записи авторизації та скасування.
Вміст у записі про зміну авторизації порожній, і користувач зараз повністю заплутаний.
Не хвилюйтеся! Давайте відновимо це разом.
1. Відкрийте браузер TRON, знайдіть адресу контракту USDT і натисніть [Contract]--[Write Contract]--[transferFrom]
2. Заповніть тут адресу відправлення, адресу отримання та кількість відповідно, а потім натисніть [Надіслати], щоб завершити підпис за допомогою плагіна гаманця. Унизу ви побачите зелений [true], який вказує на те, що виконання було успішним. Якщо тут встановлено іншу кількість, буде запропоновано надісланий вміст, але оскільки інша сторона не має кількості, яку можна викликати, виконання не буде успішним. Спожитий тут TRX оплачується іншою стороною.
3. Після того, як виконання було успішним, ми продовжили перевірку інформації авторизації цієї адреси, і, звичайно, було додано ще один порожній запис.
На даний момент, я вважаю, що всі повинні мати повне розуміння причин цієї проблеми. Це показує, що будь-яка адреса може бути використана для виклику, але цей метод є марним Мета полягає в тому, щоб ви могли використовувати неправильну адресу для ініціювання помилкових переказів для отримання прибутку. Шахрайство з однаковою адресою останнього номера є додатковим методом шахрайства.
Цей вид виклику також застосовний до інших ланцюжків EVM, який був активним методом передачі, який може призвести до неправильних операцій. Шахраї дуже швидко оновлюють свої трюки, тож усім варто приділяти більше уваги заходам обережності.
Давайте пояснимо деякі питання, які всіх бентежать:
1. Чому називається мій актив.
Ця операція виконується безпосередньо через функцію TransferFrom USDT. Тут можна викликати будь-яку адресу та створити запис у гаманці та порожній запис у записі авторизації.
2. Якщо це станеться, чи мої активи все ще в безпеці?
Метою цієї операції є імітація запису передачі з адреси користувача в поєднанні з методом замаскованої адреси, щоб спонукати користувача неправильно обробляти передачу. Це не створює жодного ризику для ваших активів, але обов’язково зверніть на це увагу можлива неправильна робота.
3. Чому гаманець не діє.
Це новий метод допоміжного шахрайства, який використовує звичайні механізми для виконання операцій, тому на даний момент не було особливо оптимізовано гаманець, але TokenPocket оптимізує цю проблему в майбутньому.
