Один инвестор, обладающий значительным количеством криптоактивов, недавно пережил шокирующую потерю активов. Его 8430000 USDT не были украдены, а исчезли из-за одной, казалось бы, безобидной операции. Этот инвестор всегда считал свои активы абсолютно безопасными, так как он использовал холодный кошелек Ledger и строго соблюдал все рекомендации по безопасности: закрытый ключ никогда не подключался к сети, мнемоническая фраза хранилась только в бумажном виде, никогда не делал скриншоты или не делился ими.
Однако, как показало дело, даже самые осторожные пользователи могут попасть в тщательно спланированную ловушку. Анализируя записи операций в блокчейне, правда всплыла на поверхность: проблема заключалась в одном, казалось бы, безобидном авторизационном действии.
Чтобы упростить просмотр активов, этот инвестор установил браузерный плагин-кошелек, поддерживающий синхронизацию с холодным кошельком. Интерфейс плагина простой и позволяет отображать токены и цены, и он был рекомендован многими сообществами. Инвестор считает, что просто "просматривая" активы, он не рискует. Но он не знает, что в процессе подключения плагина он на самом деле подписал стандартный контракт "SetApprovalForAll", передав все права на перевод активов смарт-контракту, развернутому хакером.
Эта авторизация похожа на подпись пустого чека. Через три дня, когда холодный кошелек получил 8430000 USDT, хакер сразу же вызвал контракт и единовременно вывел весь баланс. На протяжении всего процесса пользовательский телефон не получил никаких уведомлений, а запись в кошельке показала только одно "событие вызова".
Этот случай выявляет ключевую проблему: многие пользователи чрезмерно доверяют "абсолютной безопасности" холодных кошельков. Однако хакерам не нужно применять насильственное вторжение, им достаточно воспользоваться доверием пользователей, постепенно ведя жертв в ловушку через на вид безопасные шаги.
В настоящее время часть украденных активов была заморожена на бирже. Этот инцидент вновь напоминает нам о том, что в мире криптоактивов, даже при использовании самых безопасных инструментов, необходимо сохранять высокую бдительность, особенно в отношении любых операций, требующих авторизации.
Для держателей криптоактивов этот урок имеет глубокий смысл: не следует слепо доверять любым сторонним приложениям, даже если они выглядят очень надежными. При выполнении любых операций авторизации необходимо внимательно читать и понимать содержание контракта. Кроме того, регулярная проверка и отмена ненужных авторизаций также являются важными шагами по защите активов.
С развитием экосистемы криптоактивов становится все более важным повышение образовательного уровня пользователей и осведомленности о безопасности. Только найдя баланс между технической безопасностью и осторожностью пользователей, можно действительно обеспечить безопасность цифровых активов.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
3
Поделиться
комментарий
0/400
EthMaximalist
· 07-31 12:51
Эй, разве это не налог на IQ?
Посмотреть ОригиналОтветить0
EntryPositionAnalyst
· 07-31 12:50
Вот в чем жадность, разве нельзя обойтись без такого сложного плагина?
Один инвестор, обладающий значительным количеством криптоактивов, недавно пережил шокирующую потерю активов. Его 8430000 USDT не были украдены, а исчезли из-за одной, казалось бы, безобидной операции. Этот инвестор всегда считал свои активы абсолютно безопасными, так как он использовал холодный кошелек Ledger и строго соблюдал все рекомендации по безопасности: закрытый ключ никогда не подключался к сети, мнемоническая фраза хранилась только в бумажном виде, никогда не делал скриншоты или не делился ими.
Однако, как показало дело, даже самые осторожные пользователи могут попасть в тщательно спланированную ловушку. Анализируя записи операций в блокчейне, правда всплыла на поверхность: проблема заключалась в одном, казалось бы, безобидном авторизационном действии.
Чтобы упростить просмотр активов, этот инвестор установил браузерный плагин-кошелек, поддерживающий синхронизацию с холодным кошельком. Интерфейс плагина простой и позволяет отображать токены и цены, и он был рекомендован многими сообществами. Инвестор считает, что просто "просматривая" активы, он не рискует. Но он не знает, что в процессе подключения плагина он на самом деле подписал стандартный контракт "SetApprovalForAll", передав все права на перевод активов смарт-контракту, развернутому хакером.
Эта авторизация похожа на подпись пустого чека. Через три дня, когда холодный кошелек получил 8430000 USDT, хакер сразу же вызвал контракт и единовременно вывел весь баланс. На протяжении всего процесса пользовательский телефон не получил никаких уведомлений, а запись в кошельке показала только одно "событие вызова".
Этот случай выявляет ключевую проблему: многие пользователи чрезмерно доверяют "абсолютной безопасности" холодных кошельков. Однако хакерам не нужно применять насильственное вторжение, им достаточно воспользоваться доверием пользователей, постепенно ведя жертв в ловушку через на вид безопасные шаги.
В настоящее время часть украденных активов была заморожена на бирже. Этот инцидент вновь напоминает нам о том, что в мире криптоактивов, даже при использовании самых безопасных инструментов, необходимо сохранять высокую бдительность, особенно в отношении любых операций, требующих авторизации.
Для держателей криптоактивов этот урок имеет глубокий смысл: не следует слепо доверять любым сторонним приложениям, даже если они выглядят очень надежными. При выполнении любых операций авторизации необходимо внимательно читать и понимать содержание контракта. Кроме того, регулярная проверка и отмена ненужных авторизаций также являются важными шагами по защите активов.
С развитием экосистемы криптоактивов становится все более важным повышение образовательного уровня пользователей и осведомленности о безопасности. Только найдя баланс между технической безопасностью и осторожностью пользователей, можно действительно обеспечить безопасность цифровых активов.