Jääpüük: 'Connect' nupp, mis tühjendab su rahakoti
Kokkuvõte: Jääpüük (Ice Phishing) ei varasta sinu parooli. See varastab sinu "Loa". Pettes sind allkirjastama loa tokenite jaoks (Token Approval), saavad petturid tühjendada sinu varad igal ajal. See artikkel selgitab 'Approve' funktsiooni ja Revoke.cash kasutamist.
1. Kontseptsioon: Heakskiit (Approve) vs Ülekanne (Transfer)
Ethereumi/EVM-i puhul ei saa nutilepingud (nagu Uniswap) puudutada sinu tokeneid, kui sa ei anna neile luba.
Suhtlemiseks on kaks viisi:
- Transfer: "Saada 10 USDT Bobule" (Ühekordne sündmus).
- Approve: "Luba Uniswapil kulutada 1000 USDT minu rahakotist" (Püsiv luba).
Lünk: Enamik dApp-e nõuab mugavuse huvides "Piiramatut Heakskiitu" (Unlimited Approval), et sa ei peaks iga tehingu puhul allkirjastama. Petturid kasutavad seda ära.
2. Rünnak: "Turvauuendus"
Saad e-kirja või näed Twitteris linki: "OpenSea Security Update: Verify your wallet to prevent asset loss."
Klõpsad lingil. See näeb välja täpselt nagu OpenSea.
Vajutad nuppu "Kinnita" (Verify).
Sinu rahakott kuvab tehingu taotluse.
- Seal ei ole kirjas "Send ETH".
- Seal on kirjas: "SetApprovalForAll" või "Approve WETH".
- "Kulutaja" (Spender) aadress on häkkeri leping.
Lõks: Arvad, et logid sisse või kinnitad isikut. Tegelikult allkirjastad juriidilise dokumendi, mis ütleb: "Luban sellel häkkeril liigutada kõiki minu NFT-sid ja WETH-i igal ajal."
Nad ei varasta kohe. Nad ootavad, kuni deponeerid rohkem, ja tühjendavad siis kõik korraga.
3. Kuidas lugeda tehingut?
Enne kui vajutad nuppu "Kinnita" (Confirm), vaata vahekaarti Data või tehingu simulatsiooni.
Punased Lipud (Red Flags) 🚩
- Funktsioon: SetApprovalForAll (See annab 100% kontrolli sinu NFT kollektsiooni üle).
- Funktsioon: Approve (Koos tohutu numbriga selle kõrval, nt 1.1579e+59).
- Kulutaja (Spender): Tundmatu leping (Kontrolli Etherscanis - Kas see on verifitseeritud? Kas selle nimi on "Uniswap Router"?).
4. Lahendus: Revoke.cash
Kui kahtlustad, et oled heaks kiitnud midagi halba:
- Mine aadressile Revoke.cash.
- Ühenda oma rahakott (alguses ainult lugemisrežiimis).
- Otsi kummalistelt lepingutelt "Piiramatuid Lubasid" (Unlimited Allowances).
- Tühista (Revoke) kohe. Pead maksma väikese gaasitasu, kuid see katkestab ühenduse häkkeriga.
Lisainfo: Õpi, kuidas neid "tagauksi" sulgeda meie Peidetud Tagaukse juhendis. Hoidu Aadressimürgituse pettusest, kus sind petetakse raha ise saatma.
Järeldus
Sinu seemnefraas on seifi võti. "Heakskiidud" on volikirjad. Sa ei annaks võõrale pangakonto volikirja – seega ära anna SetApprovalForAll suvalisele veebilehele.
Kas oled valmis oma teadmisi tööle panema?
Alusta kauplemist AI-toega enesekindlusega juba täna
AlustaSeotud artiklid
Tarneahela Mürk (Supply Chain Poison): Kui usaldusväärsed uuendused muutuvad pahatahtlikuks
Sa ei laadinud alla midagi imelikku. Uuendasid lihtsalt Ledgeri rakendust... Ja siis kadus raha. Tarneahela rünnaku õudus.
Paberkilp (The Paper Shield): Kuidas õigesti Seemnefraasi varundada
Ekraanipildid on hukatuslikud. Pilv on kellegi teise arvuti. Ainus turvaline viis privaatvõtmete säilitamiseks on 'Teras' ja 'Paber'.
Pikk Pettus (The Long Con): 'Pig Butchering' psühholoogia
Ta ei saatnud sõnumit valele numbrile. Ja ta ei ole sinusse armunud. Sügav sukeldumine 'Sha Zhu Pan'i', kõige julmemasse krüptopettusesse ja kuidas stsenaariumi ära tunda.