Ice Phishing: A 'Csatlakozás' gomb, ami kiüríti a tárcádat
Összefoglaló: Az Ice Phishing nem a jelszavadat lopja el. Az „Engedélyedet” lopja el. Azzal, hogy rávesznek egy token jóváhagyás (Token Approval) aláírására, a csalók bármikor lecsapolhatják a vagyonodat. Ez a cikk elmagyarázza az 'Approve' funkciót és a Revoke.cash használatát.
1. A Koncepció: Jóváhagyás (Approve) vs Utalás (Transfer)
Az Ethereum/EVM-en az okosszerződések (mint a Uniswap) nem nyúlhatnak a tokenjeidhez, hacsak nem adsz rá engedélyt.
Kétféleképpen léphetsz kapcsolatba:
- Transfer: „Küldj 10 USDT-t Bobnak” (Egyszeri esemény).
- Approve: „Engedélyezem a Uniswapnak, hogy 1000 USDT-t elköltsön a tárcámból” (Állandó engedély).
A Kiskapu: A legtöbb dApp „Korlátlan Jóváhagyást” (Unlimited Approval) kér a kényelem érdekében, hogy ne kelljen minden kereskedéskor aláírnod. A csalók ezt használják ki.
2. A Támadás: "Biztonsági Frissítés"
Kapsz egy e-mailt, vagy látsz egy linket a Twitteren: "OpenSea Security Update: Verify your wallet to prevent asset loss."
Rákattintasz a linkre. Pontosan úgy néz ki, mint az OpenSea.
Megnyomod a „Verifikálás” (Verify) gombot.
A tárcád megjelenít egy tranzakciós kérelmet.
- Nem azt írja, hogy „Send ETH”.
- Azt írja: „SetApprovalForAll” vagy „Approve WETH”.
- A „Spender” (Költekező) címe a hacker szerződése.
A Csapda: Azt hiszed, bejelentkezel vagy igazolod a személyazonosságodat. Valójában egy jogi dokumentumot írsz alá, ami azt mondja: "Engedélyezem ennek a hackernek, hogy bármikor elmozgassa az összes NFT-met és WETH-emet."
Nem lopnak azonnal. Várnak, amíg többet fizetsz be, aztán egyszerre csapolnak le mindent.
3. Hogyan olvass tranzakciót?
Mielőtt megnyomnád a „Megerősítés” (Confirm) gombot, nézd meg a Data fület vagy a tranzakció szimulációját.
Piros Zászlók (Red Flags) 🚩
- Funkció: SetApprovalForAll (Ez 100%-os ellenőrzést ad az NFT gyűjteményed felett).
- Funkció: Approve (Egy hatalmas számmal mellette, pl. 1.1579e+59).
- Spender: Ismeretlen szerződés (Ellenőrizd az Etherscan-en - Hitelesített? A neve „Uniswap Router”?).
4. A Megoldás: Revoke.cash
Ha gyanítod, hogy valami rosszat hagytál jóvá:
- Menj a Revoke.cash oldalra.
- Csatlakoztasd a tárcádat (először csak olvasási módban).
- Keress „Korlátlan Engedélyeket” (Unlimited Allowances) furcsa szerződéseken.
- Vond vissza (Revoke) azonnal. Fizetned kell egy kis gas díjat, de ezzel elvágod a kapcsolatot a hackerrel.
További információk: Tudj meg többet arról, hogyan zárd be ezeket a "hátsó ajtókat" a Rejtett Hátsó Ajtó útmutatónk segítségével. Vigyázz az Address Poisoning átveréssel is, ahol rávesznek, hogy te magad küldd el a pénzt.
Következtetés
A seed phrase a széf kulcsa. A "Jóváhagyások" meghatalmazások. Nem adnál meghatalmazást a bankszámládhoz egy idegennek – tehát ne adj SetApprovalForAll-t egy véletlenszerű weboldalnak.
Készen Áll, hogy Munkába Állítsa a Tudását?
Kezdjen el kereskedni AI-alapú magabiztossággal még ma
KezdésKapcsolódó Cikkek
Ellátási Lánc Méreg (Supply Chain Poison): Amikor a megbízható frissítések kártevővé válnak
Nem töltöttél le semmi furcsát. Csak frissítetted a Ledger alkalmazást... És ekkor tűnt el a pénz. Az ellátási lánc elleni támadás borzalma.
A Papírpajzs (The Paper Shield): Hogyan mentsd el helyesen a Seed Phrase-t
A képernyőmentések katasztrofálisak. A felhő valaki más számítógépe. A privát kulcsok tárolásának egyetlen biztonságos módja az 'Acél' és a 'Papír'.
The Long Con: A 'Pig Butchering' pszichológiája
Nem küldött véletlenül üzenetet rossz számra. És nem szerelmes beléd. Mélyrepülés a 'Sha Zhu Pan'-ba, a legkegyetlenebb kripto csalásba, és a forgatókönyv felismerése.