Безопасность

Предупреждение о безопасности Web3 – вредоносные одобрения

Начинающий

2025-06-03 | 5m

Что такое мошенничество с вредоносным одобрением?

Вредоносные одобрения – это одна из самых распространенных, опасных и разрушительных форм мошенничества в Web3, от которого страдает огромное количество пользователей.

В Web3 при взаимодействии со смарт-контрактом вас часто просят предоставить определенные разрешения путем подписания транзакции. В качестве примера можно привести:

● Одобрение DApp для доступа к вашим токенам (например, одобрение ERC-20)

● Предоставление контракту разрешения на перевод ваших NFT (setApprovalForAll)

● Выполнение ончейн-операций, которые кажутся безобидными, например вход в систему или верификация.

Мошеннические схемы с вредоносными разрешениями используют эти действия, заставляя вас предоставить разрешение вредоносному контракту на перевод ваших активов.

Основные характеристики

1. Пользователей обманом вынуждают предоставлять опасные разрешения

Мошенники маскируются под легальные DApp, аирдропы или NFT-проекты. Они заманивают вас, чтобы вы нажали кнопку «Одобрить», но на самом деле вы санкционируете такие действия, как [approve] (доступ к токенам) или [setApprovalForAll] (доступ к NFT) для вредоносного контракта.

2. Ваши активы исчезают без каких-либо переводов

Вы не инициировали перевод – просто нажали «Подтвердить». Но как только мошенник получает одобрение, он может в любой момент активировать ончейн-функции, чтобы опустошить ваш кошелек, не требуя от вас дополнительного одобрения или подписи.

3. Одобрения часто бывают без ограничений

Большинство мошеннических контрактов запрашивают одобрение на максимально возможную сумму (2^256 – 1), что дает им неограниченный и постоянный доступ к вашим активам.

4. Контракт не выполняет никаких других действий

Мошеннические контракты пассивны, они не крадут средства самостоятельно. Все зависит от того, насколько добровольно вы подпишете одобрение, что позволяет им обходить традиционные механизмы обнаружения и защиты.

5. Запросы на подпись, вводящие в заблуждение

Подсказки кошелька для одобрения часто бывают запутанными – либо слишком сложными, либо слишком упрощенными, что затрудняет анализ того, что вы подписываете. Большинство пользователей полагают, что это «просто авторизация», и нажимают «Подтвердить», не осознавая серьезного риска.

Распространенные сценарии

1. Фальшивые страницы для аирдропа или NFT

На странице может быть размещена реклама «аирдропы с ограничением по времени» или акций «бесплатный минтинг». Нажатие на кнопку вызывает запрос на одобрение ваших USDT (Approve) или NFT (SetApprovalForAll) – после одобрения мошенники могут вывести ваши активы в любое время.

2. Фальшивые DEX или своп-платформы

Вы подключаете свой Bitget Wallet к фальшивой DEX и пытаетесь обменять USDC на новый токен. Сайт не инициирует обмен – он просто предлагает вам «Одобрить USDC». После этого ваши средства будут похищены при помощи вредоносного контракта.

3. Фальшивый стейкинг/фарминг или игровые платформы

В приложении DeFi/GameFi вам предложат «внести токены в стейкинг» или «начать игру». Сайт запрашивает одобрение на токен/NFT. Вся платформа является прикрытием для вредоносных контрактов, которые опустошат ваши активы после авторизации.

4. Взломанные фронтенды легальных проектов

Хакеры взламывают сайты доверенных проектов или перехватывают записи DNS, внедряя вредоносные скрипты, чтобы подменить настоящий контракт на фишинговый. Пользователи думают, что взаимодействуют с легальным приложением, но на самом деле предоставляют доступ злоумышленникам.

5. Фальшивая служба поддержки или поддельные справочные материалы

Вы обращаетесь за помощью в сообществе, и вам присылает ссылку фальшивый «специалист поддержки» или «служба поддержки». Ссылка ведет на фальшивую страницу поддержки, где вас просят авторизовать контракт под предлогом «решения вашего вопроса», но на самом деле это ловушка.

Как это работает

Ключевой принцип вредоносных одобрений можно сформулировать в одном предложении:

Он использует незнание пользователей о том, как работают ончейн-разрешения. Введя вас в заблуждение, чтобы вы предоставили одобрение, мошенники получают контроль над вашими активами и похищают их без вашего ведома.

Технические принципы

Вот как обычно работает схема вредоносного одобрения:

1. Мошенник размещает вредоносный контракт (но не инициирует переводы напрямую).

2. Пользователя обманом заставляют нажать [approve] (для токенов) или [setApprovalForAll] (для NFT).

3. И вот одобрение получено, но активы остаются в кошельке – пока что.

4. Затем мошенники используют [transferFrom()] или аналогичные функции для перевода средств на свой кошелек.

5. Поскольку такая транзакция технически действительна (одобрена самим пользователем), кошельки и блокчейны ее не блокируют.

Меры безопасности Bitget Wallet

● Предупреждения о фишинговых сайтах: если вы посещаете подозрительный сайт, в Bitget Wallet появится предупреждение, чтобы вы не смогли неосознанно одобрить вредоносный контракт.

● Встроенная система обнаружения рисков по контрактам: Bitget Wallet включает инструмент, который сканирует существующие одобрения. Вы можете заблаговременно пересмотреть и отозвать разрешения с высоким риском или устаревшие разрешения для обеспечения безопасности ваших активов.

Лучшие способы защиты

Обращайте внимание на эти красные флажки, чтобы выявить потенциальные попытки вредоносного одобрения:

● DApp не имеет реальной функциональности – а только запрос на одобрение чего-либо.

● Оно запрашивает доступ к критическим активам (USDT, ETH, NFT).

● Одобрение не имеет ограничений (approve (uint256 max)).

● Во всплывающем окне подписи вашего кошелька отображается SetApprovalForAll: верно.

● Сайт выглядит непрофессионально или подражает хорошо известным проектам.

● Никогда не переходите по случайным ссылкам и не одобряйте ничего из личных сообщений в Telegram, ответов в Twitter или других непроверенных источников.

В заключение

Если вы не понимаете, что подписываете – не подписывайте. Если это не сделка, подумайте дважды перед нажатием.

Обычным пользователям следует проявлять крайнюю осторожность при одобрении разрешений для смарт-контрактов. Всегда придерживайтесь принципа безопасности: «одобрение = перевод средств». Тщательно проверяйте каждое разрешение на смарт-контракт перед подписанием.