Безопасность

Предупреждение о безопасности Web3 — распространенные способы кражи активов

Начинающий

2025-06-03 | 5m

Обзор

● Распространенные ситуации, которые могут привести к потере активов

● Меры Bitget по защите средств пользователей

Web3 открывает двери к финансовой свободе и революционным инновациям, но при этом создает новые риски для безопасности. В этой статье мы рассмотрим наиболее распространенные случаи, в которых пользователи становятся жертвами кражи активов, начиная с утечки приватных ключей и вредоносного подтверждения подписей и заканчивая мошенничеством с переводами и другими атаками. Мы приведем реальные примеры из практики и предоставим обзор предпринимаемых Bitget мер, чтобы вы могли вооружиться знаниями, необходимыми для эффективной защиты цифровых активов в экосистеме блокчейна.

Утечка сид-фразы или приватного ключа

Кража с помощью фейковых кошельков

Злоумышленники часто выдают себя за официальных членов команды или администраторов на таких платформах, как Telegram и Discord. Они рассылают фишинговые письма или отправляют ссылки на скачивание поддельных кошельков, часто замаскированные под обновления безопасности от таких надежных компаний, как MetaMask или Trust Wallet. Некоторые даже размещают рекламу в поисковых системах, чтобы перенаправлять пользователей на фишинговые сайты. Как только жертвы устанавливают эти поддельные приложения и вводят свои сид-фразы или приватные ключи, информация немедленно отправляется на серверы злоумышленников.

Кража информации из буфера обмена с помощью вредоносного ПО

Такие вредоносные приложения часто выглядят как безобидные инструменты, например сканеры QR-кодов, файловые менеджеры, взломанные игры, трекеры цен на криптовалюту или программы для проверки аирдропов. После установки приложения запрашивают доступ к буферу обмена и постоянно следят за его содержимым. Если пользователь копирует конфиденциальные данные, такие как сид-фразы или приватные ключи (обычно при резервном копировании или передаче), эти приложения мгновенно перехватывают информацию и отправляют ее на серверы злоумышленников.

Мошенничество с подписями и авторизацией

eth_sign

eth_sign — это базовый метод подписи в Ethereum, который позволяет подписывать произвольные данные. Проблема в том, что пользователи видят только нечитаемую строку шестнадцатеричного кода, поэтому часто не имеют представления о том, что именно они подписывают. Злоумышленники заставляют пользователей подписывать вредоносные разрешения, иногда даже предоставляя полный доступ к своим активам.

Фишинг с подписью Permit2

Permit2, протокол одобрения токенов, разработанный компанией Uniswap Labs, безопасен по своей конструкции, но используется в фишинговых атаках. Злоумышленники обманом заставляют пользователей подписывать авторизации Permit2 под видом верификации кошелька или для получения аирдропа. После подписания злоумышленник может переводить токены пользователя без дополнительных разрешений.

Мошенничество с авторизацией токенов

Некоторые вредоносные сайты просят пользователей предоставить смарт-контракту неограниченные полномочия в отношении ценных токенов, что позволяет манипулировать их запасами. Такие сайты часто выдают себя за легитимные платформы в сфере DeFi или NFT и требуют авторизации пользователя. Злоумышленники создают срочность с помощью поддельных предложений с ограниченным сроком действия или рекламных акций, чтобы снизить уровень защиты пользователей. После авторизации они могут вывести токены жертвы без дополнительного подтверждения.

Мошенничество с авторизацией NFT

Некоторые вредоносные сайты предлагают пользователям предоставить права setApprovalForAll на свои NFT. В случае одобрения злоумышленник получает полный контроль над коллекцией NFT пользователя и может в любой момент перевести активы без дополнительных действий.

Мошенничества с переводом

Перехват адресов кошельков в приложениях для обмена сообщениями

Некоторые злоумышленники распространяют поддельные версии мессенджеров, таких как Telegram, через неофициальные источники. Они содержат вредоносный код, который отслеживает чаты и подменяет все адреса криптовалютных кошельков. Когда пользователи копируют адрес кошелька из чата, чтобы отправить средства, они могут неосознанно отправить их на кошелек злоумышленника. В 2023 году более 500 пользователей потеряли около $8 млн в криптовалюте, переведя средства через взломанную версию Telegram.

Фишинг пустых переводов

Злоумышленники используют поведение функции USDT transferFrom, которое позволяет переводить нулевую стоимость без необходимости в одобрении отправителя. Это позволяет инициировать операции TransferFrom для активных аккаунтов и просматривать историю транзакций. Поскольку некоторые пользователи часто копируют адреса кошельков из своей истории транзакций, они могут случайно повторить адрес злоумышленника и отправить средства не туда. По данным SlowMist, только в первой половине 2022 года таким способом было похищено более $20 млн.

Меры безопасности Bitget

Большинство активов хранится в холодных кошельках

На Bitget большинство цифровых активов хранится в офлайновых холодных

кошельках с мультиподписями. Такой осторожный подход к хранению кошельков, отключенных от интернета, значительно снижает риск кибератак.

Фонд защиты

У Bitget есть фонд защиты в размере $700 млн. Если ваш аккаунт Bitget взломан, средства украдены или потеряны (за исключением потерь, связанных с личными действиями или транзакциями), вы можете подать заявление на возмещение ущерба через Фонд защиты Bitget.

Официальный канал для проверки

Чтобы помочь пользователям избежать фишинга и мошенничества, Bitget предлагает официальный канал для проверки. С его помощью вы можете проверить, что принадлежит ли Bitget электронная почта, веб-страница или аккаунт в социальных сетях.

Образование в области безопасности

Bitget регулярно делится образовательным контентом, чтобы повышать осведомленность и помогать пользователям совершенствовать свои знания и подходы в сфере безопасности.

Лучшие способы защиты для пользователей

Защищайте свои сид-фразы и приватные ключи

● Никогда не загружайте сид-фразу и приватный ключ в облачное хранилище без шифрования.

● Избегайте полного копирования сид-фразы и приватного ключа в буфер обмена, так как вредоносные программы могут их перехватить.

● Скачивайте приложения для кошелька только из официальных источников и всегда проверяйте издателя и подпись ПО.

Управление подписями и авторизацией

● Никогда не подписывайте то, что вы не понимаете до конца, и всегда внимательно изучайте содержание документа перед тем, как его подписать.

● Установите минимально необходимый лимит авторизации для незнакомых проектов, вместо того чтобы предоставлять неограниченный доступ.

● Используйте инструменты управления авторизацией (например, Revoke.cash), чтобы регулярно проверять и отзывать ненужные авторизации.

Безопасные способы перевода

● Перед выполнением крупных или важных переводов всегда пробуйте сначала перевести небольшую сумму.

● Сохраняйте часто используемые адреса кошельков в адресной книге.

В заключение

Защита цифровых активов требует совместных усилий. Биржи, подобные Bitget, создают комплексные системы безопасности, но пользователи также должны оставаться бдительными и информированными. Традиционным финансам потребовались столетия, чтобы разработать надежные методы. Web3 все еще развивается. Каждый инцидент, связанный с безопасностью, преподносит ценные уроки. Bitget продолжает инвестировать в безопасность платформы и расширять образовательный контент, чтобы помогать пользователям защищаться. Мы считаем, что платформа и пользователи должны работать вместе, чтобы создать действительно безопасную и надежную экосистему Web3, где инновации в области блокчейна могут процветать, сводя риски к минимуму.