Попередження про безпеку Web3 – шкідливі схвалення

Що таке шахрайство зі шкідливим схваленням?

Шкідливі схвалення – це одна з найпоширеніших, найнебезпечніших і найруйнівніших форм шахрайства в Web3, від якої страждає величезна кількість користувачів.

У Web3 при взаємодії зі смартконтрактом вас часто просять надати певні дозволи шляхом підписання транзакції. Приклади:

● Схвалення DApp для доступу до ваших токенів (наприклад, схвалення ERC-20)

● Надання контракту дозволу на переказу ваших NFT (setApprovalForAll)

● Виконання ончейн-операцій, які здаються нешкідливими, наприклад вхід в систему або верифікація.

Шахрайські схеми зі шкідливими дозволами використовують ці дії, змушуючи вас надати дозвіл шкідливому контракту на переказ ваших активів.

Ключові особливості

1. Користувачів обманом змушують надавати небезпечні дозволи

Шахраї маскуються під легальні DApp, аірдропи або NFT-проєкти. Під виглядом невинної кнопки [Схвалити] ви фактично дозволяєте шкідливому контракту отримати доступ до ваших токенів ([approve]) або NFT ([setApprovalForAll]).

2. Ваші активи зникають без будь-яких переказів

Ви не ініціювали переказ – просто натиснули [Підтвердити]. Щойно шахрай отримує схвалення, він може в будь-який момент активувати функції в блокчейні, щоб спустошити ваш гаманець — без додаткового підтвердження чи підпису з вашого боку.

3. Схвалення часто бувають без обмежень

Більшість шахрайських контрактів вимагають схвалення на максимально можливу суму (2^256 – 1), що дає їм необмежений і постійний доступ до ваших активів.

4. Контракт не виконує жодних інших дій

Шахрайські контракти пасивні, вони не крадуть кошти самостійно. Все залежить від того, наскільки добровільно ви підпишете згоду, що дозволяє їм обходити традиційні механізми виявлення та захисту.

5. Запити на підпис, що вводять в оману

Підказки гаманця для схвалення часто бувають заплутаними – або занадто складними, або занадто спрощеними, що ускладнює аналіз того, що ви підписуєте. Більшість користувачів вважають, що це «просто авторизація», і натискають [Підтвердити], не усвідомлюючи серйозного ризику.

Типові сценарії

1. Фальшиві сторінки для аірдропу або NFT

На сторінці може бути розміщена реклама «обмежених за часом аірдропів» або промоакцій «безплатний мінтинг». Натискання кнопки викликає запит на схвалення доступу до ваших USDT (Approve) або NFT (SetApprovalForAll). Після надання дозволу шахраї можуть у будь-який момент вивести ваші активи без додаткових підтверджень.

2. Фальшиві DEX або своп-платформи

Ви підʼєднуєте свій Bitget Wallet до фальшивого DEX і намагаєтеся обміняти USDC на новий токен. Вебсайт не ініціює обмін – він просто пропонує вам [Схвалити USDC]. Після цього ваші кошти будуть викрадені за допомогою шкідливого контракту.

3. Фальшивий стейкінг/фармінг або ігрові платформи

У застосунку DeFi/GameFi вам запропонують «внести токени в стейкінг» або «почати гру». Вебсайт запитує схвалення на токен/NFT. Вся платформа є прикриттям для шкідливих контрактів, які спустошать ваші активи після авторизації.

4. Зламані фронтенди легальних проєктів

Хакери зламують вебсайти довірених проєктів або перехоплюють DNS-записи, впроваджуючи шкідливі скрипти, щоб замінити справжній контракт на фішинговий. Користувачі думають, що взаємодіють з легальним застосунком, але насправді надають доступ зловмисникам.

5. Фальшива служба підтримки або підроблені довідкові матеріали

Ви звертаєтеся за допомогою до спільноти, і вам надсилає посилання фальшивий «фахівець підтримки» або «служба підтримки». Посилання веде на фальшиву сторінку підтримки, де вас просять авторизувати контракт нібито для «розвʼязання вашого питання», але насправді це шахрайська пастка.

Суть промоакції

Ключовий принцип шкідливих схвалень можна сформулювати в одному реченні:

Він використовує незнання користувачів про те, як працюють ончейн-дозволи. Ввівши вас в оману, щоб ви надали схвалення, шахраї отримують контроль над вашими активами й викрадають їх без вашого відома.

Технічні принципи

Ось як зазвичай працює схема шкідливого схвалення:

1. Шахрай розміщує шкідливий контракт (але не ініціює перекази безпосередньо).

2. Користувача обманом змушують натиснути [approve] (для токенів) або [setApprovalForAll] (для NFT).

3. І ось схвалення отримано, але активи залишаються в гаманці – поки що.

4. Потім шахраї використовують [transferFrom()] або аналогічні функції для переказу коштів на свій гаманець.

5. Оскільки така транзакція технічно дійсна (схвалена самим користувачем), гаманці та блокчейни її не блокують.

Заходи безпеки Bitget Wallet

● Попередження про фішингові вебсайти: якщо ви відвідуєте підозрілий вебсайт, у Bitget Wallet з'явиться попередження, щоб ви не змогли несвідомо схвалити шкідливий контракт.

● Вбудована система виявлення ризиків за контрактами: Bitget Wallet містить інструмент, який сканує наявні схвалення. Ви можете заздалегідь переглянути та відкликати дозволи з високим ризиком або застарілі дозволи для гарантування безпеки ваших активів.

Найкращі способи захисту

Звертайте увагу на ці червоні прапорці, щоб виявити потенційні спроби шкідливого схвалення:

● DApp не має реальної функціональності – а лише запит на схвалення чого-небудь.

● Воно запитує доступ до критичних активів (USDT, ETH, NFT).

● Схвалення не має обмежень (approve (uint256 max)).

● У спливному вікні підпису вашого гаманця відображається SetApprovalForAll: правильно.

● Вебсайт виглядає непрофесійно або копіює відомі проєкти.

● Ніколи не переходьте за випадковими посиланнями і не схвалюйте нічого з особистих повідомлень у Telegram, відповідей у Twitter або інших неперевірених джерел.

Висновки

Якщо ви не розумієте, що підписуєте – не підписуйте. Якщо це не угода, подумайте двічі перед тим, як натиснути.

Звичайним користувачам слід проявляти крайню обережність при схваленні дозволів для смартконтрактів. Завжди дотримуйтесь принципу безпеки: «схвалення = переказ коштів». Ретельно перевіряйте кожен дозвіл на смартконтракт перед підписанням.

Повʼязані статті:

Безпека у Web3 – SMS-спуфінг

Сповіщення безпеки Web3 – Payzero

Безпека у Web3 – токени високого ризику

Безпека у Web3 – фейкові застосунки

Безпека у Web3 – зловмисні схвалення