Web3 xavfsizlik ogohlantirishi - Zararli tasdiqlar

Zararli tasdiqlash firibgarligi nima?

Zararli tasdiqlar Web3-dagi eng keng tarqalgan, xavfli va zararli firibgarliklardan biri bo'lib, son-sanoqsiz foydalanuvchilarga ta'sir qiladi.

Web3-da har safar aqlli shartnoma bilan o'zaro aloqada bo'lganingizda, sizdan tez-tez tranzaksiyani imzolash orqali ma'lum ruxsatlarni berish so'raladi. Bunga misollar:

● Tokenlaringizga kirish uchun DAppni ma'qullash (masalan, ERC-20 tasdiqlash)

● NFTlarni uzatish uchun shartnoma ruxsatini berish (setApprovalForAll)

● Kirish yoki tekshirish kabi zararsiz ko'rinadigan on-chain amallarni bajarish.

Yomon niyatli tasdiqlash firibgarlari ushbu harakatlardan foydalanib, sizni aldab, aktivlaringizni o'tkazish uchun zararli shartnomaga ruxsat beradi.

Asosiy xususiyatlar

1. Foydalanuvchilarni xavfli ruxsatnomalar berishda aldash

Firibgarlar o'zlarini qonuniy DApplar, airdroplar yoki NFT loyihalari sifatida yashiradilar. Ular sizni “Tasdiqlash” tugmasini bosishga undaydi, lekin aslida siz zararli shartnoma uchun [tasdiqlash] (tokenga kirish) yoki [setApprovalForAll] (NFT kirish) kabi harakatlarga ruxsat berasiz.

2. Sizning aktivlaringiz o'tkazilmasdan quritiladi

Siz uzatishni boshlamadingiz — shunchaki “Tasdiqlash” tugmasini bosing. Ammo firibgar ma'qullagandan so'ng, ular istalgan vaqtda sizning qo'shimcha tasdiqlashingiz yoki imzoingizga muhtoj bo'lmasdan hamyoningizni quritish uchun zanjirdagi funksiyalarga qo'ng'iroq qilishlari mumkin.

3. Tasdiqlashlar ko'pincha cheksizdir

Aksariyat firibgarlik shartnomalari maksimal mumkin bo'lgan qiymatni (2^256 - 1) tasdiqlashni so'raydi, bu ularga aktivlaringizga cheklovsiz va doimiy kirish imkonini beradi.

4. Shartnoma boshqa hech narsa qilmaydi

Firibgarlik shartnomalari passivdir, ular o'zlari mablag'larni faol o'g'irlamaydilar. Hammasi sizning rozilikni bajonidil imzolashingizga bog'liq, bu ularga firibgarlikni an'anaviy aniqlash va ogohlantirishlarni chetlab o'tishga yordam beradi.

5. Noto'g'ri imzo so'rovlari

Hamyonni tasdiqlash bo'yicha ko'rsatmalar ko'pincha chalkash bo'ladi – yoki haddan tashqari murakkab yoki o'ta soddalashtirilgan – imzolagan narsangizni tahlil qilishni qiyinlashtiradi. Aksariyat foydalanuvchilar buni "shunchaki avtorizatsiya" deb o'ylashadi va jiddiy xavf borligini tushunmasdan "Tasdiqlash" tugmasini bosing.

Umumiy senariylar

1. Soxta airdrop yoki NFT zarb qilish sahifalari

Sahifada "cheklangan vaqtli airdroplar" yoki "bepul zarb qilish" aksiyalari e'lon qilinishi mumkin. Tugmani bosish USDT (Tasdiqlash) yoki NFT (SetApprovalForAll) uchun tasdiqlash so'rovini ishga tushiradi — tasdiqlanganidan keyin firibgarlar istalgan vaqtda aktivlaringizni yechib olishi mumkin.

2. Soxta DEX yoki svop platformalari

Bitget hamyoningizni soxta DEX-ga ulaysiz va USDC-ni yangi tokenga almashtirishga harakat qilasiz. Sayt aslida almashtirishni boshlamaydi - bu sizni "USDC ni tasdiqlash" ga olib keladi. Amalga oshirilgandan so'ng, sizning mablag'ingiz zararli shartnoma yordamida o'g'irlanadi.

3. Soxta steyking/farming yoki o'yin platformalari

Sizdan DeFi/GameFi ilovasida “tokenlar steyking qilish” yoki “o'ynashni boshlash” taklif qilinadi. Sayt token/NFT ma'qullanishini so'raydi. Butun platforma ruxsat berilgandan so'ng aktivlaringizni yo'qotadigan zararli shartnomalar uchun jabhadir.

4. Qonuniy loyihalarning buzilgan frontendlari

Xakerlar ishonchli loyiha saytlarini buzadi yoki DNS yozuvlarini o'g'irlaydi, haqiqiy shartnomani fishing bilan almashtirish uchun zararli skriptlarni kiritadi. Foydalanuvchilar ular qonuniy ilova bilan ishlayapti deb o'ylashadi — lekin siz aslida tajovuzkorlarga ruxsat berasiz.

5. Soxta mijozlarni qo'llab-quvvatlash yoki yordam hujjatlari

Siz jamiyatdan yordam so'raysiz va soxta "qo'llab-quvvatlash agenti" yoki "mijozlarga xizmat ko'rsatish" havolasini yuboradi. Havola soxta qo'llab-quvvatlash sahifasiga olib keladi va sizdan “muammolaringizni hal qilish” niqobi ostida shartnomaga ruxsat berishingizni so'raydi — lekin bu aslida tuzoq.

U qanday ishlaydi

Zararli tasdiqlashning asosiy tamoyilini bir jumla bilan umumlashtirish mumkin:

U foydalanuvchining tarmoqdagi ruxsatlar qanday ishlashini bilmasligidan foydalanadi. Tasdiqlashda sizni chalg'itib, firibgarlar sizning aktivlaringiz ustidan nazoratni qo'lga kiritishadi va ularni sizdan bexabar o'g'irlashadi.

Texnik tamoyillar

Zararli tasdiqlash sxemasi odatda qanday ishlaydi:

1. Firibgar zararli shartnoma tuzadi (lekin o'tkazmalarni bevosita boshlamaydi).

2. Foydalanuvchi aldanib, [approve] (tokenlar uchun) yoki [setApprovalForAll] (NFTlar uchun) chaqiradi.

3. Tasdiqlash berilgan, ammo aktivlar hamyonda qoladi — hozircha.

4. So'ngra firibgarlar pul mablag'larini o'z hamyoniga o'tkazish uchun [transferFrom()] yoki shunga o'xshash funksiyalardan foydalanadilar.

5. Tranzaksiya texnik jihatdan haqiqiy (foydalanuvchi tomonidan tasdiqlangan) bo'lgani uchun hamyonlar va blokcheynlar uni bloklamaydi.

Bitget Wallet xavfsizlik choralari

● Fishing veb-saytlari haqida ogohlantirishlar: Agar siz shubhali saytga kirsangiz, Bitget Wallet sizni bilmagan holda zararli shartnomani tasdiqlashingizga yo'l qo'ymaslik uchun ogohlantirish ko'rsatadi.

● O'rnatilgan shartnoma xavfini aniqlash: Bitget Wallet sizning mavjud tasdiqlaringizni skanerlaydigan vositani o'z ichiga oladi. Siz aktivlaringizni xavfsiz saqlash uchun yuqori xavfli yoki eskirgan ruxsatlarni faol ravishda ko'rib chiqishingiz va bekor qilishingiz mumkin.

O'zingizni himoya qilish uchun eng yaxshi amaliyotlar

Potentsial zararli tasdiqlash urinishlarini aniqlash uchun quyidagi qizil bayroqlarga e'tibor bering:

● DApp haqiqiy funksiyaga ega emas — shunchaki biror narsani tasdiqlashingizni so'ragan taklif

● U muhim aktivlarga (USDT, ETH, NFTlar) kirishni so'raydi.

● Tasdiqlashda cheklov yo'q (tasdiqlash (uint256 maks.))

● Hamyoningiz imzo qalqib chiquvchi oynasida ko'rsatiladi SetApprovalForAll: rost.

● Veb-sayt noprofessional ko'rinadi yoki taniqli loyihani taqlid qiladi

● Hech qachon tasodifiy havolalarni bosmang yoki Telegram xabarlari, Twitter javoblari yoki boshqa tasdiqlanmagan manbalardan biror narsani tasdiqlamang

Yakuniy fikrlar

Agar siz buni tushunmasangiz, imzo qo'ymang. Agar bu savdo bo'lmasa, bosishdan oldin ikki marta o'ylab ko'ring.

Kundalik foydalanuvchilar uchun aqlli shartnoma ruxsatlarini tasdiqlash juda ehtiyotkorlik bilan amalga oshirilishi kerak. Har doim xavfsizlik haqida birinchi fikrni qabul qiling: "tasdiqlash = pullarni o'tkazish". Imzolashdan oldin har bir shartnoma ruxsatnomasini ko'rib chiqing va ikki marta tekshiring.

Tegishli maqolalar:

Web3 xavfsizlik ogohlantirishi - SMS Spoofing

Web3 xavfsizlik ogohlantirishi - Payzero

Web3 xavfsizlik ogohlantirishi - Yuqori xavfli tokenlar

Web3 xavfsizlik ogohlantirishi - Soxta ilovalar

Web3 xavfsizlik ogohlantirishi - Zararli tasdiqlar