Как мы это проверили
Мы изучили связанные источники и обновляем страницу, если запись меняется. Используйте список источников ниже для проверки деталей.
Key points
В сложном мире криптовалют, где децентрализация и контроль пользователя имеют первостепенное значение, крайне важно понимать механику работы ваших цифровых активов. Одним из таких механизмов, часто упускаемым из виду многими пользователями, является «подтверждение токенов». Хотя это необходимо для функциональности децентрализованных приложений (dApps), подтверждения токенов также могут быть значительным вектором для изощренных мошенничеств и непреднамеренной потери активов. Эта колонка углубляется в природу подтверждений токенов, риски, которые они влекут за собой, и действенные шаги, которые вы можете предпринять для защиты своей криптовалюты.
Почему эта схема важна
Привлекательность DeFi, NFT и различных dApps часто сопряжена с требованием предоставить этим приложениям разрешение на взаимодействие с вашими цифровыми активами. Именно здесь вступают в игру подтверждения токенов, или «разрешения». Это функции смарт-контрактов, которые позволяют определенному адресу (часто контракту dApp) тратить определенное количество ваших токенов из вашего кошелька. Хотя они предназначены для законных случаев использования, таких как обмен токенов на децентрализованной бирже (DEX) или участие в пулах ликвидности, злоумышленники разработали способы использования этих разрешений, что приводит к значительным финансовым потерям. Понимание этой схемы жизненно важно для любого, кто взаимодействует с более широкой криптоэкосистемой, помимо простого хранения.
Что показывают источники
Регулирующие органы и исследователи безопасности все чаще подчеркивают опасности, связанные с неконтролируемыми подтверждениями токенов. Комиссия по ценным бумагам и биржам США (SEC), например, принимала меры по обеспечению соблюдения законодательства, связанные с уязвимостями смарт-контрактов и несанкционированным доступом к активам, которые могут возникать из-за плохо управляемых подтверждений. Платформы безопасности, такие как Revoke.cash, предназначенные для помощи пользователям в управлении их разрешениями на токены, опубликовали обширные руководства, объясняющие, как работают эти подтверждения и связанные с ними риски. Alexandria от CoinMarketCap также предоставляет образовательный контент о подтверждениях токенов, подчеркивая их двойственную природу как функциональной необходимости, так и потенциальной уязвимости безопасности. Эти источники в совокупности подчеркивают, что, хотя подтверждения токенов являются фундаментальной частью многих взаимодействий с блокчейном, они требуют тщательного надзора со стороны пользователя.
Как обычно работает риск
Суть риска подтверждения токенов заключается в «бесконечном подтверждении» или чрезмерно щедрых разрешениях. При взаимодействии с dApp вам может быть предложено одобрить его смарт-контракт для траты ваших токенов. Иногда это одобрение устанавливается на неограниченную сумму, что означает, что контракт dApp может вывести любую сумму этого конкретного токена из вашего кошелька без дальнейшего взаимодействия или подтверждения с вашей стороны.
Мошенники используют это несколькими способами:
Вредоносные dApps: Поддельное или скомпрометированное dApp может обманом заставить пользователей предоставить чрезмерные подтверждения. После одобрения вредоносный контракт может осушить все токены этого типа из кошелька пользователя.
2. Фишинг через подтверждения: Пользователей могут заманить на фишинговый веб-сайт, который имитирует законное dApp. Фишинговый сайт затем запускает транзакцию подтверждения токена, предоставляя мошеннику доступ к средствам пользователя.
3. Использование старых подтверждений: Даже законные dApps могут быть скомпрометированы, или их контракты могут иметь уязвимости. Если существует старое, забытое подтверждение скомпрометированному контракту, ваши средства могут быть под угрозой.
4. Мошенничество «Одобрить для взаимодействия»: Некоторые мошенники представляют внешне безобидную транзакцию, которая на самом деле является одобрением вредоносного контракта. Пользователь считает, что он выполняет одно действие, но предоставляет широкие полномочия по расходованию.
Опасность усиливается тем, что после предоставления одобрения оно остается активным до тех пор, пока не будет отозвано или пока одобренная сумма не будет потрачена. Это создает постоянную уязвимость, если одобренный адрес становится вредоносным или скомпрометированным.
Сигналы, которые читатели могут проверить
К счастью, существуют конкретные шаги, которые вы можете предпринять для выявления и управления подтверждениями токенов. Ключевым моментом является активный мониторинг и отзыв любых ненужных или чрезмерных разрешений.
Вот разбивка того, что искать и как проверять:
- Регулярно проверяйте свои разрешения: Используйте специальные инструменты, такие как Revoke.cash, Etherscan's Token Approval Checker или аналогичные сервисы на других блокчейнах. Эти платформы сканируют ваш кошелек и перечисляют все активные подтверждения токенов.
- Тщательно проверяйте одобренную сумму: Обратите пристальное внимание на «сумму» или «разрешение» для каждого токена. Если оно установлено на «неограниченно», «макс.» или очень большое произвольное число, будьте предельно осторожны. Законные dApps, требующие значительных расходов, обычно имеют определенную, ограниченную сумму или предназначены для одноразовых транзакций.
- Определите одобренный получатель: Поймите, какому контракту или адресу было предоставлено разрешение. Соответствует ли он dApp, которым вы активно пользуетесь и которому доверяете? Если адрес получателя выглядит подозрительно или незнаком, это серьезный красный флаг.
- Просмотрите детали транзакции: Перед подписанием любой транзакции, которая включает подтверждения токенов, внимательно прочитайте детали, представленные вашим кошельком. Ищите ключевые слова, такие как «одобрить», «разрешение», «потратить» или конкретные названия токенов с соответствующими суммами.
- Остерегайтесь «бесплатных» предложений: Если платформа обещает бесплатные токены, NFT или другие вознаграждения в обмен на подтверждение токена, это, скорее всего, мошенничество. Законные аирдропы или вознаграждения обычно не требуют от вас предоставления неограниченных полномочий по расходованию заранее.
Что остается недоказанным
Хотя механизмы подтверждения токенов и их использования хорошо изучены, окончательно доказать намерение, стоящее за каждым скомпрометированным подтверждением, может быть сложно без глубокого судебно-медицинческого анализа. Трудно установить, был ли пользователь обманут изощренной фишинговой атакой, неосознанно взаимодействовал ли он со вредоносным контрактом, или был ли законный dApp действительно скомпрометирован. Кроме того, точное финансовое воздействие на отдельных пользователей может быть трудно точно количественно оценить, особенно если они не знают полного объема своих истощенных активов или если со временем было использовано несколько подтверждений. Приписывание конкретного эксплойта определенной группе или человеку часто требует обширного внутрисетевого расследования специализированными фирмами.
Что CryptoRescue будет отслеживать дальше
CryptoRescue будет продолжать отслеживать тенденции в эксплойтах подтверждения токенов, уделяя пристальное внимание новым векторам мошенничества и новым dApps, которые могут представлять новые риски. Мы будем отслеживать действия регулирующих органов и обновления правоприменения от таких органов, как SEC и других, поскольку они часто проливают свет на распространенные методологии мошенничества. Наше внимание также будет сосредоточено на анализе практик безопасности популярных dApps и кошельков, выявлении любых паттернов уязвимостей или проблем, с которыми сталкиваются пользователи, связанных с подтверждениями токенов. Мы также будем рассматривать эффективность пользовательских инструментов для управления подтверждениями и любые новые разработки в аудите смарт-контрактов, которые могли бы снизить эти риски.
Контрольный список проверки подтверждения токена
| Контрольная точка | Действие | Статус (ОК/Требуется отзыв) | Примечания |
|---|---|---|---|
| Инструмент обзора разрешений | Подключите свой кошелек к Revoke.cash или аналогичному сервису. | Перечислите все активные подтверждения токенов. | |
| Проверьте адрес получателя | Определите адрес, которому было предоставлено разрешение для каждого токена. | Это dApp, которое вы узнаете и которому доверяете? | |
| Изучите сумму разрешения | Проверьте одобренную сумму для каждого токена (например, неограниченно, макс., определенное количество). | «Неограниченные» или «максимальные» разрешения являются высокорисковыми. | |
| Оцените актуальность токена | Определите, нужно ли вам по-прежнему, чтобы этот конкретный токен был одобрен этому конкретному получателю. | Если не используется или не нужен, отзовите его. | |
| Ищите старые подтверждения | Просканируйте подтверждения, сделанные давно, для dApps, которыми вы больше не пользуетесь. | Это основные цели для рисков спящих эксплойтов. | |
| Учитывайте плату за газ | Имейте в виду, что отзыв токенов также стоит платы за газ, которая варьируется в зависимости от загруженности сети. | Учитывайте это при принятии решения об отзыве нескольких мелких разрешений. | |
| Подтвердите отзыв | После инициирования транзакции отзыва подтвердите, что она была обработана в блокчейне. | Убедитесь, что разрешение больше не активно. |
Журнал обновлений
- 12 июл 2026Опубликовано с отслеживанием источников и контекстом безопасности для читателя.
- ИсправленияЕсли источник изменится или утверждение потребует уточнения, страница может быть обновлена редакцией.