Понимание рисков подтверждений токенов в вашем криптокошельке

При взаимодействии с децентрализованной сетью пользователи часто предоставляют разрешения смарт-контрактам для взаимодействия с их цифровыми активами. Одним из наиболее распространенных и потенциально рискованных из таких разрешений является «подтверждение токена». Хотя это необходимо для функционирования многих децентрализованных приложений (dApps), понимание последствий этих подтверждений имеет решающее значение для защиты вашей криптовалюты. В этой колонке рассматриваются механизмы подтверждений токенов, присущие риски и действенные шаги, которые читатели могут предпринять для эффективного управления этими разрешениями.

Возможность предоставлять и отзывать подтверждения токенов является фундаментальным аспектом взаимодействия смарт-контрактов в блокчейнах, таких как Ethereum. Это позволяет пользователям авторизовать определенный смарт-контракт на трату или передачу их токенов от их имени, что обеспечивает такие функции, как децентрализованные биржи (DEX), протоколы кредитования и торговые площадки NFT. Однако эта мощная функция также является главной целью для злоумышленников. Если смарт-контракт скомпрометирован или если пользователь непреднамеренно взаимодействует с мошенническим контрактом, эти подтверждения могут предоставить злоумышленникам прямой доступ к средствам пользователя без необходимости их явного согласия на каждую транзакцию. Это привело к значительным потерям для ничего не подозревающих пользователей, которые могут не полностью понимать объем предоставляемых ими разрешений.

Исследователи безопасности и блокчейн-эксплореры постоянно подчеркивают подтверждения токенов как значительный вектор атаки. Например, такие платформы, как Revoke.cash, позволяют пользователям просматривать и управлять своими подтверждениями токенов, выявляя степень предоставленных разрешений в различных смарт-контрактах. Etherscan, популярный блокчейн-эксплорер, также предоставляет инструменты для проверки подтверждений токенов, связанных с адресом.

Официальные органы, такие как Комиссия по ценным бумагам и биржам США (SEC) и Федеральная торговая комиссия (FTC), выпустили предупреждения о мошенничестве с криптовалютой, косвенно охватывающие риски, связанные с несанкционированным доступом к средствам, который могут облегчить подтверждения токенов. Хотя они не всегда явно называют «подтверждения токенов», их рекомендации по защите цифровых активов от мошенничества и мошеннических схем имеют прямое отношение. Аудиты безопасности dApps и отчеты фирм по анализу блокчейнов еще раз подчеркивают важность тщательной проверки и управления этими разрешениями.

Подтверждение токена — это, по сути, директива смарт-контракту, которая гласит: «Вам разрешено перемещать X количество моих токенов [Название токена]». Это обычно делается путем вызова функции `approve` в смарт-контракте токена. Функция обычно принимает два аргумента: адрес расходующего (смарт-контракт, авторизованный для доступа к токенам) и `amount` (максимальное количество токенов, к которым может получить доступ расходующий).

• Неограниченные подтверждения: Пользователи могут подтвердить смарт-контракту «неограниченное» количество токенов (представленное очень большим числом, часто `2^256 - 1`). Если этот контракт впоследствии будет скомпрометирован или является вредоносным, он может истощить все токены этого конкретного типа из кошелька пользователя.
• Вредоносные смарт-контракты: Мошенники создают поддельные dApps или используют уязвимости в легитимных. Обманывая пользователей, заставляя их одобрять токены для этих вредоносных контрактов, они получают возможность напрямую красть средства.
• Фишинговые атаки: Фишинговые попытки часто приводят пользователей на веб-сайты, которые предлагают им подписать транзакцию, которая на самом деле является подтверждением токена для контракта мошенника.
• Эксплуатируемые dApps: Даже легитимные dApps могут быть эксплуатированы. Если смарт-контракт dApp скомпрометирован, любые токены, одобренные для этого контракта, становятся уязвимыми.

Source-tracked CryptoRescue article.

• Адрес контракта: Всегда проверяйте адрес смарт-контракта. Мошенники часто создают почти идентичные адреса с небольшими отличиями. Используйте авторитетные источники, такие как CoinMarketCap, CoinGecko или официальную документацию проекта, чтобы найти правильные адреса контрактов.
• Цель подтверждения: Поймите, *почему* dApp запрашивает подтверждение. Требуется ли это для функциональности логически? Например, децентрализованной бирже требуется подтверждение для перемещения токенов для торговли, но простой информационный веб-сайт не должен.
• Количество подтверждения: По возможности, подтверждайте только точное количество токенов, необходимое для конкретной транзакции, а не неограниченное количество. Некоторые dApps могут требовать неограниченных подтверждений для удобства, но это значительно увеличивает риск.
• Инструменты управления разрешениями: Регулярно используйте такие инструменты, как Revoke.cash или страницу подтверждений токенов Etherscan, чтобы просматривать все активные подтверждения, связанные с вашим кошельком.

Source-tracked CryptoRescue article.

• Отзыв неиспользуемых подтверждений: Периодически просматривайте свои активные подтверждения токенов и отзывайте те, которые больше не нужны или которые вы не узнаёте. Это критический шаг в минимизации вашей поверхности атаки.
• Используйте выделенный кошелек для dApps: Рассмотрите возможность использования отдельного адреса кошелька для взаимодействия с dApps. Таким образом, если этот кошелек будет скомпрометирован, ваши основные активы в других кошельках останутся в безопасности.
• Будьте осторожны с «безгазовыми» транзакциями: Некоторые фишинговые аферы предлагают «безгазовые» транзакции, которые часто включают вредоносное подтверждение токена, замаскированное под бесплатную транзакцию.
• Понимайте детали транзакции: Всегда читайте детали любой транзакции, которую вы собираетесь подписать. Ищите ключевые слова, такие как «approve», «transferFrom» или большие числовые значения, которые могут указывать на неограниченное подтверждение.

Хотя механика подтверждений токенов хорошо изучена, точное отнесение конкретных потерь к эксплойтам подтверждений токенов иногда может быть сложным без глубокого судебно-медицинского анализа. Точное количество пользователей, потерявших средства из-за неограниченных подтверждений, по сравнению с теми, кто подписал вредоносные контракты, может быть трудно окончательно определить, поскольку многие инциденты не сообщаются публично с такой детальной информацией. Кроме того, развивающийся характер эксплойтов смарт-контрактов означает, что могут появиться новые методы злоупотребления подтверждениями токенов.

CryptoRescue продолжит отслеживать тенденции злоупотребления подтверждениями токенов. Это включает отслеживание новых типов эксплойтов смарт-контрактов, появление изощренных фишинговых кампаний, нацеленных на подтверждения токенов, и эффективность пользовательских инструментов, предназначенных для управления этими разрешениями. Мы также будем следить за нормативными изменениями и передовыми отраслевыми практиками, направленными на повышение безопасности пользователей в децентрализованной экосистеме.

Source-tracked CryptoRescue article.

Можете ли вы определить назначение каждого подтверждения токена, активного в вашем кошельке?
3. Вы отозвали какие-либо подтверждения токенов, которые больше не используются или не связаны с услугами, которыми вы больше не пользуетесь?
4. Прежде чем взаимодействовать с новым dApp, вы проверяете адрес смарт-контракта по официальным источникам?
5. Когда запрашивается подтверждение токена, вы проверяете, запрашивается ли «неограниченное» подтверждение, и рассматриваете, возможно ли ограниченное подтверждение?
6. Понимаете ли вы, что подписание транзакции, которая кажется «безгазовой», все еще может нести значительные риски, такие как подтверждение токена?