Тонкое искусство одобрения токенов: защита ваших цифровых активов

В динамичном мире децентрализованных финансов (DeFi) предоставление «одобрений токенов» — это необходимый, но часто неправильно понимаемый механизм, который позволяет смарт-контрактам взаимодействовать с вашими цифровыми активами. Хотя они необходимы для использования децентрализованных приложений (dApps), эти одобрения также могут представлять собой значительную уязвимость безопасности, если ими не управлять осторожно. Эта колонка углубляется в тонкости одобрений токенов, риски, которые они представляют, и то, как вы можете активно защитить свою криптовалюту.

Привлекательность DeFi заключается в его безразрешительной природе, позволяющей пользователям давать в долг, брать взаймы, торговать и стейкать активы без посредников. Однако эта свобода сопряжена с ответственностью за понимание базовой технологии. Одобрения токенов — яркий тому пример. Когда вы подключаете свой кошелек к dApp и взаимодействуете с токеном (например, ERC-20 на Ethereum), вы, как правило, предоставляете этому dApp разрешение тратить определенное количество ваших токенов. Это делается путем подписания транзакции, которая разрешает смарт-контракту dApp перемещать ваши токены из вашего кошелька в его собственный контракт, часто до определенного лимита, а в некоторых случаях — на неограниченную сумму.

Проблема возникает, когда эти одобрения забываются, предоставляются вредоносным контрактам или когда сам dApp скомпрометирован. Без надлежащего надзора эти, казалось бы, безобидные разрешения могут стать лазейкой для несанкционированного доступа и кражи ваших средств.

Исследователи безопасности и платформы, посвященные анализу блокчейна, постоянно подчеркивают одобрения токенов как общий вектор кражи криптовалюты. Появились такие веб-сайты, как Revoke.cash, специально для того, чтобы помочь пользователям проверять и управлять этими разрешениями. Etherscan, широко используемый обозреватель блокчейна, также предоставляет инструменты для просмотра и управления одобрениями токенов для конкретных адресов.

Регуляторы, такие как Комиссия по ценным бумагам и биржам США (SEC) через свой портал Investor.gov, часто предупреждают о неотъемлемых рисках в криптопространстве, включая те, которые возникают в результате взаимодействия со смарт-контрактами. Хотя они не всегда могут явно детализировать «одобрения токенов», их предупреждения о мошенничестве, связанном с несанкционированным доступом к цифровым активам, применимы напрямую.

Основная проблема заключается в том, что после предоставления одобрения оно остается активным до тех пор, пока пользователь не отзовет его или утвержденная сумма не будет полностью потрачена dApp. Злоумышленники используют это, создавая поддельные dApps, фишинговые веб-сайты, имитирующие легитимные сервисы, или эксплуатируя уязвимости в существующих dApps для вывода средств пользователей через уже существующие широкие одобрения токенов.

Source-tracked CryptoRescue article.

1. Фишинговые атаки: Пользователь сталкивается с поддельным dApp или веб-сайтом, который выглядит идентично легитимному протоколу DeFi. Они подключают свой кошелек и, чтобы выполнить желаемое действие (например, получить аирдроп, принять участие в специальном предложении), они предоставляют одобрения токенов. Затем вредоносный контракт получает разрешение на вывод любых одобренных токенов.
2. Эксплуатация смарт-контрактов: Легитимный dApp может быть проверен и выглядеть безопасным. Однако ранее неизвестная уязвимость может быть обнаружена и использована. Если пользователь ранее предоставил широкое одобрение токенов этому dApp, злоумышленники могут использовать эту уязвимость для вывода одобренных токенов непосредственно из кошелька пользователя.
3. Вредоносные контракты токенов: Пользователи могут взаимодействовать с недавно выпущенными, потенциально мошенническими токенами. Некоторые из этих токенов разработаны с вредоносными функциями одобрения, которые при взаимодействии предоставляют самому контракту токена широкие разрешения на другие токены ERC-20 в кошельке пользователя.
4. Чрезмерные разрешения: Пользователи могут предоставлять неограниченные одобрения («бесконечные одобрения») dApps, которым они доверяют, для удобства. Хотя это упрощает дальнейшие взаимодействия, это значительно увеличивает риск, если этот dApp когда-либо будет скомпрометирован или если пользователь позже станет жертвой фишинговой атаки, нацеленной на этот конкретный dApp.

Опасность заключается в том, что эти одобрения могут быть для любого токена ERC-20, а не только для того, с которым вы в данный момент взаимодействуете. Это означает, что, казалось бы, небольшое одобрение для нового проекта NFT может непреднамеренно дать мошеннику доступ ко всем вашим активам Ether, стейблкоинов или других ценных токенов.

К счастью, существуют четкие сигналы и действия, которые пользователи могут предпринять для выявления и снижения этих рисков:

• Проверка одобрений: Регулярная проверка активных одобрений токенов вашего кошелька имеет решающее значение. Такие инструменты, как Revoke.cash и трекер одобрений токенов Etherscan, позволяют точно видеть, какие dApps имеют разрешение на доступ к вашим токенам и сколько они могут получить.
• Лимиты одобрений: Обращайте пристальное внимание на сумму одобрения. Предоставление конкретной, ограниченной суммы, как правило, безопаснее, чем предоставление неограниченного или «бесконечного» одобрения, особенно для dApps, которые вы не используете часто или для менее критичных функций.
• Адреса контрактов: Перед предоставлением любого одобрения проверьте адрес смарт-контракта dApp, с которым вы взаимодействуете. Мошенники часто создают почти идентичные адреса контрактов легитимным. Используйте авторитетные источники, такие как DeFiLlama или официальную документацию проекта, чтобы найти правильные адреса.
• Детали транзакции: Всегда тщательно просматривайте детали любой транзакции, которую вас просят подписать. Ищите признаки неожиданных разрешений или необычно высоких сумм. Если это одобрение токена, убедитесь, что оно соответствует действию, которое вы намереваетесь выполнить.
• Репутация dApp: Взаимодействуйте только с хорошо зарекомендовавшими себя и авторитетными протоколами DeFi. Изучите проект, проверьте отзывы сообщества и ищите аудиты от авторитетных фирм по безопасности.

Хотя механизм одобрений токенов хорошо изучен, точный масштаб средств, потерянных исключительно из-за забытых или использованных одобрений, трудно точно оценить. Многие украденные средства сообщаются как общие «взломы» или «мошенничества», и изоляция конкретной роли затянувшегося одобрения токена может быть сложной без детального криминалистического анализа в блокчейне.

Кроме того, долгосрочные последствия предоставления одобрений протоколам, которые могут быть скомпрометированы или стать неплатежеспособными, не всегда сразу очевидны. Пользователи могут предоставить одобрения dApp сегодня, забыть об этом и осознать риск только годы спустя, когда код dApp будет использован или их собственный кошелек станет целью.

CryptoRescue продолжит отслеживать события в области безопасности смарт-контрактов и развивающиеся тактики криптомошенников. Мы будем уделять пристальное внимание:

• Новым методам эксплуатации: Отслеживание появляющихся методов, используемых злоумышленниками для использования одобрений токенов.
• Принятию инструментов отзыва: Наблюдение за моделями использования и эффективностью таких инструментов, как Revoke.cash и аналогичных сервисов.
• Нормативному руководству: Отслеживание любых новых рекомендаций от финансовых регуляторов относительно рисков смарт-контрактов и защиты пользователей.
• Обновлениям безопасности протокола DeFi: Отчеты о значительных инцидентах безопасности, связанных с протоколами DeFi, и их влиянии на одобрения пользователей.

Чтобы эффективно управлять одобрениями токенов и повысить безопасность своих криптовалют, выполните следующие действия:

Понимая одобрения токенов и предпринимая активные шаги по их управлению, вы можете значительно снизить свою подверженность распространенным эксплойтам DeFi и защитить свои ценные цифровые активы. Относитесь к каждому одобрению как к потенциальному риску и сохраняйте бдительный надзор за разрешениями вашего кошелька.