Глибокої ночі один телефонний дзвінок порушив тишу. Голос старого Лі тремтів, він з труднощами розповідав про свої переживання: 8000000 USDT зникли безслідно. Як криптоветерани, який багато років бореться в світі криптовалюти, він завжди славився своєю обачністю. Однак цей удар вразив його зненацька.
Старий Лі впевнений, що його активи в безпеці. Врешті-решт, він використовує холодний гаманець, приватний ключ та мнемонічну фразу надійно зберігаються і ніколи не були розкриті. Але дані на ланцюгу холодно показують, що ці величезні кошти були переведені за "згодою" самого Лі.
Причина події виглядає незначною. Щоб підвищити зручність використання, старший Лі встановив браузерний плагін, який стверджує, що може синхронізуватися з холодним гаманцем Ledger. Цей плагін має простий інтерфейс, добрі відгуки у спільноті і виглядає цілком легітимно. Старший Лі вважає, що просто переглядати баланс не повинно бути ніякого ризику.
Однак, під час підключення плагіна, він ненароком натиснув один раз "Авторизувати підпис". Ця на вигляд безневинна дія насправді передала всі його активи на transfer-право затихлому хакеру.
Істина поступово спливає на поверхню: старший Лі підписав стандартний контракт "SetApprovalForAll", уповноваженою особою якого є ретельно налаштований хакерами колективний контракт. Лише через три дні, коли холодний гаманець отримав 8000000 USDT, хакер без жодного додаткового підтвердження безпосередньо викликав контракт і одноразово перевів весь баланс. Протягом усього процесу телефон старшого Лі не отримав жодних сповіщень, у гаманці залишилася лише одна холодна запис "виклику подій".
Ця подія звучить для нас тривожним дзвінком: у світі шифрування найнебезпечніше не відверте викрадення, а пастки, які ховаються за на перший погляд безпечними операціями. Навіть використання холодного гаманця не повинно бути приводом для недбалості. Кожен дозвіл може стати дверима для хакера.
Наразі, шляхом відстеження шляхів виклику контрактів та аналізу напрямків грошових потоків, частину вкрадених коштів вдалося успішно заморозити на біржі. Але цей урок все ще болісний: у світі блокчейну найстрашніше не те, що ви свідомо натиснули на переказ, а те, що ви непомітно вже передали контроль над своїми активами в чужі руки.
Для всіх власників шифрування цей випадок ще раз підкреслює важливість обережного надання прав. Навіть найнадійніші інструменти, якщо їх використовувати неправильно, можуть стати смертельною вразливістю. При виконанні будь-яких операцій, особливо тих, що стосуються етапів надання прав, потрібно бути особливо уважними, ретельно перевіряючи кожну деталь. Лише так можна насправді захистити свої цифрові активи.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Глибокої ночі один телефонний дзвінок порушив тишу. Голос старого Лі тремтів, він з труднощами розповідав про свої переживання: 8000000 USDT зникли безслідно. Як криптоветерани, який багато років бореться в світі криптовалюти, він завжди славився своєю обачністю. Однак цей удар вразив його зненацька.
Старий Лі впевнений, що його активи в безпеці. Врешті-решт, він використовує холодний гаманець, приватний ключ та мнемонічну фразу надійно зберігаються і ніколи не були розкриті. Але дані на ланцюгу холодно показують, що ці величезні кошти були переведені за "згодою" самого Лі.
Причина події виглядає незначною. Щоб підвищити зручність використання, старший Лі встановив браузерний плагін, який стверджує, що може синхронізуватися з холодним гаманцем Ledger. Цей плагін має простий інтерфейс, добрі відгуки у спільноті і виглядає цілком легітимно. Старший Лі вважає, що просто переглядати баланс не повинно бути ніякого ризику.
Однак, під час підключення плагіна, він ненароком натиснув один раз "Авторизувати підпис". Ця на вигляд безневинна дія насправді передала всі його активи на transfer-право затихлому хакеру.
Істина поступово спливає на поверхню: старший Лі підписав стандартний контракт "SetApprovalForAll", уповноваженою особою якого є ретельно налаштований хакерами колективний контракт. Лише через три дні, коли холодний гаманець отримав 8000000 USDT, хакер без жодного додаткового підтвердження безпосередньо викликав контракт і одноразово перевів весь баланс. Протягом усього процесу телефон старшого Лі не отримав жодних сповіщень, у гаманці залишилася лише одна холодна запис "виклику подій".
Ця подія звучить для нас тривожним дзвінком: у світі шифрування найнебезпечніше не відверте викрадення, а пастки, які ховаються за на перший погляд безпечними операціями. Навіть використання холодного гаманця не повинно бути приводом для недбалості. Кожен дозвіл може стати дверима для хакера.
Наразі, шляхом відстеження шляхів виклику контрактів та аналізу напрямків грошових потоків, частину вкрадених коштів вдалося успішно заморозити на біржі. Але цей урок все ще болісний: у світі блокчейну найстрашніше не те, що ви свідомо натиснули на переказ, а те, що ви непомітно вже передали контроль над своїми активами в чужі руки.
Для всіх власників шифрування цей випадок ще раз підкреслює важливість обережного надання прав. Навіть найнадійніші інструменти, якщо їх використовувати неправильно, можуть стати смертельною вразливістю. При виконанні будь-яких операцій, особливо тих, що стосуються етапів надання прав, потрібно бути особливо уважними, ретельно перевіряючи кожну деталь. Лише так можна насправді захистити свої цифрові активи.