Нещодавно сталася шокуюча подія втрати цифрового активу, яка привернула широке увагу в криптосвіті. Один із інвесторів, використовуючи вважається найнадійнішим способом зберігання холодного гаманця, втратив активи вартістю 8430000 USDT. Ця подія показує, що навіть найобережніші інвестори можуть ненароком потрапити в небезпеку.
Герой події вживав багато звичних заходів безпеки: використовував холодний гаманець Ledger, ніколи не виставляв приватний ключ у мережевому середовищі, навіть обережно записував мнемонічну фразу на папері. Однак ці заходи врешті-решт не змогли запобігти трагедії.
Корінь проблеми полягає в на перший погляд безпечному плагіні гаманця для браузера. Цей плагін пропонує привабливі функції, такі як синхронізація з Холодним гаманцем, зручний інтерфейс, огляд активів тощо, і навіть отримав рекомендації від спільноти. Інвестори вважають, що просто перегляд активів не повинен нести ризику, але ігнорують один ключовий крок у процесі підключення — авторизація підпису.
Це授权 насправді надає третій стороні права на переказ усіх токенів у гаманець. Через три дні, коли холодний гаманець отримав 8430000 USDT, хакер відразу ж, викликавши контракт, одноразово забрав усі залишки. Увесь процес не мав жодних додаткових підтверджувальних кроків, як якщо б заздалегідь підписаний пустий чек був реалізований.
Записи в ланцюгу показують, що це стандартний контракт "SetApprovalForAll" для надання дозволу, а об'єктом дозволу є контракт, контрольований хакером. У той же день, коли кошти надійшли, вони були швидко переведені, а в записах угоди залишилася лише одна подія виклику.
Ця подія нагадує нам, що навіть холодний гаманець не є надійним захистом. Хакерам не потрібно безпосередньо зламувати приватний ключ, достатньо отримати неналежний доступ, і це буде рівнозначно контролю над коштами. У сфері криптоактивів найбільші ризики часто пов'язані не з технічними вразливостями, а з тими діями, які здаються безпечними, але насправді є небезпечними.
Наразі зацікавлені сторони вже втрутилися в розслідування, частина коштів, що підлягають розслідуванню, вже заморожена. Але ця подія безумовно б'є тривогу всім власникам криптоактивів: при виконанні будь-яких авторизованих операцій необхідно бути особливо обережними, навіть при використанні найбезпечнішого способу зберігання.
Інвестори в криптоактиви повинні бути насторожі, ретельно перевіряти кожен запит на авторизацію та розуміти його потенційний вплив. Одночасно закликається до розробки в галузі більш безпечних та прозорих інструментів управління активами, щоб запобігти повторенню подібних трагедій. Лише встановивши правильну безпекову свідомість та вживаючи всебічні заходи захисту, можна справді захистити свої цифрові активи.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
4
Репост
Поділіться
Прокоментувати
0/400
0xDreamChaser
· 08-12 08:50
Чи можу спробувати маленький номер перед підписанням дозволу?
Переглянути оригіналвідповісти на0
SellLowExpert
· 08-12 08:47
обдурювати людей, як лохів收割就是这么简单?
Переглянути оригіналвідповісти на0
BoredStaker
· 08-12 08:29
Знову обманули? Вірити плагінам - це вже знущання.
Переглянути оригіналвідповісти на0
airdrop_huntress
· 08-12 08:27
Авторизаційний підпис дійсно не можна давати бездумно!
Нещодавно сталася шокуюча подія втрати цифрового активу, яка привернула широке увагу в криптосвіті. Один із інвесторів, використовуючи вважається найнадійнішим способом зберігання холодного гаманця, втратив активи вартістю 8430000 USDT. Ця подія показує, що навіть найобережніші інвестори можуть ненароком потрапити в небезпеку.
Герой події вживав багато звичних заходів безпеки: використовував холодний гаманець Ledger, ніколи не виставляв приватний ключ у мережевому середовищі, навіть обережно записував мнемонічну фразу на папері. Однак ці заходи врешті-решт не змогли запобігти трагедії.
Корінь проблеми полягає в на перший погляд безпечному плагіні гаманця для браузера. Цей плагін пропонує привабливі функції, такі як синхронізація з Холодним гаманцем, зручний інтерфейс, огляд активів тощо, і навіть отримав рекомендації від спільноти. Інвестори вважають, що просто перегляд активів не повинен нести ризику, але ігнорують один ключовий крок у процесі підключення — авторизація підпису.
Це授权 насправді надає третій стороні права на переказ усіх токенів у гаманець. Через три дні, коли холодний гаманець отримав 8430000 USDT, хакер відразу ж, викликавши контракт, одноразово забрав усі залишки. Увесь процес не мав жодних додаткових підтверджувальних кроків, як якщо б заздалегідь підписаний пустий чек був реалізований.
Записи в ланцюгу показують, що це стандартний контракт "SetApprovalForAll" для надання дозволу, а об'єктом дозволу є контракт, контрольований хакером. У той же день, коли кошти надійшли, вони були швидко переведені, а в записах угоди залишилася лише одна подія виклику.
Ця подія нагадує нам, що навіть холодний гаманець не є надійним захистом. Хакерам не потрібно безпосередньо зламувати приватний ключ, достатньо отримати неналежний доступ, і це буде рівнозначно контролю над коштами. У сфері криптоактивів найбільші ризики часто пов'язані не з технічними вразливостями, а з тими діями, які здаються безпечними, але насправді є небезпечними.
Наразі зацікавлені сторони вже втрутилися в розслідування, частина коштів, що підлягають розслідуванню, вже заморожена. Але ця подія безумовно б'є тривогу всім власникам криптоактивів: при виконанні будь-яких авторизованих операцій необхідно бути особливо обережними, навіть при використанні найбезпечнішого способу зберігання.
Інвестори в криптоактиви повинні бути насторожі, ретельно перевіряти кожен запит на авторизацію та розуміти його потенційний вплив. Одночасно закликається до розробки в галузі більш безпечних та прозорих інструментів управління активами, щоб запобігти повторенню подібних трагедій. Лише встановивши правильну безпекову свідомість та вживаючи всебічні заходи захисту, можна справді захистити свої цифрові активи.