Головна
Новини
Детальніше

Фішинг-афера Uniswap: Як підроблений підпис спустошив гаманець

iconНовини KuCoin
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
На 22 серпня 2025 року стався шокуючий випадок шахрайства з криптовалютою, який став серйозним нагадуванням про ризики у сферіDeFi. Згідно з даними платформи безпеки ScamSniffer, користувач втратив приблизно 1 мільйон доларів у токенах таNFT, після того, як підписав зловмисну транзакцію, замасковану підUniswapсвоп.
Цей інцидент є яскравим прикладом поширеногофішингового шахрайства із підписами, яке використовує зручність децентралізованої торгівлі та неуважність користувачів.
 

Як працює фішингова схема: Принада під виглядом фальшивого підпису

 
Ця схема особливо небезпечна через своє хитре виконання, яке складається з декількох ключових етапів:
  1. Фальшивий інтерфейс, реальна омана:Зловмисники створюють фальшивий вебсайт, який є майже ідеальною копією офіційного інтерфейсу Uniswap. Такий сайт зазвичай поширюється через фішингові посилання, які можуть бути у фальшивих рекламних оголошеннях, шкідливих публікаціях у соцмережах або навіть у нібито легітимних приватних повідомленнях. Користувачі часто потрапляють на цей шахрайський сайт, не підозрюючи нічого.
  2. Обман із підписом на зловмисну транзакцію:Коли користувач ініціює транзакцію на фальшивому сайті (наприклад, обмін токенів), сайт генерує зловмисний запит на транзакцію, підписання якого вимагається від користувача. Це не є типовим підписом для транзакцій Uniswap; натомість це підпис для зловмисного контракту, який включає"погодження на пакетну транзакцію"або інші приховані дозволи.
  3. Тихий переказ активів:Як тільки користувач підписує цей зловмисний запит, він мимоволі надає зловмиснику дозвіл управляти активами свогогаманцяу великих обсягах. Зловмисник може використати цей дозвіл, щоб викрасти високоцінні активи, включно з токенами та NFT, з гаманця жертви — і все це без подальшого підтвердження від користувача.
У цьому випадку жертва підписала шахрайський запит на "пакетне погодження", замаскований під простий своп, що призвело до повного виведення активів із її гаманця. Цей тип атаки є надзвичайно небезпечним, оскільки виглядає ідентично звичайному процесу в DeFi, але прихований код створений виключно для крадіжки коштів.
 

Як захистити свою криптовалюту: ключові кроки для уникнення шахрайства із підписами

Шахрайство із підписами є поширеним укриптосвіті, але ви можете значно знизити ризик, дотримуючись цих простих заходів безпеки:
  1. Завждиперевіряйтедомен:Заходьте на децентралізовані біржі тільки через офіційні канали або закладки у вашому браузері. Перед будь-якими діями перевірте URL-адресу в рядку адреси вашого браузера, щоб переконатися, що це саме офіційний домен.
  2. Ставтеся до кожного запиту на підпис з обережністю:Не поспішайте натискати "підтвердити", коли у вашому гаманці з'являється запит на підпис. Уважно прочитайте запит. Якщо ви використовуєте гаманець EVM, такий як MetaMask, він зазвичай показує деталі транзакції. Якщо щось здається підозрілим або ви не впізнаєте смарт-контракт, який запитує дозвіл, негайно скасуйте запит.
  3. Використовуйте інструменти симуляції транзакцій:Багато гаманців та сторонніх інструментів безпеки (наприклад, ScamSniffer) пропонуютьфункції симуляції транзакцій. Симулюйте результат транзакції перед її підписанням. Якщо симуляція показує, що ваші активи будуть переведені на незнайому адресу, це очевидне попередження про шахрайство.
  4. Регулярно переглядайте дозволи гаманця:Багато шахрайств базуються на довгострокових дозволах. Звикніть регулярно переглядати та відкликати непотрібні або підозрілі дозволи. Ви можете використовувати такі інструменти, як Etherscan або інші служби безпеки гаманця для управління дозволами на контракти.
  5. Використовуйте окремі гаманці:Не зберігайте всі ваші активи з високою вартістю в одному гаманці. Використовуйте спеціальний "гарячий гаманець" для підключення до децентралізованих додатків (dApps) та підписання транзакцій, а більшість активів зберігайте в більш захищеному, менш використовуваному гаманці, бажано холодному гаманці.
У світі Web3 ваш підпис — це ваша ідентичність, а ваша авторизація — це ваше командування. Захист підпису — це найкращий спосіб захисту ваших активів. Будьте пильними і не дозволяйте, щоб один клікінг став початком багатомільйонної втрати.
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.