Передмова
У світі блокчейну кожна операція в ланцюгу не можлива без підтримки газу. Він є «паливом», що забезпечує роботу мережі, але також став метою для зловмисників. Від безмежного авторизування, що призводить до «тихого» переказу активів, до підміни газу, що змушує користувачів сплачувати набагато більші витрати, ці пастки стають все більш прихованими.
На відміну від традиційних фішингових атак, такі атаки часто маскуються під звичайні дії, такі як «авторизація», «mint NFT» або «участь у DeFi-майнінгу», використовуючи незнання користувачами механізмів контрактів, щоб незамітно витрачати або красти активи. Щоб допомогти вам розпізнати ці ризики, команда безпеки ZeroTime на основі галузевих практик безпеки, продовжуючи серію освітніх матеріалів про безпеку блокчейну, зосереджується на газових витратах та безпеці транзакцій, розбираючи поширені пастки, навчаючи практичним методам захисту та чітко визначаючи екстрені дії у випадку втрати активів.
Prat 01-Поширені газові платежі та небезпеки безпеки транзакцій
Газові платежі як «пропуск» на ланцюзі безпосередньо пов’язані з безпекою активів користувача. Зловмисники використовують невідомість користувачів щодо механізму газових платежів та авторизації смарт-контрактів, створюючи різноманітні приховані ловушки, які часто маскуються під звичайні взаємодії з ланцюгом, що робить їх важкими для виявлення. Найпоширеніші ловушки поділяються на такі 3 категорії:
1. Безмежна авторизація
Нескінченна авторизація — це надання користувачем смарт-контракту дозволу на «нескінченне» використання певного токена з його гаманця під час взаємодії з ним. Це один із найпоширеніших і найбільш небезпечних ризиків втрати активів на сьогодні.
◆ Логіка роботи: Коли ви натискаєте кнопку «Авторизувати» у dapp, не перевіривши ліміт авторизації, ви можете підписати угоду «безмежної авторизації». Це означає, що цей контракт теоретично може вивести всі ваші токени цього типу з гаманця в будь-який момент, не потребуючи додаткового підтвердження.
◆ Типовий сценарій: під час minting нішевих NFT, участі в DeFi-ліквідності, яка не пройшла аудит, або використанні невідомих DEX для торгівлі зловмисні контракти автоматично встановлюють позначку «нескінченна авторизація», змушуючи користувачів швидко підтвердити, а потім у таємниці вивозять активи з гаманця.
2. Підміна комісії за газ
Підхоплення газ-платежів — це коли зловмисники за допомогою зловмисних контрактів або зміни даних транзакції змушують користувачів сплачувати значно вищі газ-платежі, ніж зазвичай, або прямо крадуть газ-платежі користувачів, сутність цього полягає у маніпулюванні параметрами, пов’язаними з газ-платежами, для отримання незаконної вигоди.
◆ Логіка роботи:
Підміна фронтенду: фронтенд dapp, що знаходиться під контролем атакуючого, автоматично встановлює ціну на Gas або ліміт Gas на надзвичайно високий рівень при ініціюванні користувачем транзакції, значно перевищуючи нормальні комісії під час переповнення мережі.
Зловживання контрактом: у зловмисному контракті вбудовано код «нескінченного циклу», який під час виконання постійно споживає Gas, доки не вичерпає встановлений користувачем ліміт Gas, в результаті чого транзакція завершується невдало, але комісія за Gas вже була знята вузлом блокчейну.
◆ Типовий сценарій: користувач бере участь у розіграші популярного NFT-списку через неофіційне посилання, після натискання підтвердження гаманець миттєво сплачує в десятки разів більше ETH у вигляді газу, але NFT не надходить.
3. Фальшиві авторизації / фальшиві угоди
Зловмисники через підроблені запити на авторизацію або вікна транзакцій наводять користувачів на підписання шкідливих даних, що дозволяє безпосередньо вкрасти активи або отримати контроль над гаманцем, часто поєднуючись із пастками щодо комісій за газ.
◆ Логіка роботи:
Фішингові посилання: користувачі клікають на «офіційні посилання» у фішингових листах, приватних повідомленнях у Discord або рекламних постах у соціальних мережах і потрапляють на підроблені веб-сайти, що дуже схожі на справжні dapp.
Підробка зловмисних запитів: спливаюче вікно «авторизації» на фальшивому сайті, яке зовні виглядає як «авторизація токенів для торгівлі», але фактично дані транзакції були змінені, щоб виконати команду на безпосереднє переказання активів користувача на гаманець нападника.
◆ Типовий сценарій: користувач отримує приватне повідомлення з попередженням «У вашому гаманці виявлено ризики безпеки, необхідно терміново авторизувати перевірку», клікає на посилання, виконує авторизацію, сплачує високу комісію Gas, і всі основні токени з його гаманця миттєво зникають.
Prat 02-Налаштування безпеки гаманця та заходи запобігання
Щоб впоратися з вищезазначеними газовими платежами та торговими небезпеками, ключовим є «профілактика заздалегідь». Користувачам не потрібно володіти складними блокчейн-технологіями — достатньо зосередитися на трьох основних аспектах: управлінні дозволах, налаштуванні газових платежів та перевірці транзакцій, щоб розвинути хороші звички та ефективно уникнути ризиків. Це можна зробити за допомогою трьох пунктів:
1. Суворо обмежуйте надані повноваження, дотримуйтесь принципу «мінімального надання повноважень»
Авторизація дій — це основний проникнення для втрати активів; контроль над лімітами авторизації — це відсікання ризиків на корені, суть у принципі «не надавати зайвих лімітів, відкликати при не використанні».
◆ Відмовтеся від безмежного дозволу: під час виконання операцій авторизації в будь-якому dapp обов’язково відмовтеся від «замовчаного варіанту» і виберіть «користувацьку суму», авторизуючи лише мінімальну необхідну кількість токенів для поточної операції (наприклад, для mint NFT достатньо авторизувати 0,01 ETH, для торгівлі — лише суму поточної угоди).
◆ Авторизація за потребою, відкликання після використання: для тимчасових взаємодій з dapp негайно відкликайте авторизацію після завершення операції; для довгостроково використовуваних відповідних dapp регулярно перевіряйте обсяг авторизації, щоб уникнути ризиків для активів через вразливості в контрактах.
2. Деталізоване налаштування комісій Gas, щоб запобігти зловживанням
Налаштування параметрів газу є ключовим для захисту від захоплення газу; необхідно активно керувати правами на налаштування газу, щоб уникнути маніпуляцій з боку зловмисних фронтендів чи контрактів, зменшуючи непотрібні витрати.
◆ Увімкніть розширений контроль Gas: у популярних гаманцях (наприклад, MetaMask, TokenPocket) увімкніть функцію «Розширений управління Gas», вручну встановіть верхню межу ціни Gas та ліміту Gas, щоб уникнути зловмисної зміни параметрів фронтендом.
◆ Засновано на ланцюгових даних: перед виконанням транзакції перевірте поточну середню ціну Gas у блокчейн-оглядачах, таких як Etherscan та Arbiscan, і відхиляйте запити на транзакції з ціною, яка значно перевищує ринковий рівень.
◆ Уникайте переповнених періодів: під час minting популярних проектів, виходу важливих політичних рішень та інших подій, газові платежі стрімко зростають — у цей час припиніть неекстренні операції або використовуйте Layer2-мережі для зменшення витрат і ризиків.
3. Зміцніть захист торгівлі, уникайте базових пасток
Крім налаштування авторизації та комісій за газ, перевірка деталей кожної транзакції та безпека сценаріїв взаємодії є важливими етапами запобігання пасткам — потрібно дотримуватися принципу «уважно перевіряйте, відмовляйтеся від підозрілих».
◆ Перевірте ключову інформацію про угоду: під час підтвердження через вікно гаманця обов’язково перевірте три пункти — чи збігається адреса контракту отримувача з офіційною, чи правильна сума угоди, чи розумні параметри Gas — жоден з них не може відсутнювати.
◆ Перевірка справжності dapp: отримуйте посилання на dapp лише через офіційний веб-сайт та аккаунти з синім галочкою у соціальних мережах, перевіряйте SSL-сертифікат сайту та адресу контракту, не клікайте на підозрілі посилання.
◆Ізоляція ризикованих активів: використовуйте «стратегію подвійного гаманця», де гарячий гаманець містить лише невелику кількість активів для щоденних взаємодій, а великі суми зберігаються у апаратному або холодному гаманці, повністю ізолюючи ризики, пов’язані з інтеракціями в ланцюжку.
Prat 03-Дії після пошкодження активів та рекомендації інструментів
Навіть при наявності заходів безпеки можна стати жертвою зловмисних атак через неуважність. У такому випадку швидка й точна реакція дозволяє мінімізувати збитки. Команда безпеки ZeroHour Technologies, опираючись на практичний досвід, підготувала «Кроки екстреної реакції» та «Необхідні інструменти безпеки», щоб допомогти користувачам зберегти контроль у кризовій ситуації.
1. Три кроки екстреного втручання (золоті 10 хвилин)
Авторизація дій — це основний проникнення для втрати активів; контроль над лімітами авторизації — це відсікання ризиків на корені, суть у принципі «не надавати зайвих лімітів, відкликати при не використанні».
◆ Негайно заморозьте гаманець та скасуйте авторизацію: після виявлення незвичайних переказів активів або сплати високих комісій за Gas, негайно заморозьте операції за допомогою функції «Призупинити торгівлю» у вашому гаманці; одночасно відкрийте інструмент управління авторизаціями та масово скасуйте авторизації всіх підозрілих контрактів, щоб перервати канал переказу активів зловмисником.
◆ Зберігайте та повідомляйте платформі докази: зробіть скріншоти ключових доказів, таких як хеш транзакції (TxID), адреса зловмисного контракту, записи авторизації, посилання на доступ до dapp; надішліть хеш транзакції до блокчейн-оглядача та позначте цю транзакцію як «підозріла атака»; також повідомте офіційну службу підтримки гаманця та платформу dapp, щоб запросити допомогу у блокуванні.
◆ Зверніться за допомогою до професійної безпекової організації: якщо йдеться про втрату великої суми активів, негайно зв’яжіться з професійною безпековою організацією блокчейну (наприклад, ZeroTime Tech), надавши повний ланцюжок доказів. Команда з безпеки може за допомогою технологій слідкування в ланцюжку відстежити напрямок руху коштів зловмисника, допомогти взаємодіяти з правоохоронними органами та спробувати заморозити активи на зв’язаних адресах.
2. Рекомендовані інструменти безпеки блокчейну
Щоб допомогти користувачам щодня забезпечувати безпеку та швидко реагувати на ризики, ми відібрали 4 корисні інструменти, які охоплюють ключові сценарії: управління правами доступу, перевірка транзакцій, попередження про ризики — усі вони є визнаними в галузі інструментами безпеки:
3. Поширені помилки при вирішенні (поради, як уникнути помилок)
Щоб допомогти користувачам щодня забезпечувати безпеку та швидко реагувати на ризики, ми відібрали 4 корисні інструменти, які охоплюють ключові сценарії: управління правами доступу, перевірка транзакцій, попередження про ризики — усі вони є визнаними в галузі інструментами безпеки:
◆ Помилка №1: Оплата «комісії за розмороження» для відновлення активів — зловмисники вимагають токени, стверджуючи, що допомагають заморозити зловмисні адреси; це друга фішингова атака, не вірте.
◆ Помилка №2: Видалити гаманець і все — видалення гаманця не скасовує авторизацію контракту, зловмисники все ще можуть переказати активи; правильний підхід — спочатку скасувати авторизацію, а потім скинути гаманець.
◆ Помилка 3: Ігнорування ланцюгового відстеження — після великих втрат окрема особа не може відстежити напрямок руху коштів; необхідно звертатися до професійних організацій та правоохоронних органів, не відмовлятися від захисту своїх прав.
Висновок
Комісії за газ та безпека транзакцій — це «перша лінія захисту» у світі блокчейну. Такі небезпеки, як безмежне авторизування та підміна комісій за газ, суттєво використовують ілюзію безпеки користувачів та їхню незнаючість технічних деталей. Під час взаємодії з різними dapp пам’ятайте про три основні принципи: мінімізуйте авторизацію, робіть транзакції з невеликою затримкою та швидко реагуйте на пошкодження — це допоможе ефективно уникнути більшості ризиків.