Современный мир Web3 предлагает удобство и возможности, но вместе с этим пользователи сталкиваются с новыми, более сложными схемами мошенничества. Одной из таких схем стало использование фейкового моделирования транзакций, что уже позволило злоумышленникам украсть значительные суммы. Например, только за одну атаку мошенники похитили 143,45 ETH (около $460 000) всего за 30 секунд.
Как работает схема фейковой симуляции транзакций?
Многие Web3-кошельки предлагают удобную функцию предварительного просмотра транзакций. Эта опция позволяет пользователям видеть:
Сумму перевода;
Размер комиссии;
Другие ключевые данные, связанные с транзакцией.
На первый взгляд, это повышает прозрачность и безопасность процесса. Однако злоумышленники нашли способ обойти этот механизм, воспользовавшись временной задержкой между моделированием и фактическим выполнением транзакции.
Основной алгоритм атаки:
1. Заманивание жертвы: Пользователи перенаправляются на вредоносный сайт с предложением получить небольшое количество Ethereum (обычно клейм-транзакция).
2. Подготовка транзакции: На сайте отображается предварительный просмотр транзакции, что вызывает у жертвы доверие.
3. Манипуляция контрактом: Злоумышленники используют задержку между симуляцией и выполнением транзакции, чтобы изменить состояние контракта в блокчейне.
4. Кража средств: Если пользователь подписывает транзакцию, его кошелек мгновенно опустошается.
Почему это опасно?
Данная тактика особенно коварна, потому что:
Жертвы убеждены в безопасности транзакции из-за предпросмотра.
Все действия происходят в рамках легитимного интерфейса кошелька.
Хакеры действуют быстро, минимизируя шансы на обнаружение атаки.
Как защитить себя?
Эксперты по безопасности Scam Sniffer рекомендуют следующие меры:
1. Для пользователей:
Проверяйте источник сайта, на котором вы совершаете транзакции.
Никогда не подписывайте транзакции, если не уверены в их безопасности.
Используйте кошельки, которые предупреждают о рисках при моделировании транзакций.
2. Для разработчиков Web3-кошельков:
Снизьте частоту обновления симуляции, чтобы она соответствовала времени создания блоков.
Принудительно обновляйте результаты симуляции перед выполнением транзакции.
Внедряйте предупреждения, информирующие пользователей о возможных рисках.
Другие схемы мошенничества: инфлюенсеры и Telegram-боты
Схемы с фейковыми симуляциями — не единственная угроза. В конце 2024 года Scam Sniffer также раскрыли мошенническую тактику, связанную с фейковыми инфлюенсерами и вредоносными Telegram-ботами. Это еще раз подчеркивает важность внимательного подхода к любым транзакциям и взаимодействиям в криптовалютной среде.
Фейковые симуляции транзакций — это напоминание о том, как важно быть бдительным в мире криптовалют. Удобные функции кошельков, такие как предпросмотр транзакций, могут обернуться ловушкой, если злоумышленники найдут способ их обойти.
Чтобы защитить свои средства, пользователям и разработчикам необходимо работать вместе над повышением уровня безопасности. Только так можно обеспечить надежность и прозрачность Web3-среды, минимизировав риски для каждого участника.
|