Back to Blog

Защита активов: как уберечься от фишинга в Web3

MetaSleuth
December 14, 2023
4 min read

Что такое фишинг в Web3?

По мере того как пользователи занимаются торговлей токенами через блокчейн-транзакции, появилась новая форма фишингового мошенничества. В отличие от обычных фишинговых схем, направленных на получение личной или финансовой информации, этот метод нацелен на кражу активов пользователей путем манипуляции транзакциями. По сути, мошенники обманом заставляют жертв подписывать транзакции или сообщения, которые позволяют им выводить токены пользователей. В следующих разделах мы подробно рассмотрим различные распространенные виды фишинга в Web3 и изучим практические стратегии защиты ваших активов от них.

Распространенные виды фишинга в Web3

1. Прямая передача токенов

Этот вид мошенничества вынуждает пользователей напрямую переводить свои активы на адреса злоумышленников. Успех таких атак часто зависит от сложных методов социальной инженерии. Распространенный вариант включает в себя обман пользователей с целью подписания транзакции под предлогом проведения «обновления безопасности» или «получения (claim)» вознаграждения, что в итоге приводит к краже активов. Этот тип атаки обычно реализуется через фальшивый интерфейс (Fake Interface Scam).

2. Одобрение токенов (Token Approval) / Разрешение (Permit)

Методы «Approval» (одобрение) и «Permit» (разрешение) позволяют кому-то другому — так называемому "тратящему" (spender) — использовать ваши токены от вашего имени. Обычной практикой для пользователей является предоставление одобрений (approvals) DApps для упрощения торговых операций. Однако предоставление таких прав злоумышленникам, например, фишинговому адресу, может привести к финансовым потерям. Если жертва не осознает этого и не отзовет разрешение, фишинговая атака может продолжаться в течение длительного времени.

Пример транзакции атаки

3. Транзакции с нулевой стоимостью

Мошенничество с транзакциями нулевой стоимости, также известное как «отравление» (poisoning), происходит, когда фишеры манипулируют переводами нулевой стоимости с адреса жертвы на фишинговый адрес, который визуально напоминает легитимные адреса, с которыми пользователь взаимодействовал ранее. Эта обманная тактика нацелена на то, чтобы заставить жертв по ошибке перевести средства на эти фишинговые адреса, что приводит к значительной потере активов.

Пример адреса жертвы

4. Мошенничество с Gas-токенами

В сети Binance Smart Chain (BSC) некоторые фишеры используют схему эйрдроп-мошенничества, при которой они рассылают жертвам мошеннические токены и убеждают их одобрить или перевести эти токены. К сожалению, жертвы, сами того не подозревая, несут существенные расходы при взаимодействии с такими «скам-токенами». Эти комиссии используются для минтинга Gas-токенов на адрес мошенника, которые впоследствии обмениваются на прибыль.

Пример фишинговой транзакции

5. Мошенничество на рынке NFT

NFT — это уникальный вид виртуальных активов. Цены на NFT из одной коллекции могут значительно варьироваться, что делает автоматизированные транзакции через децентрализованные биржи (DEX) непрактичными. В результате появились маркетплейсы NFT, предоставляющие пользователям платформу для размещения ордеров и совершения покупок более удобным способом. Однако мошенники используют эти площадки, создавая вредоносные ордера для кражи NFT у жертв.

Пример фишинговой транзакции

6. Мошенничество с фальшивым интерфейсом

Пользователи взаимодействуют с ончейн-контрактами (например, DApps) через вызовы интерфейсов контрактов. Чтобы пользователям было понятнее, эти интерфейсы обычно представляются в виде имен методов. Однако важно отметить, что имена методов не всегда точно отражают конкретную реализацию метода. Например, метод с названием «SecurityUpdate» (обновление безопасности) не обязательно содержит обновление безопасности, а вместо этого может инициировать перевод активов вызывающего лица.

Пример фишинговой транзакции

Как обезопасить себя от фишинга в Web3

  • Избегайте посещения подозрительных веб-сайтов из ненадежных источников и будьте предельно осторожны с теми, которые требуют подключения кошелька. Многие кошельки и расширения для обозревателей могут предупреждать о фишинговых сайтах. Инструменты вроде MetaMask могут помочь.

  • Дважды проверяйте адреса, с которыми взаимодействуете, включая EOA (обычные адреса) и контракты. Не считайте их правильными только потому, что первые и последние несколько символов адреса кажутся знакомыми. Для адресов, с которыми вы взаимодействуете впервые, используйте инструменты для проверки рисков, такие как сканер рисков AvengerDAO или MetaDock.

  • Регулярно проверяйте и отзывайте разрешения (allowances) на использование токенов. Существует много инструментов, которые могут помочь вам в этом. Например, MetaDock — это расширение для браузера, которое помогает пользователям выявлять рискованные одобрения, улучшая функцию управления одобрениями токенов в обозревателях блокчейна.

  • Используйте несколько кошельков и распределяйте свои активы. Храните в «горячих» кошельках для ежедневного использования только необходимые активы. Основную часть активов храните на более безопасных «холодных» кошельках, таких как аппаратные кошельки.

О MetaSleuth

MetaSleuth — это комплексная платформа, разработанная компанией BlockSec, помогающая пользователям эффективно отслеживать и расследовать все крипто-активности. С помощью MetaSleuth пользователи могут легко отслеживать средства, визуализировать денежные потоки, контролировать движение средств в реальном времени, сохранять важную информацию и сотрудничать, делясь своими находками с другими. В настоящее время мы поддерживаем 13 различных блокчейнов, включая Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) и другие.

Сайт: https://metasleuth.io/

Twitter: @MetaSleuth

Telegram: https://t.me/MetaSleuthTeam

Sign up for the latest updates
Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

В 2024 году регуляторы наложили штрафы на сумму $4,2 млрд. Для Web3 и TradFi выбор правильного стека комплаенса стал обязательным условием выживания.

Отчет FATF о стейблкоинах: переход к соблюдению комплаенса на вторичном рынке
Knowledge

Отчет FATF о стейблкоинах: переход к соблюдению комплаенса на вторичном рынке

BlockSec анализирует отчет FATF о стейблкоинах и некастодиальных кошельках, объясняя фокус на P2P-торговле. Разбор рекомендаций и методов ончейн-мониторинга для усиления комплаенса эмитентов и VASP.

Отчет о преступлениях в сфере криптовалют за 2025 год: ключевые тренды и ончейн-данные
Security Insights

Отчет о преступлениях в сфере криптовалют за 2025 год: ключевые тренды и ончейн-данные

Этот 67-страничный отчет, основанный на анализе данных и блокчейн-доказательствах, раскрывает картину криптопреступности 2025 года, включая основные кейсы, структуру, особенности и актуальные тренды этой сферы.

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation