Криптосообщество всколыхнулось из-за очередного масштабного инцидента: один из пользователей стал жертвой фишинговой атаки, потеряв $1,76 млн в USDC. Причиной стало подписание вредной транзакции типа Permit, позволившей злоумышленникам беспрепятственно вывести средства из кошелька. Специалисты по безопасности GoPlus и представители OKX разобрали инцидент, чтобы выяснить, как именно хакерам удалось обойти защиту.
Как работала схема
Согласно результатам расследования, проблема заключалась не в уязвимости самого криптогаманца, а в полном компрометировании устройства пользователя (компьютера или смартфона).
- Заражение устройства: вероятно, через вирус, троян или вредоносный хакеры плагин получили контроль над операционной системой.
- Манипуляции с кодом: злоумышленники подменили JavaScript-код непосредственно на веб-страницах, с которыми пользователь взаимодействовал.
- Подпись Permit: используя функцию Permit (разрешающую давать разрешение на перевод токенов без оплаты комиссии в нативной валюте), хакеры подсунули жертве вредоносный запрос. Поскольку устройство было под контролем вируса, интерфейс кошелька мог отображать ложную информацию.
Позиция OKX
В ответ на слухи о возможном баге команда OKX официально заявила, что их Web3-кошелек работает исправно. В компании подчеркнули, что Web3-кошелек работает по Self-custody модели – частные ключи хранятся только на устройстве клиента.
Эксперты также отметили, если ваше устройство заражено кейлогером (программой, фиксирующей нажатие клавиш), ни один кошелек — будь то OKX или MetaMask — не сможет гарантировать безопасность.
«Это все равно, что вор стоит у вас за спиной и видит все, что вы вводите», — подчеркнули в компании.
Принцип «Четырех нет» от GoPlus
Эксперты GoPlus подчеркивают, что в ситуации, когда ваше устройство скомпрометировано, технические средства кошелька бессильны. Они призывают соблюдать четыре базовых правила антифишинга:
- Не переходить по подозрительным или незнакомым ссылкам.
- Не устанавливайте программное обеспечение из непроверенных источников.
- Не подписывать транзакции, содержание которых вы не понимаете в 100%.
- Не перечислять средства в адреса, которые не прошли верификацию.
Кошельки злоумышленников
Специалисты уже идентифицировали несколько кошельков, на которые были выведены украденные активы. Пользователям рекомендуется быть внимательным и использовать защитные плагины, которые способны блокировать вредоносные скрипты и подозрительные запросы на подпись в реальном времени.