Шахрайство з винагородою за голосування за протокол ApeX
Інтернет сповнений переконливих підробок та ретельно продуманих пасток. Шахраї регулярно клонують легітимні криптосайти та використовують знайомі елементи дизайну, щоб вселити людям хибне відчуття безпеки. Будь-хто, хто зберігає криптовалюти або взаємодіє з ними, повинен негайно ставитися до неочікуваних пропозицій винагород, термінових обмежених у часі «опитувань» або запитів на підключення гаманця.
Зміст
Що робить шахрайство з винагородою за голосування за протоколом ApeX
Дослідники виявили шахрайську веб-сторінку, що видає себе за ApeX Protocol і обіцяє дострокові винагороди у вигляді токенів власникам APEX, які проголосують протягом обмеженого проміжку часу. Підроблена сторінка, знайдена на таких доменах, як proposal-apex.com, і, ймовірно, відображається на інших, копіює зовнішній вигляд офіційної платформи, щоб переконати відвідувачів у її автентичності. Приманка: натисніть кнопку «Проголосувати зараз», підключіть свій гаманець і отримайте спеціальний аірдроп або дострокову винагороду, якщо проголосуєте протягом 24 годин. Насправді, підключення та схвалення сайту запускає шкідливий підпис контракту, який надає зливному програмному засобу дозвіл на переміщення активів з підключеного гаманця.
Як відбувається атака
Ключовим кроком, необхідним для шахрайства, є підписана транзакція або схвалення з вашого гаманця. Цей підпис може (залежно від того, що ви схвалюєте) дозволити контракту зловмисника переказувати токени, викликати функції обміну або іншим чином автоматично виводити кошти. Сучасні контракти на злив коштів можуть бути написані для пріоритезації цінних токенів, імітації правдоподібних вихідних транзакцій, щоб крадіжка залишалася непоміченою довше, та виконання переказів між кількома блокчейнами або типами токенів. Після переміщення коштів по блокчейну їх не можна скасувати — жертви рідко повертають активи.
Поширені методи шахрайства
Контракти зливу активів, що викрадають активи після зловмисного схвалення або підписання.
Фішингові сторінки, які захоплюють порожні фрази/приватні ключі гаманців або обманом змушують користувачів вставляти їх у фальшиві програми.
Соціальна інженерія, яка переконує користувачів вручну надсилати кошти на адресу шахрая (підроблені попередні продажі, перекази з «верифікацією» тощо).
Крипто-сектор – улюблена мішень для шахраїв
Системи криптовалют поєднують кілька властивостей, що приваблюють злочинців: транзакції є остаточними (незворотними) та зазвичай псевдонімними; зберігання коштів повністю залежить від закритих ключів, якими керують користувачі; а екосистема DeFi є складною та швидкозмінною, що створює можливості для соціальної інженерії та технічних хитрощів. Оскільки користувачі часто повинні взаємодіяти безпосередньо зі смарт-контрактами, одне недбале схвалення може відкрити двері для автоматичного зливу коштів. Поширеність запуску токенів, аірдропів та опитувань щодо «управління» також забезпечує переконливі приманки — шахраї просто імітують законні механізми (голосування, знімки, аірдропи), щоб зробити свої пастки правдоподібними. Нарешті, рекламні канали, такі як соціальні мережі, видавання себе за інфлюенсерів та рекламні мережі, дозволяють шахраям швидко та дешево досягати багатьох потенційних жертв.
Ознаки шахрайської пропозиції або сайту
Остерігайтеся термінових, обмежених у часі вимог щодо підключення до гаманця або підписання контрактів. Реальні голосування щодо управління або аірдропи оголошуються через офіційні канали (вебсайт проекту, підтверджені облікові записи в соціальних мережах, форуми) і ніколи не вимагають підписання довільних транзакцій, які надають широкі дозволи. Ознаками шахрайства є невідповідність доменних імен, погана гігієна SSL/URL (схожі домени або зайві слова), запити на розкриття вашої початкової фрази або експорт закритих ключів, а також запити на «перевірку» шляхом схвалення переказів або надання необмеженої кількості токенів.
Заключні думки
Шахраї експлуатують довіру та швидкість: вони копіюють знайомі інтерфейси, створюють тиск за допомогою коротких термінів та використовують незворотність криптотранзакцій. Сторінки «Винагорода за голосування за протокол ApeX» є хрестоматійним прикладом цього підручника. Завжди перевіряйте, ніколи не підписуйте наосліп і вважайте, що небажані пропозиції винагород є шахрайством, доки не буде доведено протилежне.
