Недавний шокирующий инцидент потери цифрового актива привлек широкое внимание в мире криптовалют. Один из инвесторов потерял активы стоимостью 8,43 миллиона USDT, используя то, что считается самым безопасным способом хранения в холодном кошельке. Этот инцидент показывает, что даже самые осторожные инвесторы могут случайно оказаться в опасности.
Главный герой события предпринял множество распространенных мер безопасности: использовал холодный кошелек Ledger, никогда не раскрывал приватные ключи в сетевой среде и даже осторожно записывал мнемоническую фразу на бумаге. Тем не менее, эти меры в конечном итоге не смогли предотвратить трагедию.
Корень проблемы заключается в одном на вид безобидном браузерном плагине-кошельке. Этот плагин предлагает привлекательные функции, такие как синхронизация с холодным кошельком, удобный интерфейс и обзор активов, и даже получил рекомендации от сообщества. Инвесторы считают, что просто просмотр активов не должен представлять риск, игнорируя один ключевой шаг в процессе подключения — авторизацию подписи.
Это разрешение фактически предоставило третьей стороне права на перевод всех токенов в кошельке. Три дня спустя, когда холодный кошелек получил 8,43 миллиона USDT, хакер немедленно, вызвав контракт, единовременно вывел весь баланс. Весь процесс прошел без каких-либо дополнительных этапов подтверждения, как если бы заранее подписанный пустой чек был обналичен.
Запись в блокчейне показывает, что это стандартное разрешение "SetApprovalForAll" для контракта, которым управляет хакер. В тот же день, когда средства поступили, они были быстро переведены, и в записи транзакции осталась только одно событие вызова.
Это событие напоминает нам, что даже холодные кошельки не являются абсолютно надежными. Хакерам не нужно напрямую взламывать приватные ключи; достаточно получить неподобающую авторизацию, и это равносильно получению контроля над средствами. В мире криптоактивов наибольший риск часто заключается не в технических уязвимостях, а в тех операциях, которые кажутся безопасными, но на самом деле являются опасными.
В настоящее время соответствующие стороны уже вмешались в расследование, часть вовлеченных средств была заморожена. Но этот инцидент безусловно стал тревожным сигналом для всех держателей криптоактивов: при проведении любых авторизованных операций необходимо быть особенно осторожным, даже если используется наиболее безопасный способ хранения.
Инвесторы в криптоактивы должны быть бдительными, внимательно проверять каждый запрос на авторизацию и понимать его потенциальное влияние. В то же время, также призываем отрасль разрабатывать более безопасные и прозрачные инструменты управления активами, чтобы предотвратить подобные трагедии в будущем. Только установив правильное осознание безопасности и приняв комплексные меры защиты, можно действительно защитить свои цифровые активы.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
4
Репост
Поделиться
комментарий
0/400
0xDreamChaser
· 23ч назад
Можно ли попробовать на втором аккаунте перед подписанием авторизации?
Посмотреть ОригиналОтветить0
SellLowExpert
· 23ч назад
разыгрывайте людей как лохов收割就是这么简单?
Посмотреть ОригиналОтветить0
BoredStaker
· 23ч назад
Снова попались? Верить плагинам — это безумие.
Посмотреть ОригиналОтветить0
airdrop_huntress
· 23ч назад
Авторизованная подпись действительно не должна раздаваться без разбора!
Недавний шокирующий инцидент потери цифрового актива привлек широкое внимание в мире криптовалют. Один из инвесторов потерял активы стоимостью 8,43 миллиона USDT, используя то, что считается самым безопасным способом хранения в холодном кошельке. Этот инцидент показывает, что даже самые осторожные инвесторы могут случайно оказаться в опасности.
Главный герой события предпринял множество распространенных мер безопасности: использовал холодный кошелек Ledger, никогда не раскрывал приватные ключи в сетевой среде и даже осторожно записывал мнемоническую фразу на бумаге. Тем не менее, эти меры в конечном итоге не смогли предотвратить трагедию.
Корень проблемы заключается в одном на вид безобидном браузерном плагине-кошельке. Этот плагин предлагает привлекательные функции, такие как синхронизация с холодным кошельком, удобный интерфейс и обзор активов, и даже получил рекомендации от сообщества. Инвесторы считают, что просто просмотр активов не должен представлять риск, игнорируя один ключевой шаг в процессе подключения — авторизацию подписи.
Это разрешение фактически предоставило третьей стороне права на перевод всех токенов в кошельке. Три дня спустя, когда холодный кошелек получил 8,43 миллиона USDT, хакер немедленно, вызвав контракт, единовременно вывел весь баланс. Весь процесс прошел без каких-либо дополнительных этапов подтверждения, как если бы заранее подписанный пустой чек был обналичен.
Запись в блокчейне показывает, что это стандартное разрешение "SetApprovalForAll" для контракта, которым управляет хакер. В тот же день, когда средства поступили, они были быстро переведены, и в записи транзакции осталась только одно событие вызова.
Это событие напоминает нам, что даже холодные кошельки не являются абсолютно надежными. Хакерам не нужно напрямую взламывать приватные ключи; достаточно получить неподобающую авторизацию, и это равносильно получению контроля над средствами. В мире криптоактивов наибольший риск часто заключается не в технических уязвимостях, а в тех операциях, которые кажутся безопасными, но на самом деле являются опасными.
В настоящее время соответствующие стороны уже вмешались в расследование, часть вовлеченных средств была заморожена. Но этот инцидент безусловно стал тревожным сигналом для всех держателей криптоактивов: при проведении любых авторизованных операций необходимо быть особенно осторожным, даже если используется наиболее безопасный способ хранения.
Инвесторы в криптоактивы должны быть бдительными, внимательно проверять каждый запрос на авторизацию и понимать его потенциальное влияние. В то же время, также призываем отрасль разрабатывать более безопасные и прозрачные инструменты управления активами, чтобы предотвратить подобные трагедии в будущем. Только установив правильное осознание безопасности и приняв комплексные меры защиты, можно действительно защитить свои цифровые активы.