DApp — это приложения на базе блокчейна с бэкендом на основе смарт-контрактов, которые обеспечивают децентрализованные криптовалютные взаимодействия без посредников.
Экосистема DApp предлагает беспрецедентную полезность и обладает огромным потенциалом, но также может подвергать пользователей риску. Распространенные мошеннические тактики в этой сфере включают социальную инженерию, фишинг разрешений, подписей и поддельные сайты для «исправления» блокчейна, нацеленные на кошельки пользователей.
Защитите себя: проверяйте DApp, внимательно изучайте разрешения перед их одобрением, используйте функции безопасности кошелька Binance и никогда не делитесь своей сид-фразой и приватными ключами.
В децентрализованных приложениях (DApp) вы — главный, но также и последняя линия защиты. От DeFi-протоколов и NFT-маркетплейсов до блокчейн-игр — децентрализованные приложения позволяют давать займы, торговать и играть с криптовалютой без посредников.
Но при отсутствии службы поддержки и в условиях, когда смарт-контракты управляют каждым действием, зачастую невозможно отменить транзакцию или отозвать подписанное сообщение.
В этом руководстве мы поможем вам безопасно и уверенно работать с DApp, начиная с выявления рискованных разрешений и заканчивая управлением разрешениями токенов. Все это — чтобы вы могли спокойно исследовать мир Web3 (без потери средств).
Децентрализованное приложение (DApp) — это приложение, которое работает на блокчейне, таком как Ethereum или BNB Chain, а не использует централизованные серверы. Это как приложение с публичным, прозрачным и неизменяемым бэкендом, работающим на смарт-контрактах.
В кошельке Binance можно подключаться к DApp с помощью QR-кода, просматривать и искать их на странице «Подробнее» и выбирать проверенные DApp.
Открытость мира Web3 означает, что любой может развернуть смарт-контракт или создать интерфейс DApp. Мошенники пользуются этой свободой и отсутствием централизованной службы поддержки, создавая фейковые DApp, которые очень похожи на настоящие. Эти вредоносные приложения тщательно разработаны, чтобы обманным путем заставлять пользователей подписывать рискованные сообщения или одобрять опасные транзакции, что в конечном итоге ставит под угрозу их активы.
Социальная инженерия — один из самых распространенных способов, которым мошенники обманывают пользователей, заставляя их подключать кошельки к вредоносным DApp. Вместо того чтобы полагаться исключительно на технические уязвимости, эти мошенники манипулируют человеческой психологией, используя такие эмоции, как страх и любопытство, и делая акцент на срочность, чтобы отключать здравый смысл. Вот как выглядит типичная последовательность шагов при атаке с использованием социальной инженерии.
Подмена личности. Мошенники часто выдают себя за официальных представителей проверенных платформ или проектов. Они копируют логотипы, используют убедительные имена пользователей и даже клонируют целые сообщества в Telegram, Discord или Twitter, чтобы выглядеть легитимно.
Завоевание доверия. В личных сообщениях или в этих группах мошенники пытаются вовлечь пользователей в дружескую беседу или предлагают непрошеную помощь, постепенно выстраивая отношения для завоевания доверия.
FOMO и обещания быстрой прибыли. Как только установлен базовый уровень доверия, мошенники немедленно начинают создавать ощущение срочности. Они рекламируют ограниченную по времени возможность, например эксклюзивную предпродажу, аирдроп или инсайдерский доступ к высокодоходному DApp. На потенциальных жертв оказывается давление, чтобы они совершили быстрые действия и начали работу с вредоносным DApp из-за риска упустить возможность.
Ловушка. Прибыль получают только мошенники. Эти DApp часто запрограммированы так, чтобы опустошить кошельки в момент подписания сообщения о подтверждении или, что еще хуже, предоставить мошеннику постоянный доступ к вашим средствам без вашего ведома
Фишинг разрешений
В DeFi подтверждения являются нормальной частью взаимодействия со смарт-контрактами — они позволяют DApp перемещать ваши токены от вашего имени. При фишинге с разрешениями вредоносные DApp злоупотребляют этой функцией, побуждая пользователей одобрять необычно большие или неограниченные расходы токенов.
После получения разрешения мошенники используют функции смарт-контрактов, такие как transferFrom() или пакетный вывод нескольких токенов с помощью multicall(), постепенно опустошая ваш кошелек. Поскольку разрешения остаются активными до их ручной отмены или достижения установленного лимита средств, мошенник может продолжать получать доступ к вашему кошельку, выводя одобренные токены долгое время после первоначального взаимодействия.
Фишинг подписей
Фишинг подписей обычно включает в себя обман пользователей, когда их заставляют подписывать произвольные или нечитаемые данные с помощью методов Permit, Permit 2 или eth_sign. В отличие от обычной транзакции в сети, эти подписи происходят офчейн, поэтому нет комиссии за газ, записи в блокчейне и немедленных тревожных сигналов. Как только действительная подпись создана, мошенники могут позже отправить ее в смарт-контракт, чтобы получить доступ к вашим токенам — иногда это позволяет осуществлять переводы или предоставляет широкие разрешения без вашего ведома.
Распространенный пример такого мошенничества использует Permit и Permit2 — легитимные методы офчейн-подтверждения, разработанные для упрощения взаимодействия с DApp.
Permit позволяет пользователям одобрять расход токенов через подпись вместо транзакции подтверждения в сети.
Permit2 расширяет эту функциональность, позволяя одной подписью одобрять несколько токенов с настраиваемыми лимитами и сроками действия.
Хотя эти инструменты удобны, мошенники злоупотребляют ими, маскируя вредоносные запросы Permit или Permit2 под безобидные уведомления. Если жертва подписывает один из таких документов, мошенник может позже использовать эту подпись для вывода средств, иногда спустя долгое время после взаимодействия. Поскольку при создании подписи транзакция не транслируется, взлом часто остается незамеченным до тех пор, пока токены не исчезнут.
Мошенничества, основанные на разрешениях, особенно опасны, поскольку одна скомпрометированная подпись может открыть доступ к нескольким токенам в зависимости от того, что вы ранее разрешили. Всегда проверяйте, что именно вы подписываете. Если текст нечитаем или не имеет смысла, не подписывайте его.
Корректировка блокчейна — это вид мошенничества, нацеленный на неопытных пользователей Web3. Мошеннические сайты утверждают, что исправляют распространенные проблемы с кошельком, такие как ошибки проскальзывания или неудачные транзакции, но на самом деле созданы для кражи вашей сид-фразы или приватных ключей. Вот как обычно работает эта схема мошенничества.
Таргетинг расстроенных пользователей. Мошенники охотятся на пользователей, испытывающих стресс из-за ошибок, таких как проблемы с миграцией кошелька и ошибки проскальзывания, предлагая фейковые быстрые решения, обещающие легкое устранение проблем.
Имитация& Эти сайты могут копировать внешний вид надежных сервисов, используя четкий дизайн или почти идентичные интерфейсы, чтобы усыпить бдительность пользователей.
Имитация ошибок. Оказавшись на сайте, пользователи сталкиваются с поддельными сообщениями об ошибках, которые специально разработаны так, чтобы выглядеть срочными и легитимными. Затем их просят подключиться вручную и обманом заставляют ввести сид-фразу или импортировать приватный ключ, предоставляя мошенникам полный доступ к кошельку, что позволяет вывести все средства.
Кошелек Binance имеет встроенные средства защиты, такие как симуляция транзакций и фильтры подписей, которые помогают обеспечить безопасность ваших активов. Он также блокирует разрешения для внешних аккаунтов (EOA), запросы с высоким риском, такие как eth_sign, и известные вредоносные DApp. Но, в конечном итоге, именно вы принимаете окончательное решение. Всегда читайте и обращайте внимание на предупреждения кошелька перед подтверждением транзакции или подписанием сообщения.
Никогда не подписывайте и не одобряйте запросы вслепую. Изучайте, какие разрешения запрашивает DApp — особенно когда дело касается одобрения токенов.
Избегайте неограниченных разрешений: всегда предоставляйте минимально необходимый доступ к токенам вместо неограниченного. Это ограничивает потенциальный ущерб, если DApp окажется вредоносным.
Отзыв старых разрешений: возьмите за привычку периодически проверять вкладку «Активы» > «Разрешения» в кошельке, чтобы отзывать ненужные.
Отключение неиспользуемых DApp: в разделе «Еще > Подключенные DApp» удалите доступ для DApp, которыми вы больше не пользуетесь. Если оставить их подключенными, повышается риск.
Используйте кошелек со встроенной функцией симуляции, например от Binance. Симуляция помогает предварительно просмотреть, что произойдет, до того, как транзакция будет фактически отправлена в блокчейн. Это как посмотреть на результат в будущем — так вы сможете обнаружить ошибки или мошенничество до того, как они принесут вам убытки.
Для простых переводов между кошельками симуляции помогают отмечать подозрительные адреса и потенциальные ошибки, например, отправку на известный мошеннический адрес. При взаимодействии со смарт-контрактами — во время свопов, стейкинга или других DeFi-операций — кошелек Binance запускает симуляции, чтобы показать вам ожидаемое количество токенов, их стоимость и возможные риски. Это дает вам четкое, осознанное представление перед тем, как нажать кнопку подтверждения.
Прежде чем взаимодействовать с любым DApp, уделите время его тщательной оценке. Легитимные проекты, как правило, проходят аудит независимыми фирмами по безопасности, и эти отчеты часто доступны на официальном сайте проекта. Изучите команду, стоящую за проектом — если они анонимны или их сложно проверить, это может быть тревожным знаком. Также обратите внимание на сообщество. Сильное, активное и прозрачное сообщество пользователей обычно является хорошим знаком, в то время как отсутствие активности или расплывчатые ответы могут указывать на скрытые риски.
При доступе к любому DApp всегда начинайте с проверенных ссылок на официальном сайте проекта или надежных платформах, таких как CoinMarketCap. Мошенники часто создают поддельные сайты, незаметно изменяя доменные имена или подменяя символы на похожие, которые трудно заметить с первого взгляда (например, uniswap.com и unίswap.com). Избегайте переходов по рекламным объявлениям в поисковых системах, так как фишинговые сайты часто платят за размещение на верхних позициях в результатах поиска. Для максимальной безопасности вводите ссылки вручную вместо того, чтобы переходить по рекламным объявлениям или вставлять ссылки, предоставленные третьими лицами.
Если кто-то просит вашу сид-фразу или приватный ключ, немедленно остановитесь — вас пытаются обмануть. Ни один легитимный DApp, сервис или агент поддержки никогда не запросит их. Как только вы поделитесь ими, ваш кошелек можно считать пустым. Закройте вкладку, уходите и не оглядывайтесь.
Знания — это ваша первая линия защиты в мире Web3. Понимание распространенных мошеннических схем и знание безопасных практик подтверждения критически важны для самозащиты. Будьте в курсе последних угроз, следя за такими надежными ресурсами, как Binance Academy, нашей серией «Как распознать мошенничество» и серией статей о безопасности. Эти ресурсы помогут вам быть на шаг впереди новых мошеннических схем и принимать обоснованные решения для защиты своих активов.
Мир DApp полон инноваций и возможностей. Независимо от того, используете ли вы инструменты DeFi, исследуете NFT или пробуете новую блокчейн-игру, всегда найдется что-то новое для изучения.
Даже если хорошо построенный дом оснащен надежными замками, все бесполезно, если вы оставите дверь открытой или потеряете ключи. Кошелек Binance Wallet предлагает мощные функции безопасности — от симуляций и предупреждений о мошенничестве до ограниченных разрешений — но вы должны использовать их с умом. Подтверждения, подписи и подключения DApp — часть повседневной жизни в Web3. Понимание их принципов — ключ к защите ваших средств. Если что-то кажется подозрительным, сделайте паузу, проверьте и не торопитесь с решением. Web3 вознаграждает тех, кто сохраняет бдительность и задает вопросы. С правильными привычками и здоровой долей осторожности вы сможете уверенно исследовать криптопространство, сохраняя свои средства в безопасности.
