Роковая подпись: пользователь потерял $1,76 млн в USDC из-за Permit-транзакции после взлома

Криптосообщество всколыхнулось из-за очередного масштабного инцидента: один из пользователей стал жертвой фишинговой атаки, потеряв $1,76 млн в USDC. Причиной стало подписание вредной транзакции типа Permit, позволившей злоумышленникам беспрепятственно вывести средства из кошелька. Специалисты по безопасности GoPlus и представители OKX разобрали инцидент, чтобы выяснить, как именно хакерам удалось обойти защиту.

► Читайте «Минфин» в Instagram: главные новости об инвестициях и финансах

Как работала схема

Согласно результатам расследования, проблема заключалась не в уязвимости самого криптокошелька, а в полном компрометировании устройства пользователя (компьютера или смартфона).

Заражение устройства: вероятно, через вирус, троян или вредоносный хакеры плагин получили контроль над операционной системой.
Манипуляции с кодом: злоумышленники подменили JavaScript-код непосредственно на веб-страницах, с которыми пользователь взаимодействовал.
Подпись Permit: используя функцию Permit (разрешающую давать разрешение на перевод токенов без оплаты комиссии в нативной валюте), хакеры подсунули жертве вредоносный запрос. Поскольку устройство было под контролем вируса, интерфейс кошелька мог отображать ложную информацию.

Позиция OKX

В ответ на слухи о возможном баге команда OKX официально заявила, что их Web3-кошелек работает исправно. В компании подчеркнули, что Web3-кошелек работает по Self-custody модели — частные ключи хранятся только на устройстве клиента.

Эксперты также отметили, если ваше устройство заражено кейлогером (программой, фиксирующей нажатие клавиш), ни один кошелек — будь то OKX или MetaMask — не сможет гарантировать безопасность.

«Это все равно, что вор стоит у вас за спиной и видит все, что вы вводите», — подчеркнули в компании.

Принцип «Четырех не» от GoPlus

Эксперты GoPlus подчеркивают, что в ситуации, когда ваше устройство скомпрометировано, технические средства кошелька бессильны. Они призывают соблюдать четыре базовых правила антифишинга:

Не переходить по подозрительным или незнакомым ссылкам.
Не устанавливайте программное обеспечение из непроверенных источников.
Не подписывать транзакции, содержание которых вы не понимаете в 100%.
Не перечислять средства в адреса, которые не прошли верификацию.

Кошельки злоумышленников

Специалисты уже идентифицировали несколько кошельков, на которые были выведены украденные активы. Пользователям рекомендуется быть внимательным и использовать защитные плагины, которые способны блокировать вредоносные скрипты и подозрительные запросы на подпись в реальном времени.

Автор:

Роман Мирончук