Как защитить криптокошелек с помощью Revoke.cash?
Одобрение (или апрув) токенов не только улучшает взаимодействие в DeFi, но и может стать причиной потери активов. Чтобы избежать подобных ситуаций, создаются специализированные решения, одним из которых и является Revoke.cash.
DeFi предоставляет пользователям контроль над их данными. Однако вместе с преимуществами децентрализации такой подход требует от участников сети безопасного взаимодействия внутри экосистемы.
Поскольку в блокчейне отсутствует центральный орган управления, безопасность транзакций гарантируют смарт-контракты и другие технические решения. Опасность заключается в уязвимостях, которые могут быть найдены в коде контракта.
Взлом Ronin Network — это один из крупнейших случаев хакерской атаки в DeFi. В результате были украдены ETH и USDC на сумму более $625 млн. Случай произошел 2 года назад, однако подобные атаки все еще продолжаются. Так, например, в ноябре 2023 года децентрализованную биржу KyberSwap было взломано на $46 млн.
Прежде чем мы перейдем к Revoke.cash, вспомним о 4 распространенных видах мошенничества, которые существуют в DeFi.
- Раскрытие seed-фразы. Используя методы социальной инженерии, мошенники заставляют пользователя раскрыть seed-фразу его криптокошелька. Получив данные, злоумышленники приобретают доступ к бессрочному контролю активов пользователя. К сожалению, такой кошелек больше никогда не будет безопасным.
- Замаскированные транзакции ETH. Мошенники запрашивают подпись eth_sign, пряча ее под вызовом других функций. Подписав подобную транзакцию, вы не вернете средства, однако сможете продолжить пользоваться кошельком.
- Мошенничество на NFT-маркетплейсах. Обман, при котором пользователь предоставляет доступ к своим NFT под видом их продажи.
- Уязвимость одобрения токенов. Децентрализованные площадки используют одобрение токенов для снижения комиссий и упрощения работы с платформой. При взломе площадок одобрения попадают к мошенникам и создают риск кражи активов.
Что такое одобрение токенов?
Одобрение токенов — это разрешение, которое позволяет DApps переместить необходимое количество активов из криптокошелька пользователя. Чаще всего оно используется при торговле токенами и продаже NFT. Например, для обмена ETH на USDC с помощью Uniswap, нужно предоставить платформе разрешение на перемещение ETH.
Чтобы избежать подобных проблем, следует периодически проверять смарт-контракты, которым вы дали доступ. Это можно сделать в блокчейн-эксплорере или с помощью специализированных приложений. Одно из них — Revoke.cash.
Расширение информирует о деталях операции каждый раз, когда пользователь планирует предоставить доступ к децентрализованному приложению. Категории уведомлений можно регулировать в настройках: предупреждать об одобрениях токенов, NFT, о подписании хешей и потенциальном фишинге.
Есть ситуации, когда одобрение токенов можно или необходимо оставить. Например, для топовых протоколов, таких как Uniswap или при выставлении NFT на продажу. В последнем случае одобрение токенов это необходимость.
Пример вызова функции approve(). Источник: revoke.cash
Одобрение токенов также используется при взаимодействия с NFT. Например, для торговли на NFT-маркетплейсе по типу OpenSea или Blur необходимо предоставить доступ к передаче актива. То же самое в случае с криптокредитованием, когда вы используете NFT в качестве залога.
Поскольку одобрение токенов осуществляется в блокчейне, этот процесс можно воспринимать как транзакцию. Чтобы записать ее в реестр, пользователю необходимо оплатить комиссию. С целью экономии его средств DeFi-приложения указывают огромный лимит одобрения токенов, благодаря чему нет необходимости проводить эту операцию при каждом обмене активов.
Такой подход улучшает взаимодействие в DeFi, позволяя не оплачивать лишние комиссии. Однако в случае взлома смарт-контракта одобрение токенов пользователя попадает в руки мошенника, предоставляя ему доступ к активам.
Риски одобрения токенов
Уязвимость смарт-контракта. Основной риск одобрения токенов — это потенциальный взлом смарт-контракта, которому вы дали доступ. Даже лидеры рынка подвержены атакам. Например, один из смарт-контрактов SushiSwap был взломан в апреле 2023 года. В результате пользователи потеряли $3,5 млн.
Фишинг. Категория мошенничества, которая основана на маскировке вредоносного приложения под оригинал. Чаще всего используются DEX, веб-сайты для клейма токенов и получения каких-либо бонусов. В контексте одобрения токенов существует 2 вида фишинга:
- прямое одобрение мошеннику. Злоумышленник заставляет предоставить доступ смарт-контракту, который он контролирует;
- листинг на NFT-маркетплейсе. Используя методы социальной инженерии, мошенник заставляет подписать одобрение на продажу NFT за 0 ETH.
Чтобы избежать подобных проблем, следует периодически проверять смарт-контракты, которым вы дали доступ. Это можно сделать в блокчейн-эксплорере или с помощью специализированных приложений. Одно из них — Revoke.cash.
Обзор Revoke.cash
Revoke.cash — инструмент безопасности web3. Источник: revoke.cash
Revoke.cash — это инструмент безопасности web3, который защищает пользователей от рисков, связанных с взаимодействием с DeFi. Проект был запущен в 2019 году энтузиастом Rosco Kalis и представлен в виде расширения для браузера.
Функционал Revoke.cash:
- возможность отменить одобрение токенов;
- обновление суммы одобрения;
- уведомления о потенциально небезопасных веб-сайтах;
- проверка смарт-контрактов, с которыми взаимодействует пользователь.
Расширение информирует о деталях операции каждый раз, когда пользователь планирует предоставить доступ к децентрализованному приложению. Категории уведомлений можно регулировать в настройках: предупреждать об одобрениях токенов, NFT, о подписании хешей и потенциальном фишинге.
Чаще всего Revoke.cash используется для отмены или уменьшения суммы одобрения токенов. Это важно сделать, если:
- вы взаимодействуете с новым DeFi-приложением;
- вы перестали активно использовать DEX;
- вы не доверяете платформе.
Есть ситуации, когда одобрение токенов можно или необходимо оставить. Например, для топовых протоколов, таких как Uniswap или при выставлении NFT на продажу. В последнем случае одобрение токенов это необходимость.
Revoke.cash работает со всеми EVM-совместимыми сетями, включая Arbitrum, Polygon, Optimism и др. Кроме этого, расширение также поддерживает тестовые сети, например Goerly, Sepolia и тд.
По сути отмена — это установление нового одобрения со значением “0“. Поэтому, чтобы провести эту операцию, вам необходимо иметь небольшое количество токенов сети для оплаты комиссии.
Тестовые сети, которые поддерживает Revoke.cash. Источник: revoke.cash
Для того чтобы отозвать одобрение токенов с помощью расширения, вам необходимо:
- Перейти на веб-сайт Revoke.Cash и подключить криптокошелек, например Metamask.
- Выбрать сеть и токен, для которого необходимо отозвать одобрение.
- Выбрать «Отменить разрешение» и подтвердить транзакцию в кошельке.
По сути отмена — это установление нового одобрения со значением “0“. Поэтому, чтобы провести эту операцию, вам необходимо иметь небольшое количество токенов сети для оплаты комиссии.
Заключение
Безопасность в web3 — это комплекс мер. Используя только Revoke.cash, вы не обезопасите себя на 100%, однако уменьшите риск потенциальной кражи активов.
Не передавайте seed-фразу, взаимодействуйте только с проверенными смарт-контрактами, проверяйте домен на факт фишинга, а также перераспределяйте риски (отдельные кошельки для разных действий). Позаботьтесь о своей безопасности заранее, чтобы не стать жертвами мошенничества.
