Як захистити криптогаманець за допомогою Revoke.cash?

• Розкриття seed-фрази. Використовуючи методи соціальної інженерії, шахраї змушують користувача розкрити seed-фразу криптогаманця. Отримавши дані, зловмисники отримують доступ до безстрокового контролю активів. На жаль, такий гаманець більше ніколи не буде безпечним.
• Замасковані транзакції ETH.  Шахраї запитують підпис eth_sign, маскуючи його серед викликів інших функцій. Підписавши таку транзакцію, ви не повернете кошти, проте зможете надалі користуватися гаманцем.
• Шахрайство на NFT-маркетплейсах. Обман, за якого користувач надає доступ до своїх NFT, сподіваючись на їх продаж.
• Уразливість схвалення токенів. Децентралізовані майданчики використовують схвалення токенів для зниження комісій і спрощення роботи з платформою. Але, якщо ці майданчики зламано, схвалення потрапляють до шахраїв і створюють ризик крадіжки активів.

Що таке схвалення токенів?

Схвалення токенів — це дозвіл, який дає можливість DApps перемістити необхідну кількість активів із криптогаманця користувача. Переважно використовується під час торгівлі токенами та у продажах NFT. Наприклад, для обміну ETH на USDC за допомогою Uniswap потрібно надати платформі дозвіл на переміщення ETH.

Приклад виклику функції approve(). Джерело: revoke.cash

Схвалення токенів також використовується при взаємодії з NFT. Наприклад, для торгівлі на NFT-маркетплейсі типу OpenSea або Blur необхідно надати доступ до передавання активу. Те саме у випадку з криптокредитуванням, коли ви використовуєте NFT як заставу.

Оскільки схвалення токенів відбувається у блокчейні, цей процес можна сприймати як транзакцію. Щоб записати її до реєстру, користувач має сплатити комісію. Для економії його коштів DeFi-застосунки вказують величезний ліміт схвалення токенів, завдяки чому не потрібно проводити цю операцію при кожному обміні активів.

Такий підхід покращує взаємодію у DeFi, дозволяючи не оплачувати зайві комісії. Однак, у разі зламу смартконтракту, схвалення токенів користувача потрапляє до рук шахрая, надаючи йому доступ до активів.

Ризики схвалення токенів

Уразливість смартконтракту. Основний ризик схвалення токенів — це потенційний злам смартконтракту, якому ви надали доступ. Навіть лідери ринку зазнають атак. Наприклад, один із смартконтрактів SushiSwap був зламаний у квітні 2023 року. Тоді користувачі втратили $3,5 млн.

Фішинг. Категорія шахрайства, що ґрунтується на маскуванні шкідливого застосунку під оригінал. Найчастіше використовуються DEX, вебсайти для клейму токенів та отримання будь-яких бонусів. У контексті схвалення токенів є 2 типи фішингу:

• пряме схвалення. Зловмисник змушує надати доступ до смартконтракту, який він контролює;
• лістинг на NFT-маркетплейсі. Використовуючи методи соціальної інженерії, шахрай змушує підписати схвалення на продаж NFT за 0 ETH.

Щоб уникнути таких проблем, слід періодично перевіряти смартконтракти, яким ви надали доступ. Це можна зробити у блокчейн-експлорері або за допомогою спеціалізованих застосунків. Один із них — Revoke.cash.

Огляд Revoke.cash

Revoke.cash — інструмент безпеки Web3. Джерело: revoke.cash

Revoke.cash — це інструмент безпеки Web3, який спрямований на захист користувачів від ризиків, що пов'язані із взаємодією з DeFi. Проєкт був запущений у 2019 році ентузіастом Rosco Kalis та представлений у вигляді розширення для браузера.

Функціонал Revoke.cash:

• можливість скасувати схвалення токенів;
• оновлення суми схвалення;
• сповіщення про потенційно небезпечні вебсайти;
• перевірка смартконтрактів, з якими взаємодіє користувач.

Revoke.cash інформує про деталі операції щоразу, коли користувач планує надати доступ до децентралізованого застосунку. Категорії повідомлень можна регулювати в налаштуваннях: попереджати про схвалення токенів, NFT, про підписання хешів та потенційний фішинг.

Найчастіше Revoke.cash використовується для скасування або зменшення суми схвалення токенів. Це важливо зробити, якщо:

• ви взаємодієте з новим DeFi-застосунком;
• ви припинили активно використовувати DEX;
• ви не довіряєте платформі.

Трапляються ситуації, коли схвалення токенів є потрібним і його варто залишити. Наприклад, для топових протоколів, таких як Uniswap, або під час продажу NFT. В останньому випадку схвалення токенів є необхідним.

Revoke.cash працює з усіма EVM-сумісними мережами, включно з Arbitrum, Polygon, Optimism тощо, а також підтримує тестові мережі, наприклад Goerly, Sepolia та ін.

Тестові мережі, які підтримує Revoke.cash. Джерело: revoke.cash

Для того, щоб відкликати схвалення токенів за допомогою Revoke.cash, вам необхідно:

1. Перейти на вебсайт Revoke.Cash та підключити криптогаманець, наприклад Metamask.
2. Вибрати мережу та токен, для якого необхідно відкликати схвалення.
3. Вибрати «Скасувати дозвіл» і підтвердити транзакцію в гаманці.

Фактично скасування — це встановлення нового схвалення зі значенням “0“. Тож, щоб провести таку операцію, вам необхідно мати невелику кількість токенів мережі для сплати комісії.

Висновок

Безпека в Web3 — це комплекс заходів. Використовуючи лише Revoke.cash, ви не убезпечите себе на 100%, однак зменшите ризик потенційної крадіжки активів.

Не передавайте seed-фразу, взаємодійте лише з перевіреними смартконтрактами, перевіряйте домен на факт фішингу, а також перерозподіляйте ризики (окремі гаманці для різних дій). Подбайте про свою безпеку заздалегідь, щоб не стати жертвами шахрайства.