AI News CryptoTRADE THE NEWS

Kripto

Onay Dolandırıcılığı

Tanım

Onay phishing, bir akıllı sözleşmeye cüzdanınızdaki token'larınızı veya NFT'lerinizi hareket ettirme izni vermenizi sağlamak için sizi kandıran bir kripto dolandırıcılığıdır.

Onay oltalığı nedir?

Onay oltalığı, bir saldırganın sizi bir zincir üzerindeki izinleri imzalamaya ikna ettiği cüzdan tabanlı bir dolandırıcılıktır—genellikle bir token onayı veya NFT operatör onayı—bu, onların adresinin veya sözleşmesinin daha sonra tekrar sormadan varlıkları transfer etmesine izin verir. Sadece sizin seed phrase, dolandırıcılık, normal cüzdan istemlerini (“bağlan”, “imzala”, “onayla”) istismar ederek, rutin görünen bir onay almak için kullanılır.

Bu, kripto cüzdan dolandırıcılıklarında ele alınan temel bir modeldir ve bunlardan nasıl kaçınılacağıdır çünkü imzaladığınız işlem geçerli ve geri alınamaz olabilir, oysa niyet aldatıcıydı.

Onay dolandırıcılığı

Yüksek düzeyde, onay dolandırıcılığı, izin verdiğiniz an ile fonların çalındığı anı ayırarak çalışır. Kötü niyetli bir site, bir airdrop, bir destek düzeltmesi veya bir mint duyurabilir, ardından sizi “onaylamaya” veya “devam etmek için imzalamaya” yönlendirebilir. Cüzdanınızdan hemen hiçbir şey görünürde çıkmadığı için güvenli hissedilir.

Ancak, yeni verdiğiniz onay, sürekli bir yetkilendirme gibi davranabilir: saldırgan (veya otomatik bir “drainer” sözleşmesi) daha sonra bir transfer fonksiyonunu çağırabilir ve o izin altında kalan varlıkları çekebilir. Bu nedenle, kurbanlar genellikle kayıpları saatler veya günler sonra fark eder ve hırsızlığı önceki tıklama ile bağlamakta zorlanır.

Token onay dolandırıcılığı

Token onay dolandırıcılığı, özellikle ERC-20 tarzı izinleri hedef alır. Birçok token, sizin adınıza harcama yapabilmesi için bir akıllı sözleşmeye bir izin vermenizi gerektirir (örneğin, bir DEX'te takas yaparken). Dolandırıcılar, bu tanıdık akışı taklit eder ve sizi meşru bir sözleşme yerine kendi sözleşmelerini onaylamaya kandırır.

Tehlikeli versiyon, harcayanın şimdi ve gelecekte toplam bakiyenizin tamamını hareket ettirebileceği “sınırsız” bir izin içermektedir. Bazı kampanyalar, harcama haklarını etkinleştirmek için saldırgan tarafından daha sonra zincir üzerinde sunulabilecek bir mesaj imzaladığınız permit2 gibi imza tabanlı onaylar da kullanır.

Cüzdan istemi harcayanı veya miktarı net bir şekilde açıklamayabileceğinden, token onay dolandırıcılığı genellikle temkinli kullanıcılarla bile başarılı olur.

İzin dolandırıcılığı

İzin dolandırıcılığı, istismar edilen şeyin perspektifinden tanımlanan aynı saldırıdır: izin (bir harcayanın ne kadar transfer edebileceğini tanımlayan sayısal limit). Dolandırıcının amacı, (1) çalmaya değer kadar büyük ve (2) daha fazla fon aldığınızda çalışmaya devam edecek kadar geniş bir izin almaktır. Pratikte, saldırgan cüzdanınızı izler ve bakiyeniz arttığında transferleri tetikler, hırsızlığı “gizemli” hissettirir.

Bu, harcama yetkisi veren veya bir operatör atanmasını sağlayan bir imza elde etme hilesi olan imza dolandırıcılığı ile de örtüşmektedir, hatta geleneksel bir “onayla” işlemi göndermeseniz bile. Kötü bir izin verdiğinizi düşünüyorsanız, ana önlem, şüpheli harcayan için onayı iptal etmek, böylece gelecekteki transferlerin başarısız olmasını sağlamaktır.

Onay phishing neden önemlidir

Onay phishing, bir anlık kafa karışıklığını varlıklarınıza sürekli, programlanabilir erişime dönüştürdüğü için önemlidir - özel anahtarlarınızı tehlikeye atmadan. Bu, saldırganlar için ölçeklenebilir hale getirir ve mağdurların itiraz etmesini zorlaştırır: izin mevcutsa, blockchain transferi yetkilendirilmiş olarak kabul edecektir.

Ayrıca, meşru uygulamaların aynı onay mekanizmalarını kullandığı için, günlük DeFi işlemlerinde, örneğin takaslar ve mintleme gibi, kullanıcı güvenini zayıflatır. En iyi savunma, “onayla”nın zararsız bir adım olmadığını anlamak, izinleri düzenli olarak gözden geçirmek ve tanımadığınız her şeyi kaldırmaktır - bu, kripto cüzdan dolandırıcılıklarının merkezinde yer alan alışkanlıklardır ve bunlardan nasıl kaçınılacağıdır.

Sıkça Sorulan Sorular

Onay phishing'i normal phishing'den nasıl farklıdır?

Normal phishing genellikle şifreler veya seed phrase'ler gibi gizli bilgileri çalmaya çalışır. Onay phishing, sizi zincir üzerinde bir izin vermeye kandırır, böylece saldırgan, çalınan kimlik bilgileri yerine geçerli bir onay kullanarak varlıkları hareket ettirebilir.

Onay phishing, seed phrase'im olmadan cüzdanımı boşaltabilir mi?

Evet. Eğer kötü niyetli bir sözleşmeye token'ları harcama veya NFT'leri yönetme izni verdiyseniz, onay aktif kaldığı sürece bu varlıkları seed phrase'inizi gerektirmeden transfer edebilir.

Sınırsız token onayı nedir ve neden risklidir?

Sınırsız bir onay, izin miktarını çok büyük bir sayıya ayarlayarak bir sözleşmenin yeni onaylar olmadan tekrar tekrar harcama yapmasına olanak tanır. Eğer harcayan kötü niyetliyse veya daha sonra tehlikeye girerse, token'larınızı tam bakiyenize kadar boşaltabilir.

Onayları iptal etmem gerektiğini nasıl anlarım?

Tanımadığınız, artık ihtiyaç duymadığınız veya şüpheli sitelere, airdroplara veya 'destek' bağlantılarına verilen onayları iptal edin. Şüpheli bir dApp ile etkileşimde bulunduysanız, hızlı bir şekilde iptal etmek, gecikmeli boşaltma olasılığını azaltır.

Permit2, onay phishing'i daha iyi mi yoksa daha kötü mü yapar?

Permit2, imza tabanlı izinleri etkinleştirerek kullanıcı deneyimini geliştirebilir, ancak aynı zamanda saldırganların istismar edebileceği başka bir onay yüzeyi de oluşturur. Risk, neyi imzaladığınıza ve o imzalı izni zincir üzerinde kimin sunabileceğine bağlıdır.

İlgili Terimler

ERC-20

ERC-20 is the standard set of rules that makes Ethereum-based tokens work consistently across wallets, exchanges, and smart contracts.

Wallet Drainer

A wallet drainer is a crypto scam tool that tricks you into approving or signing transactions that let attackers transfer assets out of your wallet.

Onay Phishing: Tanım, örnekler ve önleme yöntemleri