Крипторинок знову отримав болісне нагадування про те, що найбільша вразливість у Web3 часто лежить не в смартконтракті й не в гаманці, а в пристрої самого користувача. Цього разу жертва фішингової атаки втратила $1,76 млн у USDC після підписання шкідливої транзакції типу Permit. Саме цей підпис дав зловмисникам можливість вивести кошти практично безперешкодно. Пише minfin.com.ua
Інцидент швидко привернув увагу криптоспільноти, а розбір ситуації провели фахівці з безпеки GoPlus та представники OKX. Головний висновок їхнього аналізу звучить жорстко: проблема полягала не в багу гаманця, а в повному компрометуванні пристрою користувача.
Не злам гаманця, а захоплення середовища
За попередніми висновками, хакери отримали контроль над комп’ютером або смартфоном жертви через шкідливе ПЗ — це міг бути вірус, троян або заражене розширення браузера. Після цього атака перейшла на наступний рівень: зловмисники змогли маніпулювати тим, що користувач бачив на екрані.
Йдеться про підміну JavaScript-коду на вебсторінках, з якими взаємодіяв власник гаманця. Іншими словами, людина могла бачити один сценарій дії, тоді як насправді підписувала зовсім інший запит.
Саме тут і спрацював механізм Permit — функція, яка дозволяє надавати дозвіл на переказ токенів без окремої оплати комісії в нативній валюті. У нормальному сценарії це зручний інструмент. У компрометованому середовищі — ідеальний спосіб непомітно підсунути шкідливий дозвіл на списання коштів.
Чому інтерфейс уже не рятує
Найнебезпечніше в таких атаках те, що заражений пристрій руйнує саму логіку довіри до інтерфейсу. Якщо операційна система або браузер перебувають під контролем шкідливого ПЗ, гаманець може відображати користувачу не повну або взагалі фальшиву інформацію про транзакцію.
Тобто жертва натискає «підписати», думаючи, що погоджується на одну дію, а фактично санкціонує іншу. І в цей момент звична порада «уважно читайте, що підписуєте» вже працює лише частково — тому що на екрані може бути не вся правда.
Позиція OKX: проблема не в гаманці
На тлі чуток про можливу технічну несправність команда OKX заявила, що їхній Web3-гаманець працював коректно. У компанії нагадали, що сервіс побудований за моделлю self-custody, тобто приватні ключі зберігаються лише на пристрої користувача, а не на стороні платформи.
Але саме в цьому й полягає парадокс децентралізованої безпеки: якщо пристрій уже заражений, жодна self-custody-модель не дає абсолютного захисту. За словами експертів, кейлогер або інший шкідливий інструмент фактично ставить зловмисника «за спину» користувача — він бачить усе, що вводиться, підписується чи підтверджується.
Інакше кажучи, у зараженому середовищі безпека гаманця впирається не в криптографію, а в гігієну пристрою.
Чотири базові правила, які знову стали критичними
Фахівці GoPlus після цього інциденту ще раз наголосили на базових антифішингових принципах. Вони прості, але саме їх найчастіше порушують перед великими втратами:
— не переходити за підозрілими або незнайомими посиланнями;
— не встановлювати програми та розширення з неперевірених джерел;
— не підписувати транзакції, якщо їхній зміст не зрозумілий на 100%;
— не надсилати кошти на адреси без попередньої перевірки.
Ці правила звучать банально, але в реальності саме вони відділяють звичайну взаємодію з Web3 від катастрофи на мільйони доларів.
Що сталося насправді
У цій історії важливо розуміти одну річ: хакери не «зламали блокчейн», не зламали USDC і, ймовірно, не зламали сам гаманець у класичному сенсі. Вони зламали контекст, у якому користувач приймав рішення. А цього виявилося достатньо, щоб вивести $1,76 млн.
Саме тому подібні атаки небезпечніші за класичний фішинг. Вони не завжди вимагають викрадення seed-фрази чи прямого доступу до ключів. Іноді достатньо одного підпису — але підпису, який був зроблений у вже отруєному цифровому середовищі.
Гаманці зловмисників уже відстежують
Фахівці з безпеки вже ідентифікували низку адрес, на які було виведено вкрадені активи. Це не гарантує повернення коштів, але дає біржам, аналітичним платформам і системам моніторингу можливість відстежувати подальший рух активів.
Для рядових користувачів висновок із цієї історії жорсткий, але корисний: у Web3 найбільш небезпечним моментом часто є не переказ і не зберігання активів, а саме підпис. Якщо пристрій заражений, навіть одна Permit-транзакція може перетворитися на точку повної втрати контролю над гаманцем.