Купити криптовалюту
Оплачуйте
USD
USD
Купити та продати
Hot
Купуйте та продавайте криптовалюту через Apple Pay, картки, Google Pay, Банківський переказ тощо
P2P
0 Fees
Нульова комісія, понад 400 способів оплати та зручна купівля й продаж криптовалют
Gate Card
Криптовалютна платіжна картка, що дозволяє здійснювати безперешкодні глобальні транзакції.
Ринки
Торгівля
Базовий
Просунутий рівень
Ф'ючерси
Ф'ючерси
Сотні контрактів розраховані в USDT або BTC
TradFi
Золото
Торгуйте глобальними традиційними активами за допомогою USDT в одному місці
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Запуск ф'ючерсів
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Беріть участь у подіях, щоб виграти щедрі винагороди
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Earn
Запуск
CandyDrop
tag
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Бали Alpha
Торгуйте ончейн-активами і насолоджуйтеся аірдроп-винагородами!
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Центр багатства VIP
Індивідуальне управління капіталом сприяє зростанню ваших активів
Управління приватним капіталом
tag
Індивідуальне управління активами для зростання ваших цифрових активів
Квантовий фонд
tag
Найкраща команда з управління активами допоможе вам отримати прибуток без клопоту
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
New
Жодної примусової ліквідації до дати погашення — прибуток із плечем без зайвих ризиків
Випуск GUSD
Використовуйте USDT/USDC для випуску GUSD з дохідністю на рівні казначейських облігацій
Спільнота
Square
Поділіться своїм дописом і будьте в курсі криптовалют і не тільки
Live
moments live
Аналіз крипторинку в реальному часі
Чат
Спілкуйтеся з криптотрейдерами
Новини
Останні новини в світі криптовалют
Більше
Акції
Інші
TradFi
giveaways
Центр Винагород

Phantom Chat під підозрою після $264K Address через отруєння та втрату

CryptoBreaking

Інцидент із фішингом, пов’язаним із вбудованою функцією чату в гаманці, посилив увагу до безпеки UX у криптовалютній сфері після того, як інвестор втратив приблизно 264 000 доларів у Wrapped Bitcoin (CRYPTO: WBTC). Блокчейн-розслідувач ZachXBT простежив переказ 3,5 WBTC з адреси 0x85c на 0x4b7, що було позначено Nansen як вихід із високобалансової рахунки. Ця схема відповідає техніці отруєння адрес, яка є видом фішингу, що використовує історію транзакцій користувача для спонукання його до відправки коштів, не порушуючи приватних ключів.

Дослідники безпеки описують, як отруєння адрес експлуатує власну активність користувача. Шахраї сіють дрібні, непомітні транзакції і покладаються на те, що жертви копіюють адресу з історії своїх транзакцій для завершення переказу. Такий підхід може обійти традиційні засоби захисту керування ключами, оскільки базується на соціальній інженерії та знайомстві з попередньою активністю, а не на прямому крадіжці ключів. У цьому випадку інцидент пов’язаний із Phantom Chat — функцією обміну повідомленнями, яку Phantom запустив для підтримки комунікацій навколо токенів, перпетуальних ф’ючерсів і сторінок прогнозів 23 грудня.

Рішення Phantom увімкнути функцію чату супроводжувалося застереженням, що безпека завжди буде балансом між зручністю та ризиком. Цей інцидент викликав заклики від провідних фігур у криптосфері щодо посилення захисту гаманців. Зангпен Чжао, співзасновник Binance, раніше закликав розробників гаманців створювати захисні механізми для виявлення отруєних адрес і блокування або фільтрації підозрілих адрес отримання. У грудні Чжао написав, що «усі гаманці мають просто перевіряти, чи є адреса отримання «отруєною», і блокувати користувача. Це запит до блокчейну». Ця ідея відображає ширший рух у галузі щодо посилення захисту інтерфейсів на ланцюгу від соціальної інженерії, а не лише від крадіжки приватних ключів.

Публічні рекомендації від дослідників безпеки однозначні: користувачі мають ставитися з підозрою до непрошених токенів або NFT і уникати натискання на посилання у платних оголошеннях або постах у соцмережах, що обіцяють безкоштовні роздачі. Сам Phantom закликав дотримуватися найкращих практик, включаючи обережність щодо незнайомих токенів і важливість не натискати на посилання з ненадійних повідомлень. Це свідчить про широку згоду, що UX гаманця має еволюціонувати, щоб зменшити тертя та підвищити видимість потенційних загроз.

Дослідники з Hacken наголосили на необхідності мати єдине джерело правди для адрес отримувачів, наприклад, довірений список контактів або перевірений адресник. Їх команда Extractor підкреслила недавній випадок отруєння адреси ETH, пов’язаний із гаманцем Galaxy Digital, що стався на початку січня, що свідчить: ризик не обмежується споживчими гаманцями, а може торкнутися й інституційних учасників. Висновок простий: передтранзакційні перевірки ризиків і виявлення подібності адрес мають бути невід’ємною частиною UX гаманця, а не додатковими опціями.

Розслідувачі блокчейну також відзначають, що вектор атаки часто залежить від того, як користувачі сприймають і реагують на історію транзакцій. Стратегія зловмисника — створити ілюзію звичайної історії переказів і покладатися на м’язову пам’ять жертви для копіювання адреси. Практичний висновок: навіть здавалося б нешкідливий інтерфейс — наприклад, функція обміну повідомленнями, пов’язана з активністю транзакцій — може стати вразливим, якщо не має заходів щодо виявлення підозрілої активності. Тому кілька розробників гаманців досліджують механізми передвиконувальної оцінки ризиків, що симулюють переказ перед підписанням, пропонуючи «фаєрвол-подібний» попередній перегляд, який показує, як транзакція виглядатиме за поточних умов.

У сфері інструментів захисту кілька гаманців почали позиціонувати себе як оплот проти отруєння адрес. Rabby Wallet, Zengo Wallet і Phantom Wallet згадуються у галузевих обговореннях як системи, що можуть інтегрувати більш агресивні перевірки перед затвердженням або логіку блокування підозрілих адрес відправлення або отримання. Основна увага зосереджена на практичних заходах ризик-менеджменту, які можна застосовувати без шкоди для користувацького досвіду, на відміну від громіздких і непрозорих сповіщень безпеки, які користувачі зазвичай ігнорують.

Додатковий фактор тертя — Phantom вже анонсував розширення можливостей live-чату та інтеграційних точок у своєму продукті. Комунікації компанії щодо цієї функції — спрямовані на полегшення взаємодії навколо токенів, перпетуальних контрактів і прогнозів — ілюструють двосторонню природу інструментів обміну повідомленнями на ланцюгу: вони можуть підвищити залученість користувачів, але водночас створюють нові вектори для соціальної інженерії, якщо не супроводжуються надійною захисною логікою.

Кібербезпекові експерти наголошують, що постійна освіта користувачів має доповнюватися захистами на рівні ланцюга. Деді Лавід, генеральний директор компанії Cyvers, що спеціалізується на безпеці блокчейну, сказав Cointelegraph, що справжній захист вимагає проактивних передтранзакційних перевірок і механізмів виявлення подібності адрес, що попереджають користувачів перед підписанням. Деякі експерти навіть пропонують інструменти симуляції у реальному часі, що відтворюють точний шлях транзакції, дозволяючи користувачам виявляти аномалії до того, як кошти покинуть їхній контроль.

Поки спільнота обговорює ці пропозиції, галузь продовжує слідкувати за моделями активності отруєння адрес і ефективністю нових функцій безпеки гаманців. Основна мета — зменшити ймовірність того, що жертва повірить у правдоподібну історію, одночасно зберігаючи простоту відправки коштів, що робить гаманці привабливими. Цей баланс особливо делікатний у контексті швидкого розвитку функцій гаманців і зростаючої популярності внутрішньо-додаткових повідомлень щодо DeFi, NFT та інших активів на ланцюгу.

Чому це важливо

Інцидент висвітлює постійний парадокс у криптовалюті: гаманці мають бути одночасно зручними та безпечними у середовищі, де ризики часто соціальні, а не лише технічні. Фішинг через отруєння адрес експлуатує те, як люди взаємодіють із власною історією транзакцій, що ускладнює вирішення проблеми лише за допомогою ключів. Якщо провайдери не впровадять превентивні перевірки або чіткі попередження, вразливі користувачі можуть багаторазово потрапляти на шахрайські схеми, що базуються на звичайній активності як на векторі атаки.

З точки зору інвестора, цей випадок підкреслює важливість дизайну гаманця з урахуванням ризиків. Навіть якщо інституції експериментують із DeFi і міжланцюговими операціями, основи безпечного входу — біллісти адрес, перевірені контакти та контекстуальні попередження — стають критичними диференціаторами. Поклик на покращення UX не означає зниження рівня безпеки; навпаки, потрібно розумніше і прозоріше впроваджувати захисти, які користувачі можуть швидко зрозуміти, зберігаючи швидкість і зручність сучасних гаманців.

Для розробників цей момент — нагадування, що нові функції, такі як внутрішньо-додатковий чат, мають супроводжуватися ретельними перевірками безпеки, особливо щодо того, як історія транзакцій може бути використана зловмисниками. Команди управління та продукту в проектах гаманців тепер мають чітко формулювати, як нові функції зменшують ризики і яку автономію мають користувачі для відключення або налаштування цих захистів. За суттю, безпечна розробка має бути закладена у дорожню карту, а не додана після порушення.

Нарешті, ширший ринковий контекст залишається актуальним. Оскільки екосистема криптовалют розвивається з все складнішими продуктами і дедалі більш переплетеними шарами DeFi, стимул для зловмисників зростає. Атаки через отруєння адрес не зникнуть; вони еволюціонуватимуть разом із новими інтерфейсами. Відповідь галузі — прозоре звітування, посилення UI-захистів і освіта користувачів — визначатиме швидкість повернення довіри до гаманців і їх широку adoption.

Що слід стежити далі

Анонси Phantom щодо майбутніх оновлень інтерфейсу для фільтрації або блокування отруєних адрес і спам-транзакцій.

Публікації дослідників із моделями передтранзакційних перевірок і виявлення подібності адрес для гаманців.

Додаткові кейси отруєння адрес, включно з випадками інституційних гаманців і ефективністю захисних інструментів.

Галузеві стандарти щодо попередніх перевірок ризиків і попереджень користувачів у різних гаманцях.

Джерела та перевірки

Пост ZachXBT, що простежує переказ 3,5 WBTC і зв’язки з Phantom Chat та схемами отруєння адрес.

Дані профайлера Nansen, що показують, що адреса 0x4b7 є високобалансовою у відповідній транзакції.

Анонс Phantom від 23 грудня про функцію live-чату для токенів, перпетуальних контрактів і прогнозів.

Блог Чжао у грудні, що закликає до перевірки та блокування отруєних адрес у гаманцях.

Коментарі команди Extractor Hacken щодо необхідності єдиного джерела правди для адрес отримувачів і передтранзакційних перевірок.

Інцидент отруєння адреси, пов’язаний із Phantom Chat

Переглянути оригінал
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до Застереження.
Прокоментувати
0/400
Немає коментарів