Praktičan vodič kroz jednu od najopasnijih Web3 prevara
Kripto-ekosistem se i dalje suočava sa sve sofisticiranijim sigurnosnim prijetnjama. Jedna od njih su napadi poznati kao trovanje adresa (address poisoning), čiji je cilj da prevare korisnike i navedu ih da sredstva pošalju na pogrešne ili zlonamjerne adrese. Sigurnost korisničkih sredstava je za kompaniju Binance apsolutni prioritet. U nastavku objašnjavamo kako ovi napadi funkcionišu, na koji način vas Binance Wallet štiti i koje navike vam mogu pomoći da izbjegnete ovakve prevare.
Zašto su napadi uspješni
Većina Web3 korisnika ne pamti heksadecimalne adrese od 42 znaka, već se oslanja na vizuelne prečice. Zbog ograničenja korisničkog interfejsa u blockchain pretraživačima i kripto-novčanicima, adrese se često prikazuju skraćeno, npr. 0x1234…abcd.
Napadači to koriste pomoću alata za generisanje tzv. vanity adresa, koje imaju isti početak i kraj kao legitimna adresa. Kako je generisanje adresa gotovo besplatno, napadači mogu metodom „brute-force“ dobiti kombinaciju koja izgleda identično neuvježbanom oku.
Kada korisnik ponovo šalje sredstva nekome s kim je ranije komunicirao, često kopira adresu iz istorije transakcija, nesvjesno preuzimajući adresu napadača.
Kako napadači truju vašu istoriju transakcija
Napadači koriste tri najčešće metode da bi ubacili zlonamjernu adresu u vašu istoriju:
- Lažni token ugovori (event spoofing)
Kreiraju nestandardne tokene (npr. „U5DT“) koji generišu „Transfer“ zapise što izgledaju kao da ste vi poslali sredstva na njihovu adresu. Često kopiraju i tačan iznos vaše prethodne transakcije kako bi zapis djelovao uvjerljivo. - Transferi sa nultim iznosom
Određeni token ugovori omogućavaju transfer od 0 tokena bez potpisa privatnim ključem. Napadač tako može poslati „0 USDT“ s vašeg novčanika na svoju adresu, a taj zapis se pojavljuje kao legitimna transakcija u istoriji. - Mali transferi sa stvarnom vrijednošću
Da bi zaobišli filtre za nulti iznos, napadači šalju vrlo male količine kriptovalute (npr. 0,01 USDT). Pošto se radi o stvarnom transferu, on se često prikazuje među nedavnim transakcijama.
Kako zaštititi svoja sredstva
Iako ne možete spriječiti da vam neko pošalje lažnu ili „dust“ transakciju, možete kontrolisati kako postupate s tim informacijama.
- Koristite sigurnosno orijentisan novčanik (npr. Binance Wallet)
Binance Wallet podrazumijevano umanjuje rizik od trovanja adresa kroz:- napredno filtriranje spam i „dust“ transakcija, uključujući nulte i izuzetno male iznose
- upozorenja kada adresa liči na čest kontakt, ali nije identična
- Koristite adresar (Address Book)
Ne kopirajte adrese iz istorije transakcija.
Sačuvajte često korištene adrese u adresar i dodijelite im jasna imena. Prilikom slanja birajte kontakt po nazivu. - Pravilo provjere srednjih znakova
Nikada ne provjeravajte adresu samo po prva i posljednja četiri znaka.
Uvijek provjerite prva četiri, srednja četiri i posljednja četiri karaktera, jer napadači gotovo nikada ne mogu uskladiti sredinu adrese. - Test transakcije
Kod većih iznosa prvo pošaljite mali testni iznos. Tek nakon potvrde prijema pošaljite puni iznos na istu adresu.
Na šta se napadači oslanjaju?
U Web3 svijetu ne postoji opcija „poništi“, a napadači se oslanjaju na brzinu i navike korisnika. Napadi trovanja adresa funkcionišu upravo zato što ljudi vjeruju poznatim fragmentima adresa umjesto da provjere cijelu destinaciju.
Dobra vijest je da se ove prevare mogu spriječiti: koristite adresar, tretirajte istoriju transakcija kao nepouzdan izvor, provjeravajte cijelu adresu – uključujući sredinu – i oslonite se na sigurnosno orijentisan novčanik poput Binance Walleta. Nekoliko dodatnih sekundi provjere može vas spasiti od trajnog gubitka sredstava.