Innledning
Wallet drainers har stjålet milliarder fra kryptobrukere, og nesten ingen av dem involverte stjålne passord eller hacket blockchain. Det dreier seg om ofre som signerte transaksjoner de ikke forsto. Denne guiden forklarer hvordan drainers faktisk fungerer, token-godkjenningsmekanismen de utnytter, drainer-as-a-service-industrien som har industrialisert tyveriet, de spesifikke signaturene som gir angriperne tilgang til alt, og hvordan man kan beskytte en lommebok samt tilbakekalle godkjenningene som allerede kan være farlige.
Hvordan Wallet Drainers Fungerer
Den mest vellykkede tyveriteknikken i kryptovaluta bryter ikke inn i noe; den ber om tillatelse, og offeret gir den. Wallet drainers, ondsinnede verktøy som tømmer en kryptolommebok for dens tokens og NFTs i en enkelt godkjent transaksjon, har stjålet milliarder av dollar fra hundretusener av ofre. Det slående faktumet i nesten hver eneste sak er at blockchainen fungerte perfekt, kryptografien holdt, og ingen passord ble stjålet. Offeret ble lurt til å signere en transaksjon som autoriserte tyveriet, og kjeden, som gjorde akkurat det den er designet for å gjøre, utførte autoriseringen trofast.
Angrepsmetodene
Drainers eksisterer for å oppnå akkurat de godkjenningene ved bedrag. Angriperens mål er å få deg til å signere en transaksjon som gir en ondsinnet kontrakt tillatelse over eiendelene dine. Alt annet, de falske nettstedene, de presserende meldingene, de imiterte merkene, er maskineriet bygget for å produsere den ene signaturen. Når den er gitt, er tyveriet ikke et hack; det er kontrakten som utøver en tillatelse du autoriserte, noe som er grunnen til at drainer-tyverier er så vanskelige å reversere.
«Et drainer-angrep kjører en konsistent sekvens, og å kjenne den gjør faren lesbar.»
Token-Godkjenninger og Sårbarheter
For å forstå drainers, må man forstå token-godkjenninger, fordi hele angrepet er et misbruk av en legitim og nødvendig funksjon. Når du bruker en desentralisert applikasjon, en DEX, et utlånsprotokoll eller et NFT-marked, trenger det tillatelse til å flytte tokenene dine på dine vegne. Problemet oppstår når mekanismen misbrukes. Godkjenninger kan være for ubegrensede beløp; en enkelt signatur kan autorisere en kontrakt til å flytte alt av en token du noen gang vil ha, og de vedvarer.
Drainer-as-a-Service
Det som gjorde lommebokdrenering fra en spredt plage til en milliard-dollar industri var en forretningsmodellinnovasjon: drainer-as-a-service. I stedet for at hver tyv bygde sine egne verktøy, bygde sofistikerte utviklere drainer-kits, komplette pakker inkludert de ondsinnede smarte kontraktene, phishing-nettstedmalene, eiendel-feiingsautomatiseringen, og til og med kundestøtte, og leide eller lisensierte dem til ikke-tekniske kriminelle i bytte mot en andel av de stjålne midlene.
Beskyttelse mot Drainers
Å beskytte en lommebok mot drainers kommer ned til et sett med vaner og én vedlikeholdsoppgave de fleste brukere aldri har utført. Vanene inkluderer å behandle hver signeringsforespørsel som en beslutning, ikke en formalitet, og aldri signere fra en tilstand av hastverk. Verifiser nettsteder uavhengig, vær mistenksom overfor alt gratis, og bruk en lommebok som dekoder og simulerer transaksjoner.
Oppsummering
Den ærlige oppsummeringen er at drainers er den modne formen for kryptotyveri i en æra der kryptografien ikke kan brytes: industrien sikret koden så grundig at kriminelle forlot den for mennesket. Den viktigste brannmuren i kryptovaluta er pausen mellom å lese en signeringsforespørsel og å godkjenne den.
«Drainers er prisen for selvforvaltningens største styrke.»
Ansvarsfraskrivelse: Denne artikkelen er kun for utdanningsformål og utgjør ikke investerings- eller sikkerhetsråd. Digital eiendoms selvforvaltning medfører betydelig risiko, og ingen praksis eliminerer det.