WEEX Güvenlik Uyarısı — Kötü Niyetli Onay Dolandırıcılığı

Kötü Niyetli Onay Dolandırıcılığı Nedir?

Kötü niyetli onay dolandırıcılığı, Web3 alanında en yaygın ve en zararlı tehditler arasında yer alır ve sayısız kullanıcıyı etkiler.

Web3'te, akıllı sözleşme ile etkileşim kurduğunuzda, genellikle bir işlemi imzalayarak izin vermeniz gerekir. Yaygın örneklerden bazıları:

• Tokenlarınıza erişmek için bir dApp'i onaylamak.
• NFT'lerinizi transfer etmek için bir sözleşmeye izin vermek.
• Oturum açmak veya sahipliği doğrulamak gibi görünüşte zararsız eylemler gerçekleştirmek.

Kötü niyetli onay dolandırıcılığı, kandırma yoluyla kullanıcıları zararlı sözleşmelere varlıklarını transfer etme izni vermelerini sağlayarak bu eylemlerden yararlanır.

Ana Özellikler

1. Kullanıcıları Tehlikeli İzinler Vermeye Yönlendirmek: Dolandırıcılar, meşru dApp'leri, airdropları veya NFT projelerini taklit ederler. Kullanıcıları "Onayla" düğmesine tıklamaya kandırırlar; bu da aslında token veya NFT erişimi gibi kötü amaçlı eylemleri yetkilendirir.
2. Transfer Yapılmadan Varlıklar Boşaltılır: Hiçbir şey göndermediniz, sadece "Onayla" düğmesine tıkladınız. Ancak onay verildikten sonra, saldırganlar sizin herhangi bir işlem yapmanıza gerek kalmadan varlıklarınızı istedikleri zaman transfer edebilirler.
3. Onaylar Genellikle Sınırsızdır: Çoğu kötü niyetli sözleşme, mümkün olan en yüksek izin miktarını talep ederek tokenlarınıza veya NFT'lerinize kalıcı ve sınırsız erişim elde ederler.
4. Sözleşme Pasiftir: Dolandırıcılık amaçlı pasif sözleşmeler, fonları doğrudan çalmazlar. Tamamen kullanıcıların isteyerek onay imzalamasına bağlıdırlar, bu da geleneksel güvenlik uyarılarından kaçınmalarına yardımcı olur.
5. Yanıltıcı İmza İstemleri: Cüzdan onay istemleri çoğu zaman aşırı teknik veya gereksiz şekilde basitleştirilmiş olup, neyi imzaladığınızı anlamanızı zorlaştırır. Birçok kullanıcı bunun zararsız bir yetki olduğunu varsayar ve riskin farkında olmadan onaylar.

Yaygın Senaryolar

1. Sahte Airdrop veya NFT Mint Etme Sayfaları: Siteler, "sınırlı airdrop" veya "ücretsiz mint" tekliflerini tanıtır. Düğmeye tıklamak, token veya NFT erişimini onaylama isteğini tetikler. Onaylandıktan sonra, dolandırıcılar varlıklarınızı istediği zaman boşaltabilir.
2. Sahte DEX veya Swap Platformları: Cüzdanınızı, tokenları swap etmek amacıyla sahte bir merkeziyetsiz borsaya bağlarsınız. Bir işlem gerçekleştirmek yerine, site sizi token erişimini onaylamaya kandırır. Ardından fonlarınız çalınır.
3. Sahte Staking veya Oyun Platformları: Aldatıcı bir DeFi veya GameFi platformunda "tokenları stake et" veya "oynamaya başla" şeklinde bir ileti alırsınız. Site, tokenlarınız veya NFT'leriniz için onay talep eder ancak platformun tamamı sahtedir.
4. Meşru Projelerin Hacklenmiş Ön Uçları: Saldırganlar, güvenilir web sitelerini ele geçirir veya DNS kayıtlarını ele geçirerek meşru sözleşmeleri kötü amaçlı sözleşmelerle değiştirir. Kullanıcılar gerçek bir dApp kullandıklarını sanarken aslında zararlı izinleri onaylarlar.
5. Sahte Müşteri Desteği veya Dokümantasyon: Sahte bir destek temsilcisi, "sorunu çözmek" için bir bağlantı gönderir. Sayfa, aslında varlıklarınızı çalmak için tasarlanmış bir sözleşmeyi onaylamanızı ister.

Nasıl Çalışır?

Kötü niyetli onayların ardındaki temel fikir basittir:

Kullanıcıların zincir üstü izinler konusundaki farkındalık eksikliğinden yararlanır. Sizi onay vermeye kandırarak, dolandırıcılar varlıklarınızın kontrolünü ele geçirir ve sizin haberiniz olmadan bunları çalarlar.

Teknik Süreç

Tipik bir kötü niyetli onay dolandırıcılığı şu adımları izler:

1. Dolandırıcı, kötü amaçlı bir sözleşme kullanır (bu sözleşme kendi başına transfer başlatmaz).
2. Kullanıcı, kandırılarak tokenları onaylamaya yönlendirilir.
3. Onay verildikten sonra varlıklar geçici olarak cüzdanda kalır.
4. Dolandırıcılar, fonları kendi cüzdanlarına aktarmak için işlevleri kullanır.
5. İşlem kullanıcı tarafından onaylandığı için geçerli kabul edilir ve engellenmez.

Kendinizi Korumak İçin En İyi Uygulamalar

Kötü niyetli onayları önlemek için şu tehlike işaretlerine dikkat edin:

• dApp'in gerçek bir işlevi yoktur; sadece onay istemi gösterir.
• ETH, stabil coinler veya NFT'ler gibi yüksek değerli varlıklara erişim talep eder.
• Onayda harcama limiti yoktur.
• İmza açılır penceresi yüksek riskli eylemleri gösterir.
• Web sitesi profesyonel görünmüyor veya bilinen bir projeyi taklit ediyor olabilir.
• Telegram DM'leri veya Twitter yanıtları gibi doğrulanmamış kaynaklardan gelen rastgele linklere tıklamaktan veya istekleri onaylamaktan kaçının.

Sonuç

Anlamıyorsanız, imzalamayın. Bir alım satım işlemi değilse, onaylamadan önce iki kez düşünün.

Günlük kullanıcılar, akıllı sözleşme izinlerini son derece dikkatli bir şekilde onaylamalıdır. Güvenlik öncelikli bir zihniyet benimseyin: Her onayı potansiyel bir fon transferi olarak değerlendirin. İmzalamadan önce her yetkiyi dikkatlice inceleyin ve iki kez kontrol edin.

Ek Makale Önerileri

• WEEX Security Alert — High-risk Tokens
• WEEX Security Alert – SMS Spoofing
• WEEX Security Alert — Social Media And Online Forums
• WEEX Security Alert — Common Cryptocurrency Scams