Користувач втрачає 440 тис. доларів у USDC після підписання шкідливого дозволу у фішинговій атаці

• Один шкідливий підпис дозволу призвів до втрати 440 358 доларів USDC для одного користувача 8 грудня 2025 року.

• Втрати від фішингу зросли на 137% у листопаді 2025 року, сягнувши 7,77 мільйона доларів серед понад 6 000 жертв, незважаючи на меншу кількість інцидентів.

• Шахраї націлюються на гаманці з високою вартістю, при цьому найбільше шахрайство з дозволами сягнуло 1,22 мільйона доларів, згідно зі звітом Scam Sniffer.

Дізнайтеся, як шахрайство з дозволами в криптовалюті вилучило 440 тисяч доларів у однієї жертви — дізнайтеся про ризики, поради щодо запобігання та зростаючі тенденції у фішингових атаках для безпечнішого управління гаманцем сьогодні.

Що таке шахрайство з дозволами в криптовалюті?

Шахрайство з дозволами в криптовалюті — це оманливі тактики, коли зловмисники обманюють користувачів, змушуючи їх схвалювати несанкціонований доступ до своїх цифрових активів через начебто законні підписи транзакцій. Ці шахрайства використовують функцію дозволу Ethereum, розроблену для спрощення схвалення токенів, але зловмисники використовують її для миттєвого виведення коштів. У нещодавньому випадку, про який повідомив Scam Sniffer 8 грудня 2025 року, один користувач втратив 440 358 доларів у USDC після підписання фальшивого дозволу, що підкреслює зростаючу загрозу на тлі зростання втрат від фішингу на 137% до 7,77 мільйона доларів у листопаді 2025 року.

Як працюють фішингові атаки на основі дозволів?

Фішингові атаки на основі дозволів починаються з того, що шахраї створюють фальшиві децентралізовані застосунки (dApps) або веб-сайти, які імітують довірені платформи. Користувачам пропонується підключити свої гаманці та підписати транзакцію "дозволу", яка здається звичайною, але насправді делегує необмежені права на витрати зловмиснику. Це використовує функцію дозволу стандарту ERC-20, що дозволяє офчейн схвалення для зменшення комісій за газ та спрощення взаємодії.

Після підписання зловмисник може виконувати перекази без подальшого введення користувача. Наприклад, аналіз Scam Sniffer показав, що в листопаді 2025 року такі шахрайства вплинули на понад 6 000 жертв, при цьому втрати зросли на 137% порівняно з жовтнем, незважаючи на зниження кількості жертв на 42%. Це вказує на зміну в напрямку "полювання на китів", націлювання на більші активи для більших виплат — найбільше зареєстроване шахрайство з дозволами вкрало 1,22 мільйона доларів.

Експерти підкреслюють тонкість цих атак. Тара Аннісон, керівник продукту в Twinstake, пояснила, що шахраї часто маскують дозвіл як частину безкоштовних аірдропів, фальшивих сторінок проєктів або перевірок безпеки. "Успіх цих типів шахрайства залежить від того, що ви підписуєте щось, не розуміючи, що воно зробить", — зазначила вона. "Все це про людську вразливість і використання прагнення людей".

Аннісон детальніше розповіла, як зловмисники можуть або миттєво виводити кошти в одній транзакції, або встановлювати довгостроковий доступ, залишаючись неактивними, доки не буде додано більше активів. Ця неактивність ускладнює виявлення, оскільки термін дії дозволу може поширюватися далеко в майбутнє. Згідно з щомісячним звітом Scam Sniffer, ці методи посилилися, при цьому індивідуальні втрати значно зростають, навіть коли загальний обсяг атак зменшується.

Підтверджуючі дані з аналітики блокчейну показують, що блокчейн Ethereum залишається основним полем битви, але подібні вразливості існують у всіх EVM-сумісних ланцюгах. Постачальники гаманців, такі як MetaMask, запровадили захисні заходи, такі як симулятори транзакцій, які декодують намір у звичайну мову, але шахраї адаптуються, підробляючи назви контрактів або приховуючи поля в запиті підпису.

Часті запитання

Що робити, якщо ви підозрюєте, що стали жертвою шахрайства з дозволами в криптовалюті?

Якщо ви підозрюєте шахрайство з дозволами в криптовалюті, негайно відключіть свій гаманець від будь-яких підозрілих сайтів і скасуйте всі схвалення за допомогою таких інструментів, як перевірка схвалення токенів Etherscan. Зверніться до постачальника гаманця для підтримки, уважно стежте за своїми рахунками та повідомте про інцидент на такі платформи, як Scam Sniffer. Відновлення рідкісне, але швидкі дії можуть запобігти подальшим втратам — дійте протягом годин, щоб зменшити шкоду.

Як виявити та уникнути шкідливих підписів дозволів у транзакціях з криптовалютою?

Щоб виявити шкідливі підписи дозволів у транзакціях з криптовалютою, завжди переглядайте деталі транзакції перед підписанням: перевіряйте адресу контракту на відповідність відомим законним і шукайте необмежені суми схвалення. Використовуйте гаманці з вбудованими попередженнями, такими як сповіщення про ризик MetaMask, і уникайте підключення до неперевірених dApps. Гаррі Доннеллі, засновник і генеральний директор Circuit, радить перевіряти адреси відправників і переконуватися, що вони відповідають вашому запланованому протоколу, щоб ефективно блокувати спроби крадіжки.

Ключові висновки

• Шахрайство з дозволами використовує довіру: вони імітують законні схвалення, щоб надати зловмисникам доступ до токенів, як видно з втрати 440 тисяч доларів USDC, про яку повідомив Scam Sniffer.
• Втрати зростають: загальна сума фішингу в листопаді 2025 року досягла 7,77 мільйона доларів, що на 137% більше, ніж у жовтні, з фокусом на цілях з високою вартістю, що призводить до втрат до 1,22 мільйона доларів.
• Пильність є необхідною: подвійно перевіряйте підписи, використовуйте захисні функції гаманця та регулярно скасовуйте непотрібні схвалення, щоб захистити свої криптоактиви.

Висновок

Шахрайство з дозволами в криптовалюті представляє стійку та еволюціонуючу загрозу, про що свідчить крадіжка 440 000 доларів USDC та ширше зростання втрат від фішингу до 7,77 мільйона доларів у листопаді 2025 року. Розуміючи, як ці атаки використовують функцію дозволу Ethereum, і прислухаючись до порад експертів, таких як Тара Аннісон з Twinstake та Гаррі Доннеллі з Circuit, користувачі можуть зміцнити свій захист за допомогою ретельної перевірки та передових інструментів гаманця. У міру дозрівання криптоекосистеми, залишатися інформованим і проактивним буде вирішальним — впровадьте ці стратегії сьогодні, щоб захистити свої інвестиції та сприяти більш безпечному децентралізованому майбутньому.

Інцидент підкреслює необхідність постійної освіти в цій сфері. Мартін Дерка, співзасновник і технічний керівник Zircuit Finance, підкреслив, що відновлення після таких фішингових атак "практично нульове", оскільки шахраї діють анонімно і пріоритетом є швидке виведення коштів. Запобігання залишається найсильнішим щитом: завжди ретельно перевіряйте, що ви підписуєте, використовуйте покращені інтерфейси dApp для прозорості та уникайте поспіху при підключенні гаманця.

Ширші тенденції показують, що шахраї вдосконалюють свою тактику, від негайних переказів "розбий і захопи" до прихованого довгострокового доступу. Звіт Scam Sniffer підкреслює зниження кількості жертв на 42%, але масивні втрати на інцидент, що сигналізує про складне націлювання. Інновації гаманців, такі як переклади MetaMask, зрозумілі для людини, та попередження про високий ризик, дають надію, але обізнаність користувачів незамінна.

У цьому ландшафті авторитетні джерела, такі як Scam Sniffer, забезпечують життєво важливе відстеження, розкриваючи закономірності без спекуляцій. Їхнє попередження від 8 грудня 2025 року про втрату 440 358 доларів USDC служить суворим нагадуванням. Для тих, хто орієнтується в криптовалюті, інтеграція цих знань у щоденну практику може запобігти катастрофі та сприяти безпечнішій участі.