Разрешение, о котором вы не знали, что дали
Я провел 25 лет в IBM, создавая системы, обрабатывающие миллионы транзакций в день. Банковские системы. Страховые платформы. Логистические сети. За все эти годы один принцип никогда не менялся: самый опасный сбой в системе безопасности — это не взлом. Это дверь, оставленная открытой владельцем здания.
Этот принцип применим к криптовалюте в 2026 году больше, чем когда-либо к корпоративным ИТ.
За последние несколько месяцев в OneMiners в Праге и Нью-Йорке с той же проблемой. Они подключили свой кошелек к веб-сайту. Они одобрили сделку. Они не поняли, что одобряли. И к тому времени, когда они поняли, что что-то не так, их активы были перемещены — не потому, что кто-то взломал их кошелек, а потому, что они неосознанно дали разрешение на это перемещение.
Это не техническая неисправность. Это информационный пробел. И информационные пробелы решаемы.
Как на самом деле работают одобрения кошелька
Позвольте мне объяснить это так, как я бы объяснил архитектуру системы младшему инженеру — ясно, без сокращений и без предположения, что вы уже знаете.
Когда вы используете криптовалютный кошелек, у вас есть закрытый ключ. Думайте об этом как о главном ключе к зданию. Каждая дверь, каждая комната, каждый сейф — их все открывает один ключ. Пока вы держите этот ключ и ни у кого больше нет копии, ваше здание в безопасности.
Теперь вот что становится интересным.
Некоторые приложения — децентрализованные биржи, платформы токенов, протоколы DeFi — просят ваш кошелек «одобрить» взаимодействие. На первый взгляд это выглядит рутинно. Появится небольшое всплывающее окно. Вы нажимаете «Подтвердить». Это похоже на согласие с условиями.
Но на самом деле вы, возможно, передаете кому-то копию ключа от определенного номера. Не ваш главный ключ, а ключ, на котором написано: «Вы можете войти в эту комнату и взять то, что найдете, в любое время, не спрашивая меня снова».
| Что ты видишь | Что это может на самом деле сделать |
|---|---|
| «Разрешить доступ к токену» | Предоставляет неограниченное разрешение на перемещение определенного токена из вашего кошелька. |
| «Подтвердить транзакцию» | Может включать скрытое одобрение будущих транзакций, которые вы не инициировали. |
| «Подключить кошелек» | В целом безопасно, но в сочетании с одобрением открывает дверь. |
| «Получите бесплатные токены» | Может потребоваться одобрение, предоставляющее доступ к вашим существующим активам. |
Ключевое понимание: Вы не отправляете средства. Вы разрешаете кому-то другому переместить их позже. Убыток не происходит сразу — он происходит, когда одобренная вами сторона решает действовать.
В корпоративных ИТ мы называем это «постоянной авторизацией». Это самое проверяемое и самое ограниченное разрешение в любой системе, которую я когда-либо создавал. В криптографии любой может запросить его с помощью одного всплывающего окна.
Как мошеннические схемы используют этот механизм
Я не буду использовать драматический язык. Я собираюсь описать механику так же, как я бы описал уязвимость системы в обзоре архитектуры — фактически и достаточно подробно, чтобы вы могли ее распознать.
Типичный образец
- Наживка. Вы обнаруживаете новый токен, «бесплатную раздачу» или инвестиционную возможность. Он поступает через социальные сети, приложение для обмена сообщениями, а иногда прямо в вашем кошельке появляется токен, который вы никогда не покупали.
- Срочность. В сообщении говорится о нехватке времени: «Претензия в течение 24 часов». «Ограниченное распределение». «Завтра цены повысятся». За 25 лет работы на предприятии я ни разу не видел законной системы, которая требовала бы от вас принятия решения по безопасности менее чем за час.
- Одобрение. Вы будете перенаправлены на профессионально выглядящий веб-сайт. Он просит вас подключить свой кошелек и подтвердить транзакцию. В деталях скрыто разрешение, которое предоставляет неограниченный доступ к вашим токенам.
- Добыча. Через несколько часов, дней, а иногда и недель одобренная сторона использует это постоянное разрешение для перемещения ваших активов. Транзакция подтверждается в блокчейне и является необратимой.
Почему это работает: Речь идет не об интеллекте. Я видел, как доктора компьютерных наук совершали эту ошибку. Интерфейс одобрения в большинстве кошельков не был разработан для ясности — он был разработан для функциональности. Информация технически присутствует, но для ее интерпретации требуется опыт. Это провал конструкции, а не сбой пользователя.
Предупреждающие знаки: контрольный список
В корпоративной безопасности мы используем контрольные списки. Не потому, что люди небрежны — потому что даже осторожным людям полезно провести структурированный анализ перед принятием решения. Вот твой.
Прежде чем что-либо одобрить, проверьте следующее
- Язык срочности — «Действуйте сейчас», «время ограничено», «срок действия истекает через 24 часа». Законные протоколы не истекают в одночасье.
- Запросы секретности — «Не делитесь этой возможностью». Законным платформам нужны пользователи. Они не шепчут.
- Неизвестные токены в вашем кошельке — Токены, которые вы не купили, появляющиеся в вашем кошельке, не являются подарками. Они представляют собой приманку, предназначенную для того, чтобы привести вас на вредоносный сайт одобрения.
- Расплывчатые описания одобрений — Если во всплывающем окне кошелька четко не указано, что вы одобряете и за какую сумму, остановитесь.
- Нет четкого объяснения того, что означает одобрение. — Законный протокол объяснит, что вы одобряете и почему. Если объяснение отсутствует, воспринимайте это как предупреждение.
- Неограниченные суммы утверждения токенов — Если одобрение превышает требуемое по сделке или указано «неограниченно», это значительный риск.
- Сайт незнаком — Проверьте URL-адрес посимвольно. Мошеннические сайты часто отличаются одной буквой.
Правило двух минут: Если вы не можете объяснить кому-то другим — простым языком — что будет значить одобрение и почему вы его даете, не одобряйте это. Закройте браузер. Уходите. Блокчейн все еще будет там завтра.
Что делать, если вы одобрили то, чего не должны были делать
Здесь важна скорость. Не паника — скорость.
Немедленные шаги
- Не одобрять дополнительные транзакции. Если сайт запрашивает второе одобрение, чтобы «исправить» или «отменить» первое, это, скорее всего, еще один вредоносный запрос.
- Проверьте свои активные одобрения. Такие инструменты, как revoke.cash или средство проверки одобрения токенов Etherscan, позволяют вам просматривать и отзывать постоянные разрешения.
- Немедленно отзовите подозрительные разрешения. Это требует небольшой сетевой платы, но удаляет постоянное разрешение. Если злоумышленник еще не предпринял никаких действий, отзыв предотвращает извлечение в будущем.
- Переместите оставшиеся активы в новый кошелек. Если у вас есть какие-либо сомнения, перенесите оставшиеся активы на новый кошелек, который никогда не взаимодействовал с подозрительным сайтом.
- Документируйте все. Скриншоты сайта, хэши транзакций и сведения об одобрении. Эта информация полезна для сообщения и понимания того, что произошло.
Лучшие практики: формирование долгосрочных привычек безопасности
Безопасность – это не разовое действие. Это система. За 25 лет работы в IBM организации, которые сохраняли безопасность, были не теми, у кого были лучшие межсетевые экраны, а теми, у которых были лучшие привычки.
Привычки, которые имеют значение
- Используйте отдельные кошельки. Держите «горячий» кошелек с небольшими суммами для ежедневного использования. Храните основные активы в кошельке, который никогда не подключается к незнакомым сайтам. Подумайте о текущем счете и сберегательном счете.
- Просматривайте разрешения ежемесячно. Проверьте свои активные одобрения на revoke.cash. Отзовите все, что вам больше не нужно. Постоянные разрешения — это открытые двери, о которых вы забыли.
- Проверьте перед подключением. Набирайте адреса самостоятельно или используйте закладки. Не переходите по ссылкам в сообщениях или социальных сетях.
- Используйте аппаратные кошельки для крупных активов. Физическое подтверждение каждой транзакции — разница между зданием с охраной и зданием с открытым вестибюлем.
- Будьте в курсе. Следите за авторитетными образовательными ресурсами, такими как btcfq.com, который предоставляет четкие, свободные от жаргона руководства по основам криптовалюты.
Когда вам нужно с кем-то поговорить
Вот что я понял за десять лет работы в этой сфере: самый опасный момент для любого, кто занимается криптовалютой, — это не тот момент, когда он сталкивается с обманной схемой. Наступает момент, когда они чувствуют себя сбитыми с толку, не понимая, что произошло, и не знают, у кого спросить.
Интернет полон советов. Кое-что из этого хорошо. Некоторые из них усугубят ситуацию. И есть что-то принципиально иное в том, чтобы сесть напротив реального человека, показать ему свой экран и сказать: «Можете ли вы помочь мне понять, что здесь произошло?»
Это одна из вещей, которая делает OneMiners действительно другой.
Зайдите и поговорите с командой. Если вы не уверены в взаимодействии с кошельком, хотите, чтобы кто-то проверил транзакцию или просто хотите понять, как работают разрешения — этот разговор лицом к лицу меняет все.
Тот же уровень личной поддержки. Принесите свои вопросы. Принесите свои опасения. Возьмите с собой ноутбук, если хотите, чтобы кто-то смотрел на экран вместе с вами. Ничто не заменит знающего человека в комнате.
Персонал в OneMiners это не просто майнеры и эксперты по аппаратному обеспечению. Они разбираются в кошельках, транзакциях, утверждениях и более широком ландшафте безопасности. Когда в течение одного месяца пять клиентов обратились с одной и той же проблемой, команда заметила закономерность и начала активно обучать посетителей. Именно такой ответ вы получаете от людей, которые действительно заботятся о сообществе, которому они служат.
Вы также можете использовать asicprofit.com для расчета прибыльности майнинга и btcfq.com углубить ваше понимание основ Биткойна — потому что чем лучше вы понимаете экосистему, тем труднее кому-либо ввести вас в заблуждение.
Длинный взгляд
Я занимаюсь технологиями еще до того, как Интернет стал коммерческим. Я наблюдал, как технологии появляются, разрушают, терпят неудачу и продолжают существовать. Криптовалюта, в частности Биткойн, относится к категории «выносливых». Я говорил это в 2014 году и повторю сейчас: эта технология остается.
Но к технологии, которая остается, необходимо подходить с той же дисциплиной, что и к любой долгосрочной системе. Вы не строите 25-летнюю платформу на ярлыках и быстрых решениях. Вы строите его на понимании, хороших привычках и наличии рядом с вами нужных людей, когда возникают вопросы.
Криптопространство по своей сути не опасно. Это по своей сути новый. А новым системам всегда нужно учиться. Люди, которые успешно перемещаются по этой кривой, не самые технически блестящие — они наиболее методичны.
Будьте методичны. Проверьте, прежде чем одобрить.
А когда что-то не так —
зайдите и поговорите с кем-то, кто видел это раньше.
Ваши активы заслуживают защиты. Ваша уверенность стоит того, чтобы ее укреплять. И то, и другое становится проще, если вы делаете это не в одиночку.
