În această postare, 1inch și firma de securitate a brandului Phishfort analizează cele mai comune vectori de atac în DeFi - și împărtășesc sfaturi practice pentru a te ajuta să rămâi în siguranță.

În fiecare zi, milioane de utilizatori au încredere în DeFi pentru a muta valoarea liber, a accesa piețele globale și a rămâne în controlul activelor lor. Această încredere contează pentru noi. Securitatea ta nu este o caracteristică. Este baza a tot ce construim.

Dar unde există oportunitate, există și actori rău intenționați. Escrocii caută constant modalități de a profita de atât de proiectele DeFi de frunte, cât și de utilizatorii individuali. Amenințările evoluează, dar un lucru rămâne: a rămâne în siguranță necesită vigilență și cunoștințele potrivite.

De aceea noi, la 1inch, lucrăm constant cu echipe de securitate mari, precum PhishFort, pentru a acoperi toate unghiurile: de la campanii de phishing la infrastructură malițioasă.

Phishfort elimină escrocii pentru a menține DeFi în siguranță pentru toți dintre noi. Așa că ne-am unit forțele cu ei pentru a crea ghidul tău esențial pentru amenințările de securitate în DeFi. Verifică-l pentru a învăța cum să te protejezi de ele - sau pentru o privire detaliată asupra sfaturilor de siguranță ale experților Phishfort, vizitează Ghidul de Securitate PhishFort aici.

1. Phishing prin motor de căutare (Google, Bing, DuckDuckGo)

Probabil ai văzut un link sau un articol sponsorizat care arată complet legitim în rezultatele tale de căutare. S-ar putea să fie chiar pe primul loc al rezultatelor tale de căutare, iar domeniul arată familiar. Totul pare normal. Așa că dai clic - și ajungi pe un site construit pentru a-ți fura datele sensibile.

Unele dintre aceste capcane se activează doar când ajungi printr-o reclamă specifică, ceea ce le face mai greu de observat. Altele lasă un cookie de urmărire, apoi revin la un conținut care arată normal pentru a șterge urmele și a evita detectarea.

Până când îți dai seama că ceva este în neregulă, daunele pot fi deja cauzate.

Exemple de domenii false:

1ihch[.]us

App[.]1lnch[.]su

Poți avea încredere în 1inch în multe privințe - inclusiv că știm cum să ne scriem numele. Așadar, verifică întotdeauna URL-urile. Salvează site-urile oficiale ale platformelor, precum 1inch.com. Nu te baza doar pe rezultatele căutării!

2. Preluarea conturilor de social media (ATO)

Crezi că canalele oficiale nu pot fi compromise? Te înșeli. Ar putea fi doar un intern supărat. Dar ar putea fi mult mai rău.

De exemplu, hack-urile Discord au postat domenii false precum 1inchio.app

Twitter/X compromite linkurile partajate precum dapp-1inch[.]com

Dacă un post te cere să îți conectezi portofelul urgent, ia o pauză. Verifică prin mai multe canale oficiale.

3. Aplicații false din magazinele oficiale

Probabil crezi că dacă o aplicație este listată în App Store sau Google Play, este sigură. Dar escrocii au reușit repetat să treacă de verificările de recenzie și să încarce versiuni malițioase ale aplicațiilor în magazinele oficiale.

Aplicațiile false pot drena portofelul tău! Așadar, nu căuta aplicații direct în magazinele de aplicații.

În schimb, obține linkul oficial al aplicației de pe platforme, precum 1inch.com.

4. Aprobările token-urilor

Nu ai semna un cec bancar gol. Ei bine, nu ai semna deloc un cec, pentru că nu este 1996. Dar de ce ai aproba o tranzacție cu o sumă nelimitată?

Folosește instrumente precum:

Etherscan Approval Checker

Revoke.cash

Fii atent: escrocii creează și site-uri false de revocare.

Escrocheri de aprobat exploatează funcția ERC-20 approve(). Odată ce acorzi aprobată nelimitată, un contract malițios poate drena token-uri mai târziu - chiar dacă te retragi de pe platformă.

Dacă ai aprobat o sumă nelimitată de token-uri, revocă aprobarea imediat.

5. Escrocherii IPFS

Unii utilizatori folosesc InterPlanetary File System, un protocol de rețea descentralizat peer-to-peer (P2P), pentru a avea un punct de acces de rezervă sau pentru a evita posibila cenzură.

1inch folosește de asemenea IPFS - ca oglindă de desfășurare. Și asta este legitim.

Dar escrocii folosesc și IPFS - pentru a găzdui oglinzi malițioase. Nu încerca să cauți linkul IPFS al 1inch online: s-ar putea să faci clic pe unul malițios.

Folosește întotdeauna linkul oficial IPFS de pe 1inch.com:

bafybeiajfrgxbbeznejyj4arwjmor25ggejrjxe27do5lhnmkta6usji7a.ipfs.dweb.link

6. Videoclipuri false pe YouTube

Dacă un videoclip YouTube promite boți MEV magici, arbitraj garantat, o ofertă „trimite 1, primești 2 înapoi” sau pretinde că Elon Musk îți va dubla criptomoneda, este cel mai probabil o înșelătorie.

Aceste videoclipuri de înșelătorie implică adesea conturi YouTube compromise redenumite în Tesla sau SpaceX sau personalități celebre. Boții umflă vizionările pentru a înșela algoritmii.

Escrocheriile cu boți MEV sunt deosebit de periculoase. Acestea instruiesc utilizatorii să copieze și să lipească cod Solidity. Rularea acestuia îți golește portofelul.

Codul poate asambla o adresă suspectă precum aceasta folosită de escroci:

0xFC360216Db687A7669F6dDaF20c9e37322E4A12e

Dacă îți promite bani gratis, probabil că îți vei pierde ai tăi.

7. Escrocherii „Revoluția Bitcoin”

Probabil ai văzut articole de știri false sau videoclipuri în care persoane bogate precum Richard Branson sau Elon Musk promovează un proiect, promițând o revoluție Bitcoin.

Promit profituri ușoare - dacă doar depui bani pe o anumită platformă. Dar există o capcană: atunci când încerci să îți retragi fondurile, nu funcționează.

Așadar, stai departe.

8. Schimburi false și platforme de investiții („tăierea porcului”)

Aceste platforme au:

  • fără lichiditate

  • detalii false de înregistrare

  • personal de suport fals.

Orice platformă de „investiții în criptomonede” promovată prin WhatsApp nesolicitat, SMS, Viber, iMessage sau apeluri telefonice ar trebui tratată ca o înșelătorie.

9. Escrocherii verificate Twitter/X (cadouri false)

Conturile verificate compromise sau achiziționate se redenumesc în, de exemplu, Elon Musk (de ce este întotdeauna Elon?), și promit cadouri.

Ei răspund sub postări legitime pentru a părea autentici.

Semne roșii comune.

10. Spam în DM-uri pe Discord

Ne pare rău, dar adevăratul Elon nu te va contacta niciodată prin DM în legătură cu un airdrop.

Și nici 1inch, Coinbase, Binance sau „următorul token popular”.

Dacă cineva îți trimite un DM prima dată - este o înșelătorie.

Nu face clic pe linkuri în bios-urile Discord. Consideră toate DM-urile nesolicitate ca fiind malițioase.

11. ICO-uri false, memecoins, token-uri cu lichiditate scăzută

Dacă investești într-un ICO fals sau token de tip rug, este probabil să nu mai vezi niciodată fondurile tale.

Escrocheri de aprobat se leagă de acest lucru. Dacă aprobi un contract malițios, acesta îți poate drena token-urile mai târziu.

Exemplul UniCats arată cum un utilizator a aprobat cheltuieli infinite de USDC - și a pierdut 140K $.

Memecoins lasă adesea cumpărătorii cu token-uri care nu pot fi vândute.

Evită schemele impulsionate de hype, cu APR mare, care promit returnări de 4000%.

12. Escrocherii de aprobat

Mulți utilizatori cred: „Dacă nu îmi împărtășesc fraza de seed, sunt în siguranță.”

Nu întotdeauna.

ERC-20’s approve (adresa cheltuitor, uint256 valoare) permite terților să transfere token-uri în numele tău.

Actorii de amenințare profită de acest lucru.

Nu aproba niciodată cheltuieli nelimitate. Revocă aprobările neutilizate regulat.

13. DEX-uri și CEX-uri false care se dau drept platforme legitime

Nu contează cine întreabă - nu împărtăși niciodată cheia ta privată sau fraza de seed.

Nu există așa ceva ca:

  • sincronizarea portofelului

  • rectificare

  • remediere

  • ERCSYNC

  • portal de reducere a taxelor

  • actualizare de versiune care necesită fraza de seed

Acestea sunt toate cuvinte inventate folosite pentru a fura active.

14. Dispozitiv compromis

Securitatea nu se oprește la contracte. Atacatorii caută întotdeauna modalități de a introduce cod malițios pe dispozitivul tău.

  • Nu clona niciodată repo-uri GitHub neîncrezătoare.

  • Nu mina niciodată criptomonede și nu folosi un portofel pe același dispozitiv.

  • Folosește 2FA.

  • Ideal ar fi să folosești un dispozitiv dedicat pentru semnarea tranzacțiilor.

  • Fii atent la malware-ul de clipboard care înlocuiește adresele de portofel.

  • Fii atent la tranzacțiile ascunse în fundal.

Chiar și portofelele hardware pot fi compromise dacă dispozitivul este infectat.

15. Suport telefonic fals

Proiectele legitime nu te sună. Nu vei primi niciodată un apel de la Trezor, 1inch sau Ledger.

În mod similar, nu încerca să cauți „suport telefonic Trezor” pe Google și să suni primul rezultat. Acele numere sunt escrocherii.

Nu introduce niciodată fraza ta de seed nicăieri.

16. Schimbarea SIM-ului

O altă vector comun de atac: actori malițioși care încearcă să îți ia dispozitivul mobil. Câteva sfaturi pentru a preveni acest lucru:

  • Dacă serviciul tău de telefon mobil scade brusc - presupune un hack de SIM.

  • Folosește aplicații de autentificare, nu SMS.

  • Activează modul pe un singur dispozitiv.

  • Păstrează codurile de rezervă.

  • Folosește un YubiKey.

17. Inginerie socială și atacuri fizice

Înșelătoriile nu sunt întotdeauna digitale. Atacatorii folosesc în continuare manualul escrocului de tip încredere vechi - sau pur și simplu furt fizic - pentru a-ți descoperi activele și a le obține. Așadar:

  • Nu dezvălui niciodată deținerile public.

  • Separă-ți portofelul hardware și fraza de seed - nu le stoca împreună.

  • Curăță metadatele din fotografii.

  • Ignoră e-mailurile de sextorțiune care cer BTC.

  • A existat o creștere a atacurilor fizice „atacuri cu cheie franceză” care vizează deținătorii de criptomonede.

Fii discret. Fii vigilent.

*

Pentru a te proteja, verifică întotdeauna domeniile cu care interacționezi. Iată o listă de proprietăți legitime 1inch pe care ar trebui să le salvezi:

1inch.com - domeniul oficial

1inch.network - comunitate/DAO

business.1inch.com - 1inch Business

Instrumente utile de securitate:

Revoke.cash - întrerupe linkurile vechi către site-uri suspecte

Token Sniffer - scor instantaneu de "înșelătorie" pentru monedele noi

Hărți de bule - vezi dacă "insiderii" își ascund token-urile

Pocket Universe - un popup care explică ce semnezi

Tenderly - "execuție uscată" detaliată a oricărei tranzacții

GeckoTerminal - urmărește DEX-urile, descoperă perechile în trend și explorează metrici de pool-uri precum numărul de tranzacții, TVL și activitatea token-urilor

Câteva sfaturi pentru o securitate mai bună:

  • Acces direct: întotdeauna tastează URL-ul direct în browserul tău sau folosește un bookmark de încredere. Nu face clic pe rezultatele motorului de căutare sau pe reclame pentru platforme DeFi.

  • Verifică linkurile sociale: dacă o ofertă pe Discord sau Twitter pare prea bună pentru a fi adevărată (precum un airdrop surpriză), verifică din nou cu alte canale oficiale înainte de a face clic.

  • Verifică URL-ul cu atenție: escrocii folosesc "typosquatting" (de exemplu, 1lnch în loc de 1inch). Caută greșeli subtile în numele domeniului.

  • Revocă aprobările vechi: folosește revoke cash pentru a elimina aprobările vechi de token-uri inutile. Întotdeauna setează un plafon de cheltuieli limitat, nu nelimitat.

  • Evită DM-urile nesolicitate pe Discord/X/alte platforme: șansele sunt să fie necorespunzătoare, mai bine nu riști.

  • Folosește stocare la rece și multi sig: nu păstra o sumă mare de active în stocare la cald. Pentru contracte mari folosește semnături multiple.

  • Nu te grăbi să intri într-un apel prin software de întâlnire dubios. Fii precaut la prompturile false de actualizare SDK care se dau drept software precum Zoom.

  • Întotdeauna aplică toate actualizările - OS, portofel, browsere, EDR/AV, firmware router și așa mai departe

Pentru a învăța mai multe despre securitatea în DeFi, verifică aceste linii directoare de la Phishfort și abonează-te la newsletterul 1inch!