Săptămâna trecută, la întâlnirea de partajare a protecției activelor Web3, fluxul de fonduri din portofelul fanului Xiao Song a atras atenția celor prezenți: „Cu 3 luni în urmă, pentru a obține un whitelist pentru un anumit NFT, am autorizat un DApp să acceseze permisiunile portofelului, iar după ce am obținut totul, nu am mai gestionat, rezultatul fiind că săptămâna trecută BNB-ul din portofelul meu a fost transferat în 3 tranșe! Am verificat înregistrările de autorizare, iar acel DApp expirat încă avea permisiunea de a-mi transfera activele.” Am preluat adresa portofelului său, jurnalele istorice de autorizare și hash-urile tranzacțiilor frauduloase, conectându-mă la instrumentul de urmărire a permisiunilor portofelului Linea, și am clarificat imediat problema de bază — aceasta nu este o scurgere de cheie privată, ci o „uitare a autorizării + abuz de permisiuni” care a dus la pierderea controlului asupra activelor, fiind și cea mai ușor accesibilă zonă de vulnerabilitate pentru investitorii mici.
Analizând detaliat lanțul de risc, hackerii au folosit cu precizie vulnerabilitățile de autorizare și neatenția utilizatorilor: în primul rând, au vizat vulnerabilitatea „generalizării permisiunilor de autorizare”, Xiao Song nefiind atent la faptul că DApp-ul solicita „drept de apel nelimitat la active”, și nu „drept de a obține airdrop o singură dată”, această permisiune permițând DApp-ului să transfere active fără o confirmare secundară; în al doilea rând, folosind „mecanismul de apel silențios”, hackerii au lansat transferuri de active în timpul orelor de somn ale utilizatorilor prin achiziționarea permisiunilor din fundal ale DApp-urilor expirate, înregistrările apelurilor fiind ascunse printre numeroase tranzacții normale, evitând mementourile obișnuite ale portofelului; în al treilea rând, profitând de „confuzia plății comisioanelor de tranzacție”, comisionul pentru tranzacțiile frauduloase a fost plătit de hacker, făcând ca fluxul de fonduri al portofelului lui Xiao Song să arate doar „active transferate” fără „cheltuieli de comision”, întârziind descoperirea riscurilor. Pierderile lui Xiao Song sunt, în esență, o lipsă de înțelegere a „autorizării on-chain ca permisiune pe termen lung”.
Principiul de bază al autorizării portofelului Web3 este „controlul permisiunilor, recuperarea trasabilă”, iar sistemul de management al autorizării ZK al Linea vizează exact aceste riscuri. Eu am lucrat cu Xiao Song la sistemul de verificare a securității autorizării portofelului Linea, încărcând ABI-ul contractului de autorizare istoric, înregistrările apelurilor frauduloase și jurnalele de interacțiune ale portofelului: nodurile ZK finalizează două acțiuni cheie prin dovezi cu cunoștințe zero - prima este penetrabilitatea lanțului de autorizare, restabilind traiectoria completă a permisiunilor DApp de la „aplicare - autorizare - apel silențios”, demonstrând că această permisiune nu are o dată limită setată și include riscul de „transfer total de active”, complet diferit de permisiunea de „validare a identității de bază” necesară pentru airdrop; a doua este generarea „hărții de asociere a apelurilor de permisiuni”, marcând asocierile financiare între adresele frauduloase și cumpărătorul DApp, confirmând concluzia „implementării fraudelor prin autorizări expirate”.
Acest raport (raport de evaluare a fraudelor de active din cauza uitării autorizării portofelului) a devenit esențial pentru apărarea drepturilor. După ce Xiao Song a trimis raportul la Alianța de Securitate a Portofelelor Web3 și la DAO-ul ecologic al DApp-ului, alianța a înghețat imediat conturile mixer asociate cu adresele frauduloase, bazându-se pe dovezile de permisiune ZK generate de Linea, ajutând la recuperarea a 60% din BNB-ul furat; DAO-ul ecologic a decis că echipa originală de dezvoltare a DApp-ului nu a îndeplinit obligația de „avertizare a expirării permisiunilor” și trebuie să compenseze 40% din pierderi, forțând anularea tuturor permisiunilor nerecuperate ale DApp-ului respectiv. Această experiență a făcut ca Xiao Song să realizeze profund: „autorizarea on-chain nu este un 'da și atât', recuperarea permisiunilor și autorizarea sunt la fel de importante” - securitatea activelor Web3 începe cu gestionarea detaliată a permisiunilor portofelului.
Pe baza avantajelor de securitate ale Linea, am conceput pentru Xiao Song o strategie combinată de „protecție pe întreaga durată a autorizării + venituri din avertizări de risc”: operația principală este conectarea portofelului la „administratorul de autorizare ZK” al Linea, acest instrument poate scana în timp real toate autorizările active, marcând permisiunile „nelimitate” și „de mare risc” și trimițând mementouri de recuperare; setând funcția de „legare automată a datei de expirare a autorizării”, noua autorizare fiind asociată în mod implicit cu „7 zile de valabilitate”, care, la expirare, recuperează automat permisiunile prin tehnologia ZK, evitând riscurile de uitare. În plus, Xiao Song a aderat la „nodul de raportare a riscurilor de autorizare” al Linea, obținând recompense ecologice prin trimiterea de indicii despre DApp-uri cu autorizări ilegale și raportând cazuri de abuz de permisiuni.
Până în prezent, rezultatele sunt semnificative: Xiao Song a finalizat 12 autorizări DApp prin Linea, toate realizând „recuperarea automată a permisiunilor la expirare”, evitând cu succes 2 potențiale riscuri de abuz de permisiuni; în calitate de nod de raportare, a trimis un total de 8 indicii despre DApp-uri „generalizate”, recompensele ecologice obținute acoperind deja pierderile anterioare din fraudă; mai important, „standardul de clasificare a permisiunilor de autorizare a portofelului” pe care l-a propus a fost adoptat de ecosistemul Linea, fiind invitat să participe la discuțiile de actualizare a securității protocolului de autorizare Web3, stabilind o reputație profesională în domeniul protecției activelor.
Din punctul de vedere al esenței industriei, competiția ecosistemului portofelului Web3 s-a mutat de la „conveniența interacțiunii” la „securitatea permisiunilor”. Hackerii au transformat „uitarea autorizării” într-un „punct de acces la fraudă”, profitând de neatenția utilizatorilor și de încălcările DApp-urilor; Linea folosește tehnologia ZK pentru a construi un sistem complet de „vizibilitate a autorizării, control al permisiunilor, recuperare ușoară”, readucând autorizarea portofelului la esența sa „condusă de utilizator”. Aceasta este adevărata forță competitivă a infrastructurii Web3: tehnologia asigurând limitele permisiunilor, astfel încât fiecare autorizare să nu devină o „bombă cu ceas” pentru securitatea activelor.
Dacă ai folosit un portofel Web3, și ai autorizat diverse DApp-uri pentru a obține airdrop-uri sau pentru a participa la activități, nu ignora riscurile de „uitare a autorizării”, folosește mai întâi instrumentul de autorizare al Linea pentru a scana și a recupera permisiunile invalide. Amintește-ți, controlul activelor Web3 este întotdeauna în mâinile tale, tehnologia este doar un ajutor în consolidarea „peretelui de foc” al permisiunilor tale.
