Các trình rút tiền trong Web3: một cú nhấp chuột làm trống ví của bạn

Nếu bạn nghĩ rằng trong crypto chỉ có những liên kết phishing là nguy hiểm - bạn đang đánh giá thấp vấn đề. Mối đe dọa thực sự ẩn chứa trong chữ ký giao dịch thông thường.

Cách thức hoạt động

Drainer — đây không phải là virus và không phải là trang web yêu cầu bạn seed-phrase. Đây là một smart contract trông hoàn toàn hợp pháp. Bạn thấy cửa sổ quen thuộc của MetaMask hoặc ví khác:

“Ký giao dịch” — và đây là nơi mọi thứ bắt đầu.

Những gì ẩn đằng sau chữ ký này:

Phê duyệt không giới hạn — cho phép hợp đồng truy cập đầy đủ vào tất cả các token của bạn. Một lần — và nó có thể kéo token bao nhiêu tùy thích.

Giấy phép — trông giống như một cuộc kiểm tra, nhưng thực chất đây là một giao dịch ẩn. Bạn thậm chí sẽ không nhận ra điều gì đã xảy ra.

“Tạo NFT” — mô phỏng hành động thông thường, nhưng thay vào đó làm cạn kiệt số dư.

“Đăng nhập để xác minh ví” — dường như là kiểm tra, trên thực tế — là lời gọi xấu đến hợp đồng.

Một chữ ký = truy cập vào ví. Và không thể hủy bỏ điều này.

Cần làm gì

Tối thiểu bảo vệ:

• Đừng bao giờ ký nếu bạn không hiểu bạn đang ký cái gì
• Kiểm tra URL - có trùng với trang web chính thức từ Discord hoặc Twitter của dự án không.
• Trước khi ký, luôn đọc xem chính xác bạn chấp thuận điều gì.

Cấp độ cao hơn:

• Vào Revoke.cash - ở đó bạn có thể hủy bỏ các phê duyệt cũ
• Cài đặt một tiện ích mở rộng như Wallet Guard
• Sử dụng nhiều ví cho nhiều mục đích khác nhau — đừng giữ tất cả ở một nơi.

Tối đa bảo vệ:

• Ví phần cứng (Ledger, Trezor) — chỉ có thể ký trực tiếp.
• Ví riêng cho việc canh tác và thử nghiệm
• Kho lạnh cho tài sản chính

Chữ ký của bạn trong tiền điện tử không chỉ là một cú nhấp chuột. Nó thực sự là chìa khóa của một cái két.