Ano ang Wallet Drainer? Isang Pagsusuri sa Approval-Phishing sa Industriya ng Cryptocurrency

3 mga oras nakaraan
3 min na nabasa
2 view

Wallet Drainers: Isang Pangkalahatang-ideya

Ang mga wallet drainer ay nakakuha ng bilyon-bilyong dolyar mula sa mga gumagamit ng cryptocurrency, at halos wala sa mga ito ang kinasasangkutan ng nakaw na password o na-hack na blockchain. Kadalasan, ang mga biktima ay pumirma ng mga transaksyon na hindi nila nauunawaan. Ang gabay na ito ay nagpapaliwanag kung paano talagang gumagana ang mga drainer, ang mekanismo ng token-approval na kanilang sinasamantala, ang drainer-as-a-service na industriya na nag-industrialize ng pagnanakaw, ang mga tiyak na lagda na nagbibigay sa mga umaatake ng access sa lahat ng kanilang mga asset, at kung paano protektahan ang isang wallet at bawiin ang mga approval na maaaring mapanganib.

Paano Gumagana ang Wallet Drainers

Ang pinaka-matagumpay na teknika ng pagnanakaw sa cryptocurrency ay hindi nag-break in sa kahit ano. Humihingi ito ng pahintulot, at ibinibigay ito ng biktima. Ang mga wallet drainer, mga mapanlinlang na tool na nag-aalis ng mga token at NFTs mula sa isang crypto wallet sa pamamagitan ng isang aprubadong transaksyon, ay nakakuha ng bilyon-bilyong dolyar mula sa daan-daang libong biktima. Ang nakakagulat na katotohanan tungkol sa halos bawat kaso ay ang blockchain ay gumana nang perpekto, ang cryptography ay nanatiling buo, at walang password ang kailanman na nakawin. Ang biktima ay nalinlang na pumirma ng isang transaksyon na nag-authorize ng pagnanakaw, at ang chain, na ginagawa ang eksaktong dinisenyo nito, ay tapat na nagpatupad ng authorization.

Ang Mekanismo ng Token Approvals

Upang maunawaan ang mga drainer, unawain ang mga token approvals, dahil ang buong atake ay isang pang-aabuso ng isang lehitimong at kinakailangang tampok. Kapag gumagamit ka ng isang decentralized application, isang DEX, isang lending protocol, o isang NFT marketplace, kailangan nito ng pahintulot upang ilipat ang iyong mga token sa iyong ngalan. Sa halip na aprubahan ang bawat transaksyon nang paisa-isa, ang karaniwang mekanismo ay nagpapahintulot sa iyo na bigyan ang isang smart contract ng allowance: pahintulot na gumastos ng hanggang sa ilang halaga ng isang tiyak na token mula sa iyong wallet, upang ang application ay makapag-operate nang maayos nang hindi humihingi sa bawat pagkakataon. Ito ay maginhawa at, kung ginagamit nang tapat, ligtas.

Ang Panganib ng Walang Limitasyong Approvals

Ang problema ay kung ano ang pinapayagan ng mekanismo kapag inabuso. Ang mga approvals ay maaaring para sa walang limitasyong halaga; isang solong lagda ang maaaring mag-authorize ng isang kontrata upang ilipat ang lahat ng token na hawak mo, at sila ay nananatili. Ang isang approval na ibinigay mo minsan ay mananatiling aktibo hanggang sa bawiin mo ito, minsan sa loob ng mga taon, tahimik na pinapanatili ang pahintulot na agawin ang token na iyon matagal na matapos mong kalimutan ang transaksyon.

Ang Proseso ng Drainer Attack

“Ang buong layunin ng umaatake ay makuha kang pumirma ng isang transaksyon na nagbibigay sa mapanlinlang na kontrata ng pahintulot sa iyong mga asset.”

Ang isang drainer attack ay tumatakbo sa isang pare-parehong pagkakasunod-sunod, at ang kaalaman dito ay ginagawang maliwanag ang panganib. Nagsisimula ito sa isang pang-akit: ang biktima ay nakatagpo ng isang bagay na dinisenyo upang makuha silang kumonekta ng wallet at pumirma, isang pekeng bersyon ng website ng isang tunay na proyekto, isang mapanlinlang na airdrop claim, isang mapanlinlang na link sa isang na-hack na social media account, isang pekeng minting page para sa uri ng memecoin launch na umaakit ng mga tao upang mag-sign nang nagmamadali, isang poisoned search result o ad.

Pag-iwas sa Wallet Draining

Ang pagprotekta sa isang wallet laban sa mga drainer ay bumababa sa isang set ng mga gawi at isang maintenance task na karamihan sa mga gumagamit ay hindi kailanman nagawa. Ang mga gawi: ituring ang bawat kahilingan sa pagpirma bilang isang desisyon, hindi isang pormalidad, at huwag kailanman pumirma mula sa isang estado ng agarang pangangailangan, dahil ang agarang pangangailangan ang atake. Suriin ang mga site nang nakapag-iisa, i-type ang mga kilalang URL o gumamit ng bookmarks sa halip na mag-click sa mga link, ad, o mga resulta ng paghahanap.

Pagbawi ng Approvals

Ang maintenance task ay ang pagbawi ng mga approvals, at ito ang isa na karamihan sa mga gumagamit ay nilalaktawan. Ang bawat approval na iyong ibinigay ay aktibo pa rin hanggang sa bawiin, na nangangahulugang ang mga lumang, nakalimutang pahintulot, kasama ang anumang mapanlinlang na maaaring iyong pinirmahan nang walang kahihinatnan, ay nakaupo sa iyong wallet bilang nakatayo na panganib. Ang mga approval-checking tools, kasama ang mga nakabuilt-in sa mga pangunahing wallet at block explorers, ay nagpapahintulot sa iyo na makita ang bawat aktibong approval sa iyong wallet, kung aling mga kontrata ang maaaring gumastos ng aling mga token, at bawiin ang mga hindi mo nakikilala o hindi mo na kailangan.

Konklusyon

Ang tapat na buod ay ang mga drainer ay ang mature na anyo ng pagnanakaw sa crypto sa isang panahon kung saan ang cryptography ay hindi mababasag: ang industriya ay nag-secure ng code nang napakahigpit na ang mga kriminal ay iniwan ito para sa tao, at nagtayo ng isang propesyonal na industriya sa paligid ng paggawa ng isang bagay na hindi maiiwasan ng self-custody, ang sariling lagda ng biktima sa isang mapanlinlang na transaksyon. Walang blockchain upgrade ang makakapag-ayos nito, dahil walang mali na nangyari sa blockchain, at ang depensa ay naaayon sa tao, may kaalamang pagdududa, mababasa ang mga transaksyon, minimal na exposure, at mga nabawi na approvals.

“Ang magandang balita ay ang responsibilidad ay naipapasa sa pamamagitan ng isang kamay ng mga natutunang gawi at isang overdue na hapon na ginugol sa pagbawi ng mga lumang approvals.”

Disclaimer: Ang artikulong ito ay para sa mga layuning pang-edukasyon lamang at hindi bumubuo ng payo sa pamumuhunan o seguridad. Ang digital asset self-custody ay may malaking panganib, at walang kasanayan ang nag-aalis nito. Ang mga detalye ay kasalukuyan hanggang Hulyo 9, 2026. Palaging gawin ang iyong sariling pananaliksik.