Подключились к сомнительному сайту и подписали не понятно что?
Бывает, что в порыве азарта, в погоне за дропом или чем-то невероятно интересным, быстро подключились к незнакомому сайту и подписали транзакцию не глядя....
и вот азарт прошел и появляется она - собака-подозревака: а не скам ли это? а мои средства точно в безопасности? что делать? куда бежать?
Для начала всегда обращайте внимание на текст транзакции, которую вы подписывайте. Очень редко когда важна скорость на незнакомых сайтах, порядочные проекты дают на клейм дропа продолжительное время, точно больше нескольких дней и, чтобы опоздать надо постараться.
Как проверить какие разрешения вы дали на действия со своим кошельком?
Все разрешения, которые вы даете или, точнее сказать, делегируете на действия со своим адресом обзываются Authz и проверить выданные разрешения можно либо в самом кошельке Keplr либо на сайте https://restake.app/
Как проверить разрешения на https://restake.app/
1. Переходим на сайт и выбираем сеть, которую хотим проверить
2. Соглашаемся на подключение к сети на своем кошельке Cosmos, открываем вкладку Grant
На этой странице будут все разрешения, который мы подписали в этой сети и кому мы их выдали. Это пример обычного рестейка вознаграждений и мы видим, что валидатору Posthuman выдано разрешение стейкать на нашем адресе.
Рассмотрим еще один пример, который может вызвать удивление и панику, если вы этого не делали осознанно
Тут мы видим и разрешения на вывод средств и на выставление и изменение заявок на продажу. При этом конкретно этот пример это три торговых бота на Helix. Под каждого бота создается субаккаунт с такими правами и у него нет доступа к средствам на вашем основном адресе. То есть повода для паники нет)
Как проверить разрешения внутри кошелька Keplr
1. Заходим в кошельке в раздел Settings
4. Выбираем сеть и видим все выданные разрешения, чтобы посмотреть подробнее нажимаем на конкретное расширение
5. В тексте видим, что выдано разрешение на изменение ордеров.
В случае, если вы такое разрешение не давали и считаете, что оно более не актуально - то при нажатии на кнопку Revoke можете отозвать его.
Рекомендуется проверять такие разрешения после посещения новых сайтов, на которых вы подписывали транзакции, чтобы удебиться, что ничего нового и неожиданного не появилось.
Разберем пример, когда подписали не глядя и дали разрешение мошеннику
В таком случае, когда проверяете количество апрувов может выглядеть так:
Видим большое количество адресов, которым выдано разрешение Grant, второй столбец, на действия с нашим кошельком. Расшифровки гранта тут нет, поэтому идем смотреть подробнее какие есть полномочия на адрес в обозреватель блокчейна https://www.mintscan.io/
Чтобы посмотреть информацию по адресу и последние транзакции, а нам нужны именно они:
- открываем https://www.mintscan.io/
- нажимаем в правом верхнем углу на окно поиска
- вставляем адрес, историю по которому надо посмотреть
- выбираем в результатах поиска основную сеть, не тестнет
Пролистываем страницу ниже до блока с транзакциями и проверяем кликая на каждую, что в итоге разрешили
В этом примере, первая транзакция: выдача гранта на адрес мошенника
следующей транзакцией, мошенник, наделенный полномочиями гранта, выдает себе полный набор разрешений на действия с этим адресом: отправку средств, анделегацию стейкинга и другие.
следующей транзакцией идет перевод всех остатков с баланса на адрес мошенника:
и передача полномочий еще на 100 адресов, что мы и увидели изначально на странице restake.app при проверке адреса.
В такой ситуации самостоятельно справиться без знаний программирования и работы с ботами увы не получится, так как при пополнении баланса, чтобы отозвать транзакцию баланс сразу списывается на адрес мошенника.
При этом разрешения выданы только на адрес в сети Cosmos, остальные сети мошеннику не доступны с этим апрувом.
В этом случае есть надежда, что смогут помочь, так называемые "белые хакеры", одним из таких является:
Евгений из команды POSTHUMAN ник в телеграм: @lhavebeen
Чтобы предотвратить такие ситуации
- не спешите переходя на незнакомый сайт сразу подключать кошелек
- внимательно читайте, что вы подписываете в своем кошельке. Если не понимаете, что подписывайте - не подписывайте, поищите информацию сами, спросите в проверенных источниках
- проверяйте, что ответ на свой вопрос получаете от админов, перепроверяйте контакт админа, что это действительно админ сообщества, а не его копия/клон. Есть сомнения - задайте вопрос, уточнение в публичном чате-группе
- в нормальных проектах при раздаче токенов всегда выделяется длительный период, чтобы сделать все без спешки. Можете подождать, когда будет подтверждение то админов, что все ОК, забрали, все апрувы корректны