Я підключився до фішинг-сайту, але не підписував — я в безпеці?

Коротка відповідь

Якщо ви підключили гаманець до фішинг-сайту, але не підписали жодних транзакцій або підписів, ваші кошти, ймовірно, в безпеці — саме підключення не дає dApp здатності переміщувати ваші кошти. Ризик у підписі: будь-який approval, будь-яка транзакція, будь-який "permit", будь-який off-chain підпис, що називає spender. Поки ви закрили вкладку без підтвердження чогось, ви ймовірно в порядку. Але best practice — відкликати будь-які approval про всяк випадок.

Що "підключення" фактично робить

Клік "Connect Wallet" дає dApp дві частини інформації: ваш адрес гаманця і мережу, на якій ви. Це все. dApp може читати публічний баланс і історію вашого адреса (вже публічно доступно) і може попросити вас підписати транзакції. Підключення не авторизує транзакції.

Для того щоб dApp перемістив ваші кошти, ви повинні явно схвалити транзакцію (яка коштує газу і видна в UI гаманця як popup) або підписати off-chain повідомлення (яке тихе — просто popup запиту підпису, без газу).

Ризик підпису

Сучасні фішинг-атаки покладаються на крок підпису. Фейкова "claim airdrop" сторінка підключається, потім запитує запит підпису, що виглядає невинно в UI гаманця, але фактично авторизація Permit2 або setApprovalForAll для адреси атакуючого. Підпишіть один раз, атакуючий має indefinite здатність зливати цей токен з вашого гаманця.

Залишковий ризик "лише підключення"

Три теоретичних attack-шляхи лише від підключення:

Збір адреси для follow-up фішингу. Шахрай тепер знає ваш адрес гаманця.

Експлуатація browser-розширення. Якщо фішинг-сайт експлуатував zero-day у вашому wallet-розширенні (рідко).

Frontend re-prompt пізніше. Витончений фішинг-сайт може затримати запит підпису.

Коротка відповідь

Що "підключення" фактично робить

Ризик підпису

Залишковий ризик "лише підключення"

Рекомендоване очищення