Токен, який виявився не подарунком
Вересень 2024. Львів'янин помічає новий токен у боковій панелі MetaMask: «USDT Airdrop Reward — забрати 5 000». Etherscan показує, що контракт роздає цей токен тисячам гаманців з USDT. Клейм-сторінка виглядає чисто, обіцяна нагорода — 5 000 USD у справжніх USDT після «верифікації».
Сторінка верифікації просить підпис «для підтвердження володіння». Це EIP-712 typed-data, яка після передачі дрейнить усі схвалені раніше токени. Він раніше схвалював USDT на Uniswap та Aave — обидва баланси зникають.
Схема «пил і приманка»
Крок 1: атакуючий розсилає марний токен тисячам гаманців з ім'ям, що мімікрує під реальний дроп. Токен з'являється в інтерфейсі гаманця автоматично. Крок 2: метадані контракту посилаються на «клейм-сайт». Крок 3: клейм-сторінка експлуатує наявні схвалення користувача для зливу активів — сам надісланий токен ніколи не був ціллю.
Три правила
- Незапрошені токени — приманка, не подарунок. Якщо в гаманці з'явився токен, який ви не купували, не свапали, не отримували від відомого джерела — це фішингова приманка. Не відкривайте адресу контракту.
- Реальні дропи не потребують підпису зі scope витрати токенів. Реальний клейм — це або транзакція
claim(amount, proof), або ретроактивний переказ, що вже прийшов. Жодного підпису «для підтвердження» не потрібно. - Приховуйте, не взаємодійте. У MetaMask правий клік по спам-токену → «приховати». Не відкривайте ім'я, не йдіть на сайт, не дозволяйте цікавості вести наступний крок.
Проактивний захист
Аудит схвалень раз на місяць на revoke.cash. У більшості тримачів висить 30–80 застарілих схвалень від минулих DeFi-експериментів — кожне з них відчинені двері. Відкличте все, чим не користуєтеся зараз. Газова вартість разова, безпека залишається.
Як виглядає пил у 2026
Імена еволюціонували: «BlackRock Bitcoin ETF Claim», «USDC Compensation Pool», «Coinbase Layer-2 Bonus». Схема та сама — використати реальну новину, щоб фейковий токен здавався правдоподібним.