Saugumo tyrinėtojas pažymi pavojingus numatytuosius nustatymus
2026 m. vasario 27 d. „SlowMist“ vyriausiasis informacijos saugos pareigūnas kreipėsi į socialinės žiniasklaidos platformą X, norėdamas pabrėžti dvi gana rimtas „Bitget Wallet“ problemas. Iš pradžių problemos gali atrodyti techninės, tačiau jų poveikis yra aiškus: vartotojai gali prarasti pinigus net nesuvokdami, kas vyksta.
Remiantis įrašu, pirmoji problema sukasi apie tai, kas vadinama „sukeitimo terminu“. Kai vartotojai keičia vieną kriptovaliutą į kitą, operacijai suteikiamas laiko limitas. „Bitget Wallet“ pagal numatytuosius nustatymus nustato 10 minučių, o tai, tiesą sakant, atrodo ilgas laikas, kai pagalvoji, kaip greitai gali keistis kriptovaliutų kainos.
10 minučių lango problema
Štai apie tą 10 minučių langą. Kriptografijos rinkos yra nepastovios, kartais labai nepastovios. Žetonai gali pašokti arba sudužti per kelias sekundes. Jei naudotojas turi palaukti iki 10 minučių, kol bus atlikta operacija, kaina, kurią jis galiausiai sumokės, gali visiškai skirtis nuo to, kurios jie tikėjosi.
Bet galbūt labiau rūpi tai, ką leidžia šis ilgas langas. Užpuolikai gali stebėti laukiančius sandorius ir manipuliuoti kainomis dar prieš juos įvykdydami. Tai taktika, žinoma kaip priešakinės arba sumuštinių atakos. Iš esmės, kažkas atsisako ir pakeičia kainą prieš pat jūsų eilę. Tokios populiarios platformos kaip „Uniswap“ ir „1 colis“ to išvengia, nes terminai yra daug trumpesni, paprastai apie 1–2 minutes.
Neprivalomi saugumo patikrinimai kelia pavojų
Antroji problema, kurią nurodė SlowMist, mano nuomone, yra dar rimtesnė. „Bitget Wallet“ siūlo įrankį nuskaityti žetonus prieš vartotojams juos perkant. Šis nuskaitymas gali aptikti rizikingus ar kenkėjiškus žetonus. Problema? Tai visiškai neprivaloma. Vartotojai gali tai praleisti ir bet kuriuo atveju prekiauti.
Tai atveria duris medaus puodo sukčiavimui. Tai padirbti žetonai, leidžiantys lengvai juos nusipirkti, bet kai bandote parduoti, to padaryti nepavyks. Jūsų pinigai įstrigo. Šios apgaulės yra labiau paplitusios, nei žmonės supranta. „Chainalysis“ duomenimis, vien 2025 m. vartotojai dėl tokių spąstų prarado daugiau nei 500 mln.
Kadangi šie saugos patikrinimai nėra vykdomi, daugelis vartotojų, ypač pradedantieji, gali net nežinoti apie riziką. Jie gali prekiauti pavojingais žetonais be jokio įspėjimo. „SlowMist“ siūlo, kad piniginė turėtų priversti vartotojus atlikti nuskaitymą prieš prekybą arba bent jau parodyti aiškius įspėjimus. Netgi paprastas žymės langelis gali išvengti didelių nuostolių.
Vieta tobulėjimui populiarioje piniginėje
„Bitget Wallet“ yra didesnės „Bitget“ ekosistemos dalis, aptarnaujanti milijonus vartotojų visame pasaulyje. Platforma reklamuojama kaip saugi, tačiau šios spragos rodo, kad dar reikia nuveikti. Saugumas neturėtų būti neprivalomas, ypač dirbant su žmonių pinigais.
Mane stebina tai, kaip šios problemos derinamos. Ilgas sandorio langas ir pasirenkamos saugumo patikros sukuria puikią audrą galimiems nuostoliams. Dėl manipuliavimo kainomis vartotojai gali mokėti daugiau, nei tikėtasi, arba nusipirkti žetonų, kurių vėliau negalės parduoti.
Tyrėjo pasiūlymai atrodo pagrįsti. Numatytojo apsikeitimo termino sutrumpinimas iki 60–120 sekundžių atitiktų pramonės standartus. Apsaugos nuskaitymas būtų privalomas arba bent jau sunkiau praleistas, kad naudotojai būtų apsaugoti nuo akivaizdžių sukčių.
Verta paminėti, kad šios spragos paliečia kasdienius vartotojus, o ne tik techninius ekspertus. Dėl to jie ypač susirūpinę. Kai saugumo trūkumai paveikia paprastus žmones, bandančius valdyti savo kriptovaliutą, statymas yra didesnis. Piniginės kūrėjai privalo sukurti apsaugos priemones, kurios kartais apsaugotų vartotojus net ir nuo jų pačių.
Man įdomu sužinoti, kaip „Bitget Wallet“ reaguos. Kriptopiniginių saugumas yra nuolatinis iššūkis, o tokia vieša kontrolė padeda stumti visą pramonę geresnės praktikos link. Juk pasitikėjimą šioje erdvėje sunku užsitarnauti ir lengva prarasti.
