визначення атаки типу man in the middle

Що таке атака «людина посередині»?

Атака «людина посередині» (MITM) — це тактика, коли третя сторона таємно перехоплює або змінює комунікацію між двома сторонами. Уявіть, що хтось підслуховує вашу розмову зі службою підтримки клієнтів і відповідає від вашого імені — все виглядає звично, але зміст уже змінено.

Ця атака не передбачає обов’язкового компрометування пристрою користувача. Вона спрямована на мережевий канал передачі даних. Тому навіть при взаємодії зі знайомими сайтами або гаманцями скомпрометоване з’єднання може призвести до несанкціонованих дій або передачі даних не тому одержувачу.

Чому атаки «людина посередині» особливо небезпечні у Web3?

MITM-атаки критичні у Web3, оскільки взаємодії базуються на віддалених з’єднаннях і криптографічних підписах. Після трансляції транзакції у блокчейн її практично неможливо скасувати, тому повернення активів у разі втрати надзвичайно складне.

Більшість дій у Web3 — це віддалене підключення гаманців, запити даних до RPC-вузлів, надсилання транзакцій, участь у кросчейн-операціях або отримання ейрдропів. Якщо MITM-атакуючий перехоплює такі процеси, користувачу можуть показати підроблені інтерфейси або змінені запити, що ставить під загрозу прийняття рішень і безпеку активів.

Як працює атака «людина посередині»?

Суть MITM-атаки в тому, що замість очікуваної сторони ви спілкуєтеся з атакуючим. Зловмисник імітує WiFi-точку доступу або виступає проксі-сервером, перехоплюючи та ретранслюючи ваші запити, змінюючи або читаючи дані в процесі.

Значок замка у браузері означає, що канал захищено шифруванням HTTPS/TLS — це як запечатаний конверт, який може відкрити лише власник ключа. Атакуючі намагаються зняти це шифрування, підмінити сертифікати або спрямувати трафік через шкідливі проксі, імітуючи безпечне з’єднання.

Сертифікат сайту — це його посвідчення. Якщо його підроблено або замінено, браузер попередить вас — ігнорування таких попереджень рівнозначне передачі комунікації стороннім. Ще один спосіб — викрадення DNS: DNS — адресна книга інтернету, і якщо її підмінити, офіційний домен може вести на шкідливу адресу, що дозволяє атакуючому втручатися у ваше з’єднання.

Як проявляються атаки «людина посередині» у гаманцях і транзакціях?

У гаманцях і транзакціях MITM-атаки часто перенаправляють користувача до шкідливих сторін або змінюють відображену інформацію. Наприклад:

Підключаючи гаманець через публічний WiFi, атакуючий може через проксі підмінити адресу контракту або RPC у сторінці. Це призводить до підтвердження підробленого підпису у нібито легітимному вікні.

RPC — це інтерфейс між гаманцем і вузлами блокчейна, як дзвінок у підтримку. Якщо цей канал скомпрометовано, баланс, квитанції чи адресати можуть бути підмінені.

Також можливі ситуації, коли користувач ігнорує помилки сертифіката. Сторінка відкривається, підказки з’являються, але з’єднання вже скомпрометовано. У такому випадку створення API-ключів, трансляція транзакцій чи імпорт конфіденційних даних суттєво підвищують ризик.

Які ознаки атаки «людина посередині»?

Ознаки, що допомагають виявити MITM-атаку:

• Браузер попереджає про недовірений сертифікат, невідповідність домену і сертифіката або змінює протокол на «http» — це свідчить про зняття шифрування чи підозрілий сертифікат.
• У вікні гаманця з’являються неочікувані адреси контрактів, ідентифікатори мереж або широкі дозволи; запити на підпис стосуються необмежених дій.
• Багаторазові запити на вхід або мнемоніку для однієї операції, неочікувані запити підпису без ініціативи користувача. Повільне завантаження сторінок чи часті перенаправлення можуть свідчити про багаторазову ретрансляцію трафіку.
• Сповіщення про вхід з невідомих пристроїв або зміна RPC на невідомий вузол. Будь-які нетипові зміни у мережі чи сповіщення — привід для підозри.

Як захиститися від атак «людина посередині» у Web3?

Щоб знизити ризик MITM-атак, дотримуйтеся таких правил:

1. Використовуйте лише довірені мережі для чутливих операцій. Уникайте публічного WiFi, віддавайте перевагу мобільному інтернету або власній точці доступу. За необхідності використовуйте корпоративний VPN.
2. Перевіряйте значок замка, домен і сертифікат у браузері. Не ігноруйте попередження про сертифікати; якщо щось підозріле — зупиніться і перевірте джерело.
3. Перед входом у гаманець перевіряйте адресу контракту, область дозволів і ідентифікатор мережі. Якщо щось незвично широке чи неочікуване — скасуйте дію і перевірте джерело.
4. Активуйте безпекові функції на Gate: двофакторну автентифікацію (наприклад, OTP), керування пристроями і захист входу, антифішингові коди (для ідентифікації листів), білі списки адрес для виводу — це мінімізує ризики змінених запитів.
5. Використовуйте лише офіційні точки входу та RPC. Не імпортуйте невідомі вузли та розширення; якщо потрібно — розгорніть власний вузол або використовуйте перевірених провайдерів, регулярно перевіряйте налаштування.
6. Обмежте кількість розширень і проксі: встановлюйте лише необхідне, вимикайте невідомі проксі та автоконфігурацію, щоб уникнути перенаправлення через шкідливих посередників.

Чим атаки «людина посередині» відрізняються від фішингу?

MITM-атаки і фішинг часто поєднуються, але принципово різні. Фішинг базується на діях користувача: перехід за фейковими посиланнями та введення даних на підроблених сторінках; MITM вставляється у канал передачі між вами та легітимною ціллю — звичайні запити стають доступними для читання та зміни.

Фішинг — це «фейкові сторінки», MITM — «реальні сторінки, але скомпрометоване з’єднання». Підказки можуть виглядати звично, але потрапляють не тому адресату. Захист від фішингу — перевірка посилань і бренду; захист від MITM — перевірка мережі та шифрування.

Як посилити безпеку RPC-вузлів від атак «людина посередині»?

І користувачі, і розробники відповідають за безпеку RPC від MITM:

Користувачам: використовуйте лише офіційних або перевірених RPC-провайдерів; не імпортуйте невідомі вузли. Встановіть фіксовані мережі та ідентифікатори ланцюгів у гаманці, щоб уникнути перенаправлення у шкідливі мережі через скрипти.

Розробникам: застосовуйте HTTPS для фронтенду й бекенду, коректно перевіряйте сертифікати. Впроваджуйте піннінг сертифікатів — вбудовуйте відбиток сертифіката у застосунок, щоб він працював лише з очікуваними сертифікатами. Використовуйте білі списки доменів для взаємодії лише з потрібними кінцевими точками, знижуючи ризик MITM-перенаправлення.

Що робити, якщо підозрюєте атаку «людина посередині»?

Якщо підозрюєте MITM-атаку, дійте так:

1. Від’єднайтеся від підозрілих мереж, підключіться до довіреної; закрийте браузери й гаманці; припиніть усі підписи та трансляцію транзакцій.
2. Очистіть проксі та підозрілі розширення; оновіть ОС і браузер; перевірте відповідність сертифікатів і доменів.
3. На Gate змініть пароль, активуйте або скиньте двофакторну автентифікацію, перевірте сесії на наявність сторонніх пристроїв; якщо є API-ключі, відкличте старі й створіть нові.
4. Якщо підозрюєте компрометацію приватного ключа або мнемоніки, припиніть використання гаманця й перенесіть активи у новий гаманець — мнемоніка є головним резервним ключем, у разі витоку перенесіть усе.
5. Перевірте останні транзакції та авторизації; відкличте зайві дозволи для контрактів. Зверніться до служби безпеки сервісу, збережіть журнали та скріншоти для розслідування.

Основне: атака «людина посередині»

Атака «людина посередині» замінює прямий зв’язок між вами і адресатом посередником під контролем атакуючого — це дає змогу читати або змінювати інформацію. У Web3 MITM-атаки впливають на підписи гаманців і RPC-запити через публічні мережі, аномалії сертифікатів, шкідливі проксі чи викрадення DNS. Найкращий захист — використовувати довірені мережі з перевіркою шифрування, двічі перевіряти підписи, користуватися лише офіційними точками входу і RPC, активувати захист акаунта: двофакторну автентифікацію Gate, антифішингові коди, білі списки адрес для виводу. При виявленні аномалій — негайно зупиніть дії й дотримуйтесь чітких кроків для мінімізації втрат.

FAQ

Чи може атака «людина посередині» вплинути на безпеку активів на Gate?

MITM-атаки зазвичай спрямовані на мережеве з’єднання, а не на платформу Gate. Але якщо атакуючий перехопить ваші облікові дані або інструкції для переказу, активи залишаються під загрозою. Завжди заходьте на Gate через офіційний сайт (Gate.com), уникайте підозрілих посилань і вмикайте двофакторну автентифікацію (2FA) для додаткового захисту.

Чи дійсно ризиковано торгувати криптою через публічний WiFi?

Публічний WiFi дійсно має високий ризик MITM-атак, оскільки зловмисники легко відстежують незашифрований трафік. Проводячи транзакції у публічних мережах (кафе, аеропорти), обов’язково використовуйте VPN для шифрування або переходьте на мобільний інтернет — це суттєво знижує ризик перехоплення.

Як визначити, чи була транзакція змінена через атаку «людина посередині»?

Порівняйте дані транзакції, відправлені з гаманця, з тими, що записані у блокчейні. Знайдіть хеш транзакції на Gate або у блокчейн-експлорері — якщо сума, адреса або комісія відрізняються від запланованих, могла статися підміна. У разі розбіжностей негайно змініть пароль, перевірте пристрій на загрози і зверніться у підтримку Gate.

Чи підвищують розширення браузера ризик MITM-атак?

Деякі шкідливі або небезпечні розширення можуть стати точкою входу для MITM-атак — вони відстежують мережеву активність або змінюють вміст сторінок. Встановлюйте розширення лише з офіційних магазинів, регулярно перевіряйте дозволи, видаляйте непотрібні додатки — особливо щодо гаманців і трейдингу, використовуйте лише перевірених розробників.

Який зв’язок між MITM-атаками і викраденням DNS?

Викрадення DNS — поширений метод MITM-атак: змінюючи маршрутизацію DNS, зловмисники перенаправляють відвідування офіційних сайтів (наприклад, Gate.com) на фішингові. Дані, введені на таких фейкових сайтах, потрапляють до зловмисників. Для захисту завжди перевіряйте URL у браузері, використовуйте HTTPS-з’єднання або вручну пропишіть IP-адреси у файлі hosts.