В догонку к предыдущему посту про схему скам-спама с генерацией «похожих» адресов. Стали поступать вопросы на тему обнаружения таинственных исходящих нулевых транз с якобы апрувом, подписанным юзером. При этом юзеры все как один утверждали, что левых апрувов никому не давали. Понятно, что то был спам и можно было просто не обращать на него внимания, но людей волновало, откуда взялся апрув, который они НЕ давали. Поэтому в чаты приложений-кошельков пошли обращения, которые, разумеется, вызывали многочисленные попытки «помочь» в личках от скамеров, стабильно пользующихся доверчивостью испуганных юзеров. С разрешения автора привожу разгадку «тайны». Объяснил UPAut: “Контракт usdt/busd и многие другие позволяют указать любой from при нулевых транзакциях. Цели тривиальные - заспамить, в надежде что вы по ошибке скопируете адрес скамера и отправите ему что-то. - ну это как я и предполагала. А вот как это делалось 👇🏻 “Вызвана была функция transferFrom, а не transfer, а это значит что адрес From должен был дать approve тому адресу, кто подписал транзакцию, но так как сумма нулевая, а все новые ячейки памяти контракта инициализированы нулями, то все проходит гладко (так как approve на 0 есть для любых адресов). Если контракт не делает проверку на перевод нулевой суммы, то вызов функции завершится успешно. Так что такое можно делать в любом эфироподобном блокчейне с любым токеном, если в нем нет проверки на нулевую сумму. И да, такие транзы можно делать из обозревателя с контрактами прошедшими верификацию. Либо напрямую через метамаск, если поле Data будете заполнять сами.” Резюме: Вашим кошелькам ничего не грозит, в данном конкретном кейсе никто левых апрувов нигде не подписывал. Скорее всего, разработчики контрактов даже не подозревали, что такая невинная и безопасная мелочь может быть использована злоумышленниками таким хитрым образом. P.S. Обращаем ваше внимание, реклама, которую могут видеть некоторые пользователи, не имеет к нам никакого отношения, телеграм постит ее сам, без согласия хозяев каналов.