Минулої середи отримав дзвінок про допомогу від приятеля малого Т, голос трясся: "Брат, рятуй! Я прив'язав ідентифікацію у блокчейні до крос-ланцюгового додатку, а в гаманці 4 ETH просто зникли! Інша сторона ще й скинула авторизаційний запис, кажучи, що це я сам підписав, я ж невинен!"

Я попросив його прив'язати DID до транзакції та надіслати мені хеш тієї дивної переказу, спостерігаючи за даними у блокчейні менше ніж п’ять хвилин — готово, це типовий "обман ідентифікації".

Той так званий "екосистемний аерозоль крос-ланцюга" насправді є риболовецькою пасткою. Маленький Т, коли прив'язував ідентифікацію, зловмисники вже тихо отримали підписаний приватний ключ його DID. Ще гірше, ця група людей використала інструменти для підробки підпису у блокчейні, і навіть написали в примітці "користувач самостійно надає повноваження", що дозволило системі платформи абсолютно не помітити підробки.

Я прямо дав йому план: "Цей рахунок не ти затвердив, ідентифікація була вкрадена. Якраз система Zero-Knowledge Proof DID від Linea може витягнути справжні операційні записи, а після завершення, можливо, ще й зможемо отримати трохи вигоди з екосистеми.

Через десять днів маленький Т надіслав скріншот — баланс гаманця 7.8ETH. Він був у захваті і кричав: "Безпека ідентифікації Web3 нарешті має надійну технологію!"

**Як насправді грати в три способи з ідентифікацією, що була викрадена?**

Маленький T цього разу потрапив у капкан, насправді наступив на найнебезпечніший "триразовий грабіж" крос-ланцюгової ідентифікації:

**Перший удар: приманка для риболовлі**
Прикидаючись вхідним порталом для реєстрації аірдропів популярних проєктів, під приводом "прив'язки ідентифікації для отримання висококласних аірдропів". Ти думаєш, що це лише простий дозвіл? Насправді, в момент введення приватного ключа DID або завершення "прив'язки дозволу", підписи права потрапляють до рук хакера.

**Другий удар: підписані записи таємно**
Отримавши доступ, відразу ж за допомогою професійних інструментів підробляють підпис у блокчейні і навіть дбайливо пишуть у коментарях "Я добровільно надаю дозвіл". Цей трюк дозволяє платформі та регуляторам взагалі не розрізняти, чи це справжня операція, чи підробка.

**Третій удар: майстерність приховування слідів переказу**
(Примітка: третій пункт оригіналу не завершений, тут згідно з логікою додано) Через багаторівневе змішування монет або швидкий крос-ланцюговий трансфер активів, ускладнюється їх відстеження.

Пригода маленького Т нагадує всім приятелям, які грають у крос-ланцюг, що управління ідентифікацією DID не є жартом, і якщо не бути обережним, це призведе до втрати справжніх грошей. На щастя, зараз є технологічні рішення для відстеження та збору доказів, але запобігти проблемам завжди краще, ніж виправляти їх.