Seguridad en la cadena de bloques: nuevas formas de fraude con contratos inteligentes y estrategias de prevención
Las criptomonedas y la tecnología de la cadena de bloques están reformulando el concepto de libertad financiera, pero esta transformación también ha traído nuevas amenazas. Los estafadores ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que han convertido los propios protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para transformar la confianza del usuario en un medio para robar activos. Desde contratos inteligentes falsificados hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legitimada". Este artículo analizará casos reales para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y ofrecerá soluciones integrales que van desde la protección técnica hasta la prevención conductual, ayudando a los usuarios a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo puede un acuerdo legal convertirse en una herramienta de fraude?
El propósito del protocolo de Cadena de bloques es garantizar la seguridad y la confianza, pero los estafadores han utilizado sus características, combinadas con la negligencia de los usuarios, para crear diversas formas ocultas de ataque. A continuación se presentan algunas técnicas y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico:
En blockchains como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de operar:
Los estafadores crean una DApp que se disfraza de un proyecto legítimo, normalmente promocionándola a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permisos, pudiendo llamar en cualquier momento a la función "TransferFrom" para extraer todos los tokens correspondientes de la billetera del usuario.
Caso real:
A principios de 2023, un sitio web de phishing que se hacía pasar por "actualización de Uniswap V3" provocó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en la cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas ni siquiera pudieron recuperar su dinero a través de medios legales, ya que la autorización fue firmada de manera voluntaria.
(2) firma de phishing
Principio técnico:
Las transacciones en la cadena de bloques requieren que los usuarios generen firmas a través de claves privadas para probar la legitimidad de la transacción. Las billeteras suelen mostrar una solicitud de firma, y una vez que el usuario la confirma, la transacción se difunde en la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operación:
El usuario recibe un correo electrónico o mensaje disfrazado de notificación oficial, por ejemplo, "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que solicita conectar su billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o puede ser una operación de "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.
Caso real:
La comunidad de Bored Ape Yacht Club (BAYC) sufrió un ataque de phishing mediante firmas, y varios usuarios perdieron NFT por un valor de millones de dólares al firmar transacciones "falsas de recepción de airdrop". Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico:
La apertura de la cadena de bloques permite a cualquiera enviar tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y vincularlas con las personas o empresas que poseen las billeteras.
Forma de operación:
En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye a los monederos de los usuarios en forma de airdrop, y estos tokens pueden llevar un nombre o metadatos (como "FREE_AIRDROP"), induciendo a los usuarios a visitar un sitio web para consultar detalles. Los usuarios pueden querer canjear estos tokens, y luego los atacantes pueden acceder al monedero del usuario a través de la dirección del contrato acompañante del token. De manera encubierta, el ataque de polvo utiliza la ingeniería social para analizar las transacciones posteriores del usuario, localizando así la dirección de su monedero activo y llevando a cabo estafas más precisas.
Caso real:
En el pasado, los ataques de polvo de "tokens GAS" que aparecieron en la red de Ethereum afectaron a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estos fraudes se debe en gran parte a que se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes puedan discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica:
El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que impide que el usuario juzgue intuitivamente su significado.
Legitimidad en la cadena:
Todas las transacciones se registran en la cadena de bloques, parecen ser transparentes, pero las víctimas a menudo solo se dan cuenta de las consecuencias de la autorización o la firma después del hecho, momento en el cual los activos ya no se pueden recuperar.
Ingeniería social:
Los estafadores aprovechan las debilidades humanas, como la avaricia ("recibe 1000 dólares en tokens gratis"), el miedo ("anomalía en la cuenta que necesita verificación") o la confianza (suplantándose como servicio al cliente).
Disfraz sofisticado:
Los sitios web de phishing pueden usar URL similares a los nombres de dominio oficiales (como "metamask.io" convertido en "metamaskk.io"), e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
La seguridad de la cadena de bloques frente a estos fraudes que combinan técnicas y guerra psicológica, proteger los activos requiere estrategias de múltiples niveles. A continuación se detallan las medidas de prevención:
Verificar y gestionar permisos de autorización
Herramientas: utiliza el verificador de autorizaciones o la herramienta de revocación para comprobar los registros de autorización de la billetera.
Operación: Revoca periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas. Antes de cada autorización, asegúrate de que el DApp provenga de una fuente confiable.
Detalles técnicos: Verificar el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Verificar enlace y origen
Método: ingrese manualmente la URL oficial, evite hacer clic en los enlaces de las redes sociales o correos electrónicos.
Verificación: Asegúrate de que el sitio web utilice el nombre de dominio y el certificado SSL correctos (ícono de candado verde). Ten cuidado con errores de ortografía o caracteres de más.
Ejemplo: Si se recibe una variante de "opensea.io" (como "opensea.io-login"), sospeche de su autenticidad inmediatamente.
uso de billetera fría y firma múltiple
Cartera fría: almacenar la mayoría de los activos en una cartera de hardware, conectando a la red solo cuando sea necesario.
Multifirma: Para activos de gran valor, utiliza herramientas de multifirma que requieren la confirmación de múltiples claves para la transacción, reduciendo el riesgo de fallos en un solo punto.
Beneficio: incluso si la billetera caliente es hackeada, los activos de almacenamiento en frío siguen siendo seguros.
Maneje con cuidado las solicitudes de firma
Pasos: Cada vez que firme, lea atentamente los detalles de la transacción en la ventana emergente de la billetera. Si incluye funciones desconocidas (como "TransferFrom"), rechace la firma.
Herramientas: Utiliza la función "Decode Input Data" del explorador de cadenas de bloques para analizar el contenido de la firma, o consulta a un experto técnico.
Sugerencia: crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
respuesta a ataques de polvo
Estrategia: Después de recibir un token desconocido, no interactúe. Márquelo como "basura" o escóndalo.
Verificar: confirmar el origen del token a través del explorador de la cadena de bloques, si es un envío masivo, tener mucha precaución.
Prevención: Evita hacer pública la dirección de tu billetera o utiliza una nueva dirección para realizar operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas anteriormente, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de programas de fraude avanzados, pero la verdadera seguridad no es una victoria unilateral de la tecnología. Cuando las billeteras de hardware construyen una línea de defensa física y la firma múltiple dispersa la exposición al riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última barricada contra los ataques. Cada análisis de datos antes de la firma, cada revisión de permisos después de la autorización, es un juramento a su propia soberanía digital.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como memoria muscular, estableciendo un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente en el mundo de la cadena, y no se pueden modificar.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Análisis de las técnicas de fraude en protocolos de cadena de bloques: estrategias integrales para proteger la seguridad del activo digital.
Seguridad en la cadena de bloques: nuevas formas de fraude con contratos inteligentes y estrategias de prevención
Las criptomonedas y la tecnología de la cadena de bloques están reformulando el concepto de libertad financiera, pero esta transformación también ha traído nuevas amenazas. Los estafadores ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que han convertido los propios protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para transformar la confianza del usuario en un medio para robar activos. Desde contratos inteligentes falsificados hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legitimada". Este artículo analizará casos reales para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y ofrecerá soluciones integrales que van desde la protección técnica hasta la prevención conductual, ayudando a los usuarios a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo puede un acuerdo legal convertirse en una herramienta de fraude?
El propósito del protocolo de Cadena de bloques es garantizar la seguridad y la confianza, pero los estafadores han utilizado sus características, combinadas con la negligencia de los usuarios, para crear diversas formas ocultas de ataque. A continuación se presentan algunas técnicas y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico: En blockchains como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de operar: Los estafadores crean una DApp que se disfraza de un proyecto legítimo, normalmente promocionándola a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permisos, pudiendo llamar en cualquier momento a la función "TransferFrom" para extraer todos los tokens correspondientes de la billetera del usuario.
Caso real: A principios de 2023, un sitio web de phishing que se hacía pasar por "actualización de Uniswap V3" provocó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en la cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas ni siquiera pudieron recuperar su dinero a través de medios legales, ya que la autorización fue firmada de manera voluntaria.
(2) firma de phishing
Principio técnico: Las transacciones en la cadena de bloques requieren que los usuarios generen firmas a través de claves privadas para probar la legitimidad de la transacción. Las billeteras suelen mostrar una solicitud de firma, y una vez que el usuario la confirma, la transacción se difunde en la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operación: El usuario recibe un correo electrónico o mensaje disfrazado de notificación oficial, por ejemplo, "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que solicita conectar su billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o puede ser una operación de "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.
Caso real: La comunidad de Bored Ape Yacht Club (BAYC) sufrió un ataque de phishing mediante firmas, y varios usuarios perdieron NFT por un valor de millones de dólares al firmar transacciones "falsas de recepción de airdrop". Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico: La apertura de la cadena de bloques permite a cualquiera enviar tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y vincularlas con las personas o empresas que poseen las billeteras.
Forma de operación: En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye a los monederos de los usuarios en forma de airdrop, y estos tokens pueden llevar un nombre o metadatos (como "FREE_AIRDROP"), induciendo a los usuarios a visitar un sitio web para consultar detalles. Los usuarios pueden querer canjear estos tokens, y luego los atacantes pueden acceder al monedero del usuario a través de la dirección del contrato acompañante del token. De manera encubierta, el ataque de polvo utiliza la ingeniería social para analizar las transacciones posteriores del usuario, localizando así la dirección de su monedero activo y llevando a cabo estafas más precisas.
Caso real: En el pasado, los ataques de polvo de "tokens GAS" que aparecieron en la red de Ethereum afectaron a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estos fraudes se debe en gran parte a que se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes puedan discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que impide que el usuario juzgue intuitivamente su significado.
Legitimidad en la cadena: Todas las transacciones se registran en la cadena de bloques, parecen ser transparentes, pero las víctimas a menudo solo se dan cuenta de las consecuencias de la autorización o la firma después del hecho, momento en el cual los activos ya no se pueden recuperar.
Ingeniería social: Los estafadores aprovechan las debilidades humanas, como la avaricia ("recibe 1000 dólares en tokens gratis"), el miedo ("anomalía en la cuenta que necesita verificación") o la confianza (suplantándose como servicio al cliente).
Disfraz sofisticado: Los sitios web de phishing pueden usar URL similares a los nombres de dominio oficiales (como "metamask.io" convertido en "metamaskk.io"), e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
La seguridad de la cadena de bloques frente a estos fraudes que combinan técnicas y guerra psicológica, proteger los activos requiere estrategias de múltiples niveles. A continuación se detallan las medidas de prevención:
Verificar y gestionar permisos de autorización
Herramientas: utiliza el verificador de autorizaciones o la herramienta de revocación para comprobar los registros de autorización de la billetera.
Operación: Revoca periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas. Antes de cada autorización, asegúrate de que el DApp provenga de una fuente confiable.
Detalles técnicos: Verificar el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Verificar enlace y origen
Método: ingrese manualmente la URL oficial, evite hacer clic en los enlaces de las redes sociales o correos electrónicos.
Verificación: Asegúrate de que el sitio web utilice el nombre de dominio y el certificado SSL correctos (ícono de candado verde). Ten cuidado con errores de ortografía o caracteres de más.
Ejemplo: Si se recibe una variante de "opensea.io" (como "opensea.io-login"), sospeche de su autenticidad inmediatamente.
uso de billetera fría y firma múltiple
Cartera fría: almacenar la mayoría de los activos en una cartera de hardware, conectando a la red solo cuando sea necesario.
Multifirma: Para activos de gran valor, utiliza herramientas de multifirma que requieren la confirmación de múltiples claves para la transacción, reduciendo el riesgo de fallos en un solo punto.
Beneficio: incluso si la billetera caliente es hackeada, los activos de almacenamiento en frío siguen siendo seguros.
Maneje con cuidado las solicitudes de firma
Pasos: Cada vez que firme, lea atentamente los detalles de la transacción en la ventana emergente de la billetera. Si incluye funciones desconocidas (como "TransferFrom"), rechace la firma.
Herramientas: Utiliza la función "Decode Input Data" del explorador de cadenas de bloques para analizar el contenido de la firma, o consulta a un experto técnico.
Sugerencia: crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
respuesta a ataques de polvo
Estrategia: Después de recibir un token desconocido, no interactúe. Márquelo como "basura" o escóndalo.
Verificar: confirmar el origen del token a través del explorador de la cadena de bloques, si es un envío masivo, tener mucha precaución.
Prevención: Evita hacer pública la dirección de tu billetera o utiliza una nueva dirección para realizar operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas anteriormente, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de programas de fraude avanzados, pero la verdadera seguridad no es una victoria unilateral de la tecnología. Cuando las billeteras de hardware construyen una línea de defensa física y la firma múltiple dispersa la exposición al riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última barricada contra los ataques. Cada análisis de datos antes de la firma, cada revisión de permisos después de la autorización, es un juramento a su propia soberanía digital.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como memoria muscular, estableciendo un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente en el mundo de la cadena, y no se pueden modificar.