Безопасность Блокчейн: Новая форма мошенничества со смарт-контрактами и стратегии предотвращения
Криптовалюты и технологии Блокчейн меняют концепцию финансовой свободы, но эта трансформация также приносит новые угрозы. Мошенники больше не ограничиваются использованием технологических уязвимостей, а превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. Они используют тщательно разработанные схемы социального инжиниринга, чтобы с помощью прозрачности и необратимости Блокчейн превратить доверие пользователей в средства для кражи активов. От подделки смарт-контрактов до манипуляций с кросс-чейн транзакциями, эти атаки не только скрытны и трудны для расследования, но и более обманчивы из-за их "легализированного" внешнего вида. В данной статье с помощью реальных примеров будет показано, как мошенники превращают протоколы в средства атаки, и предложены всесторонние решения, от технической защиты до поведенческой профилактики, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как законные соглашения становятся инструментами мошенничества?
Первоначальная цель Блокчейн-протокола заключается в обеспечении безопасности и доверия, но мошенники используют его особенности, сочетая с небрежностью пользователей, создавая различные скрытые способы атак. Ниже приведены некоторые методы и их технические детали:
(1) Злонамеренные смарт-контракты
Технический принцип:
На таких Блокчейн, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" разрешать третьим лицам (обычно смарт-контрактам) извлекать из их кошелька определенное количество токенов. Эта функция широко используется в DeFi-протоколах, пользователи должны разрешить смарт-контрактам завершать сделки, ставить или заниматься ликвидной добычей. Однако мошенники используют этот механизм для разработки вредоносных контрактов.
Способ работы:
Мошенники создают DApp, замаскированный под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их склоняют к нажатию "Approve", что на первый взгляд является разрешением на небольшое количество токенов, но на самом деле может быть разрешением на неограниченный лимит (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает права и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, замаскированный под "обновление Uniswap V3", привел к потерям миллионов долларов в USDT и ETH у сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические методы, поскольку авторизация была подписана добровольно.
(2) Подписной фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователя транзакция рассылается в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает письмо или сообщение, маскирующееся под официальное уведомление, например, "Ваш NFT аирдроп готов к получению, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь попадает на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию подтверждения". На самом деле эта транзакция может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая дает мошеннику контроль над NFT коллекцией пользователя.
Реальный случай:
Сообщество Bored Ape Yacht Club (BAYC) стало жертвой фишинга с использованием подписей, несколько пользователей потеряли NFTs на сумму в несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Злоумышленники использовали стандарт подписи EIP-712, подделав запрос, который казался безопасным.
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это. Мошенники используют это, отправляя небольшие объемы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками.
Способ работы:
В большинстве случаев "пыль" в атаках с использованием пыли распределяется в виде аирдропа на кошельки пользователей, и эти токены могут содержать названия или метаданные (например, "FREE_AIRDROP"), что побуждает пользователей посетить определенный веб-сайт для получения дополнительной информации. Пользователи могут захотеть обналичить эти токены, после чего злоумышленники смогут получить доступ к кошельку пользователя через адрес контракта, прилагаемого к токенам. Тайно, атака пылью использует социоинженерию, анализируя последующие транзакции пользователей, чтобы определить активные адреса кошельков, что позволяет осуществлять более точные мошеннические действия.
Реальный случай:
В прошлом атака "пыльцевых токенов GAS", произошедшая в сети Эфириума, затронула тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытства и взаимодействия.
Два, почему эти мошенничества трудно распознать?
Эти мошенничества успешны во многом потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность:
Код смарт-контрактов и запросы на подпись могут быть непонятны не техническим пользователям. Например, запрос "Approve" может отображаться как шестнадцатеричные данные, такие как "0x095ea7b3...", и пользователь не может интуитивно понять его значение.
Законность на блокчейне:
Все сделки записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, и в этот момент активы уже невозможно вернуть.
Социальная инженерия:
Мошенники используют человеческие слабости, такие как жадность ("получите бесплатные токены на 1000 долларов"), страх ("необычные действия в аккаунте, требуется верификация") или доверие (выдавая себя за службу поддержки).
Замаскированный мастерски:
Фишинговые сайты могут использовать URL, похожие на официальные домены (например, "metamask.io" превращается в "metamaskk.io"), даже увеличивая доверие с помощью HTTPS сертификатов.
Три. Как защитить ваш криптовалютный кошелек?
Безопасность Блокчейн. В условиях существования как технических, так и психологических уловок, защита активов требует многоуровневой стратегии. Ниже приведены подробные меры предосторожности:
Проверьте и управляйте правами доступа
Инструменты: используйте проверку полномочий или инструмент отмены для проверки записей полномочий кошелька.
Операция: регулярно отменяйте ненужные разрешения, особенно на неограниченные разрешения для неизвестных адресов. Перед каждым разрешением убедитесь, что DApp поступает из надежного источника.
Технические детали: проверьте значение "Allowance". Если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отозвать.
Проверьте ссылку и источник
Метод: введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый значок замка). Будьте осторожны с опечатками или лишними символами.
Пример: если вы получите модификацию "opensea.io" (например, "opensea.io-login"), немедленно сомневайтесь в ее подлинности.
Использование холодного кошелька и мультиподписей
Холодный кошелек: хранить большую часть активов в аппаратном кошельке, подключать сеть только в случае необходимости.
Мультиподпись: для крупных активов используйте инструменты мультиподписи, требующие подтверждения сделки несколькими ключами, чтобы снизить риск одноточечных ошибок.
Преимущества: даже если горячий кошелек будет взломан, активы в холодном хранилище останутся в безопасности.
Осторожно обрабатывайте запросы на подпись
Шаги: При каждой подписи внимательно читайте детали транзакции в всплывающем окне кошелька. Если содержатся неизвестные функции (например, "TransferFrom"), откажитесь от подписи.
Инструменты: используйте функцию "Decode Input Data" в браузере Блокчейн для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Рекомендация: создайте отдельный кошелек для высокорисковых операций и храните на нем небольшое количество активов.
Противодействие атаке пыли
Стратегия: после получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "спам" или скройте.
Проверьте: подтвердите источник токена через Блокчейн-эксплорер, если это массовая отправка, будьте крайне осторожны.
Предотвращение: избегайте публичного раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Путем реализации вышеупомянутых мер безопасности обычные пользователи могут значительно снизить риск стать жертвами сложных мошеннических схем, но настоящая безопасность далеко не только техническая победа. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риск, понимание пользователем логики авторизации и осмотрительность в отношении ончейн-активности становятся последней крепостью в борьбе с атаками. Каждая интерпретация данных перед подписью, каждая проверка полномочий после авторизации — это клятва собственной цифровой суверенности.
В будущем, независимо от того, как технологии будут эволюционировать, самая важная линия защиты всегда будет заключаться в том, чтобы внутренне усвоить осознание безопасности как мышечную память, создавая вечный баланс между доверием и проверкой. В конце концов, в мире Блокчейн, где код является законом, каждое нажатие, каждая транзакция навсегда записываются в цепи и не могут быть изменены.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
6
Репост
Поделиться
комментарий
0/400
BlockchainDecoder
· 4ч назад
Согласие на необходимость обсуждения базовой логики
Анализ мошеннических методов протокола Блокчейн: всеобъемлющая стратегия защиты цифровых активов.
Безопасность Блокчейн: Новая форма мошенничества со смарт-контрактами и стратегии предотвращения
Криптовалюты и технологии Блокчейн меняют концепцию финансовой свободы, но эта трансформация также приносит новые угрозы. Мошенники больше не ограничиваются использованием технологических уязвимостей, а превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. Они используют тщательно разработанные схемы социального инжиниринга, чтобы с помощью прозрачности и необратимости Блокчейн превратить доверие пользователей в средства для кражи активов. От подделки смарт-контрактов до манипуляций с кросс-чейн транзакциями, эти атаки не только скрытны и трудны для расследования, но и более обманчивы из-за их "легализированного" внешнего вида. В данной статье с помощью реальных примеров будет показано, как мошенники превращают протоколы в средства атаки, и предложены всесторонние решения, от технической защиты до поведенческой профилактики, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как законные соглашения становятся инструментами мошенничества?
Первоначальная цель Блокчейн-протокола заключается в обеспечении безопасности и доверия, но мошенники используют его особенности, сочетая с небрежностью пользователей, создавая различные скрытые способы атак. Ниже приведены некоторые методы и их технические детали:
(1) Злонамеренные смарт-контракты
Технический принцип: На таких Блокчейн, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" разрешать третьим лицам (обычно смарт-контрактам) извлекать из их кошелька определенное количество токенов. Эта функция широко используется в DeFi-протоколах, пользователи должны разрешить смарт-контрактам завершать сделки, ставить или заниматься ликвидной добычей. Однако мошенники используют этот механизм для разработки вредоносных контрактов.
Способ работы: Мошенники создают DApp, замаскированный под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их склоняют к нажатию "Approve", что на первый взгляд является разрешением на небольшое количество токенов, но на самом деле может быть разрешением на неограниченный лимит (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает права и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай: В начале 2023 года фишинговый сайт, замаскированный под "обновление Uniswap V3", привел к потерям миллионов долларов в USDT и ETH у сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические методы, поскольку авторизация была подписана добровольно.
(2) Подписной фишинг
Технический принцип: Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователя транзакция рассылается в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы: Пользователь получает письмо или сообщение, маскирующееся под официальное уведомление, например, "Ваш NFT аирдроп готов к получению, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь попадает на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию подтверждения". На самом деле эта транзакция может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая дает мошеннику контроль над NFT коллекцией пользователя.
Реальный случай: Сообщество Bored Ape Yacht Club (BAYC) стало жертвой фишинга с использованием подписей, несколько пользователей потеряли NFTs на сумму в несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Злоумышленники использовали стандарт подписи EIP-712, подделав запрос, который казался безопасным.
(3) Ложные токены и "атака пыли"
Технический принцип: Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это. Мошенники используют это, отправляя небольшие объемы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками.
Способ работы: В большинстве случаев "пыль" в атаках с использованием пыли распределяется в виде аирдропа на кошельки пользователей, и эти токены могут содержать названия или метаданные (например, "FREE_AIRDROP"), что побуждает пользователей посетить определенный веб-сайт для получения дополнительной информации. Пользователи могут захотеть обналичить эти токены, после чего злоумышленники смогут получить доступ к кошельку пользователя через адрес контракта, прилагаемого к токенам. Тайно, атака пылью использует социоинженерию, анализируя последующие транзакции пользователей, чтобы определить активные адреса кошельков, что позволяет осуществлять более точные мошеннические действия.
Реальный случай: В прошлом атака "пыльцевых токенов GAS", произошедшая в сети Эфириума, затронула тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытства и взаимодействия.
Два, почему эти мошенничества трудно распознать?
Эти мошенничества успешны во многом потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть непонятны не техническим пользователям. Например, запрос "Approve" может отображаться как шестнадцатеричные данные, такие как "0x095ea7b3...", и пользователь не может интуитивно понять его значение.
Законность на блокчейне: Все сделки записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, и в этот момент активы уже невозможно вернуть.
Социальная инженерия: Мошенники используют человеческие слабости, такие как жадность ("получите бесплатные токены на 1000 долларов"), страх ("необычные действия в аккаунте, требуется верификация") или доверие (выдавая себя за службу поддержки).
Замаскированный мастерски: Фишинговые сайты могут использовать URL, похожие на официальные домены (например, "metamask.io" превращается в "metamaskk.io"), даже увеличивая доверие с помощью HTTPS сертификатов.
Три. Как защитить ваш криптовалютный кошелек?
Безопасность Блокчейн. В условиях существования как технических, так и психологических уловок, защита активов требует многоуровневой стратегии. Ниже приведены подробные меры предосторожности:
Проверьте и управляйте правами доступа
Инструменты: используйте проверку полномочий или инструмент отмены для проверки записей полномочий кошелька.
Операция: регулярно отменяйте ненужные разрешения, особенно на неограниченные разрешения для неизвестных адресов. Перед каждым разрешением убедитесь, что DApp поступает из надежного источника.
Технические детали: проверьте значение "Allowance". Если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отозвать.
Проверьте ссылку и источник
Метод: введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый значок замка). Будьте осторожны с опечатками или лишними символами.
Пример: если вы получите модификацию "opensea.io" (например, "opensea.io-login"), немедленно сомневайтесь в ее подлинности.
Использование холодного кошелька и мультиподписей
Холодный кошелек: хранить большую часть активов в аппаратном кошельке, подключать сеть только в случае необходимости.
Мультиподпись: для крупных активов используйте инструменты мультиподписи, требующие подтверждения сделки несколькими ключами, чтобы снизить риск одноточечных ошибок.
Преимущества: даже если горячий кошелек будет взломан, активы в холодном хранилище останутся в безопасности.
Осторожно обрабатывайте запросы на подпись
Шаги: При каждой подписи внимательно читайте детали транзакции в всплывающем окне кошелька. Если содержатся неизвестные функции (например, "TransferFrom"), откажитесь от подписи.
Инструменты: используйте функцию "Decode Input Data" в браузере Блокчейн для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Рекомендация: создайте отдельный кошелек для высокорисковых операций и храните на нем небольшое количество активов.
Противодействие атаке пыли
Стратегия: после получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "спам" или скройте.
Проверьте: подтвердите источник токена через Блокчейн-эксплорер, если это массовая отправка, будьте крайне осторожны.
Предотвращение: избегайте публичного раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Путем реализации вышеупомянутых мер безопасности обычные пользователи могут значительно снизить риск стать жертвами сложных мошеннических схем, но настоящая безопасность далеко не только техническая победа. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риск, понимание пользователем логики авторизации и осмотрительность в отношении ончейн-активности становятся последней крепостью в борьбе с атаками. Каждая интерпретация данных перед подписью, каждая проверка полномочий после авторизации — это клятва собственной цифровой суверенности.
В будущем, независимо от того, как технологии будут эволюционировать, самая важная линия защиты всегда будет заключаться в том, чтобы внутренне усвоить осознание безопасности как мышечную память, создавая вечный баланс между доверием и проверкой. В конце концов, в мире Блокчейн, где код является законом, каждое нажатие, каждая транзакция навсегда записываются в цепи и не могут быть изменены.