Blockchain segurança: novas formas de fraude em contratos inteligentes e estratégias de prevenção
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas esta transformação trouxe também novas ameaças. Os golpistas já não se limitam a explorar vulnerabilidades técnicas, mas transformam os próprios protocolos de contratos inteligentes do Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, aproveitam a transparência e a irreversibilidade do Blockchain, convertendo a confiança dos usuários em meios para roubar ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques são não só ocultos e difíceis de detectar, mas também mais enganosos devido à sua aparência "legitimada". Este artigo irá, através de análises de casos reais, revelar como os golpistas transformam protocolos em veículos de ataque e fornecer soluções abrangentes, desde a proteção técnica até a prevenção comportamental, ajudando os usuários a navegar com segurança no mundo descentralizado.
I. Como um contrato legal pode se tornar uma ferramenta de fraude?
O objetivo do protocolo Blockchain é garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. Abaixo estão algumas técnicas e suas explicações técnicas:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos:
No Blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, fazer staking ou mineração de liquidez. No entanto, os golpistas aproveitam este mecanismo para projetar contratos maliciosos.
Funcionamento:
Os golpistas criam um DApp que se disfarça de um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que aparentemente é para autorizar uma pequena quantidade de tokens, mas na verdade pode ser um limite infinito (valor uint256.max). Assim que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão e pode chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Caso real:
No início de 2023, um site de phishing disfarçado de "atualização do Uniswap V3" levou à perda de milhões de dólares em USDT e ETH por centenas de usuários. Os dados on-chain mostram que essas transações estão completamente em conformidade com o padrão ERC-20, e as vítimas nem sequer conseguem recuperar seus fundos por meios legais, uma vez que a autorização foi assinada voluntariamente.
(2) assinar phishing
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem assinaturas através da chave privada para provar a legitimidade da transação. Normalmente, a carteira exibirá um pedido de assinatura, e após a confirmação do usuário, a transação é divulgada na rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Modo de funcionamento:
O utilizador recebe um e-mail ou mensagem disfarçada de notificação oficial, como "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a carteira". Ao clicar no link, o utilizador é direcionado para um site malicioso, onde é solicitado a conectar a carteira e assinar uma "transação de verificação". Esta transação pode, na verdade, estar a chamar a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do utilizador.
Caso real:
A comunidade do Bored Ape Yacht Club (BAYC) sofreu um ataque de phishing por assinatura, com vários usuários perdendo NFTs no valor de milhões de dólares devido à assinatura de transações "de recebimento de airdrop" falsificadas. Os atacantes exploraram o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.
(3) Tokens falsos e "ataques de poeira"
Princípios técnicos:
A publicidade da Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e associá-la à pessoa ou empresa que possui a carteira.
Funcionamento:
Na maioria dos casos, o "pó" usado em ataques de pó é distribuído na forma de airdrops para as carteiras dos usuários, e esses tokens podem ter nomes ou metadados (como "FREE_AIRDROP"), induzindo os usuários a visitar um determinado site para consultar detalhes. Os usuários podem querer converter esses tokens, e então os atacantes podem acessar a carteira dos usuários através do endereço do contrato que acompanha os tokens. O que é insidioso é que os ataques de pó utilizam engenharia social, analisando as transações subsequentes dos usuários, bloqueando os endereços de carteira ativos dos usuários, a fim de implementar fraudes mais precisas.
Caso real:
No passado, o ataque de poeira "GAS token" que ocorreu na rede Ethereum afetou milhares de carteiras. Alguns usuários perderam ETH e tokens ERC-20 devido à curiosidade de interagir.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes têm sucesso, em grande parte, porque estão ocultas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernirem sua verdadeira natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica:
O código de contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos. Por exemplo, um pedido "Approve" pode aparecer como dados hexadecimais como "0x095ea7b3...", e o usuário não consegue avaliar intuitivamente seu significado.
Legalidade na Blockchain:
Todas as transações são registadas no Blockchain, parecem transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois do facto, e nesse momento os ativos já não podem ser recuperados.
Engenharia social:
Os golpistas exploram fraquezas humanas, como a ganância ("receber gratuitamente 1000 dólares em tokens"), o medo ("anomalias na conta precisam de verificação") ou a confiança (disfarçando-se como suporte ao cliente).
Disfarce habilidoso:
Sites de phishing podem usar URLs semelhantes ao nome de domínio oficial (como "metamask.io" transformado em "metamaskk.io"), e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
A segurança do Blockchain diante desses golpes que coexistem com batalhas técnicas e psicológicas, proteger os ativos requer estratégias em múltiplas camadas. Abaixo estão as medidas de prevenção detalhadas:
Verificar e gerenciar permissões de autorização
Ferramentas: use o verificador de autorizações ou a ferramenta de revogação para verificar os registros de autorização da carteira.
Ação: Revogar regularmente autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos. Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Detalhes técnicos: Verifique o valor "Allowance"; se for "ilimitado" (como 2^256-1), deve ser imediatamente revogado.
Verifique o link e a origem
Método: insira manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
Verifique: certifique-se de que o site está a usar o domínio correto e o certificado SSL (ícone de cadeado verde). Fique atento a erros de ortografia ou caracteres a mais.
Exemplo: Se receber uma variante de "opensea.io" (como "opensea.io-login"), desconfie imediatamente da sua autenticidade.
usar carteiras frias e assinaturas múltiplas
Carteira fria: Armazenar a maior parte dos ativos em uma carteira de hardware, conectando-se à rede apenas quando necessário.
Assinatura múltipla: Para ativos de grande valor, utilize ferramentas de assinatura múltipla, exigindo a confirmação da transação por várias chaves, reduzindo o risco de erro de ponto único.
Benefícios: mesmo que a carteira quente seja invadida, os ativos armazenados a frio permanecem seguros.
Trate os pedidos de assinatura com cautela
Passos: A cada assinatura, leia atentamente os detalhes da transação na janela do wallet. Se incluir funções desconhecidas (como "TransferFrom"), recuse a assinatura.
Ferramentas: use a funcionalidade "Decode Input Data" do explorador de Blockchain para analisar o conteúdo da assinatura ou consulte um especialista técnico.
Sugestão: crie uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
resposta a ataques de poeira
Estratégia: ao receber um token desconhecido, não interaja. Marque-o como "lixo" ou oculte.
Verifique: confirme a origem do token através do explorador de Blockchain, e se for um envio em massa, fique altamente atento.
Prevenção: evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima, os usuários comuns podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados, mas a verdadeira segurança não é de forma alguma uma vitória unilateral da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a assinatura múltipla dispersa a exposição ao risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são o último bastião contra ataques. Cada análise de dados antes da assinatura e cada revisão de permissões após a autorização são um juramento à sua soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais importante sempre estará em: internalizar a consciência de segurança como memória muscular, estabelecendo um equilíbrio eterno entre confiança e verificação. Afinal, no mundo do blockchain onde código é lei, cada clique e cada transação são registrados permanentemente no mundo da cadeia, não podendo ser alterados.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
6
Repostar
Compartilhar
Comentário
0/400
BlockchainDecoder
· 4h atrás
A lógica subjacente que precisa ser discutida.
Ver originalResponder0
SigmaValidator
· 4h atrás
Cuidado com as armadilhas de assinaturas falsas
Ver originalResponder0
liquidation_surfer
· 4h atrás
Outra armadilha de hacker à vista
Ver originalResponder0
New_Ser_Ngmi
· 4h atrás
Os certos dizem os certos
Ver originalResponder0
LiquidatedTwice
· 4h atrás
Concordo com boas estratégias de prevenção contra fraudes.
Análise das técnicas de fraude em protocolos de Blockchain: Estratégias abrangentes para proteger a segurança do ativo digital.
Blockchain segurança: novas formas de fraude em contratos inteligentes e estratégias de prevenção
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas esta transformação trouxe também novas ameaças. Os golpistas já não se limitam a explorar vulnerabilidades técnicas, mas transformam os próprios protocolos de contratos inteligentes do Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, aproveitam a transparência e a irreversibilidade do Blockchain, convertendo a confiança dos usuários em meios para roubar ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques são não só ocultos e difíceis de detectar, mas também mais enganosos devido à sua aparência "legitimada". Este artigo irá, através de análises de casos reais, revelar como os golpistas transformam protocolos em veículos de ataque e fornecer soluções abrangentes, desde a proteção técnica até a prevenção comportamental, ajudando os usuários a navegar com segurança no mundo descentralizado.
I. Como um contrato legal pode se tornar uma ferramenta de fraude?
O objetivo do protocolo Blockchain é garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. Abaixo estão algumas técnicas e suas explicações técnicas:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos: No Blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, fazer staking ou mineração de liquidez. No entanto, os golpistas aproveitam este mecanismo para projetar contratos maliciosos.
Funcionamento: Os golpistas criam um DApp que se disfarça de um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que aparentemente é para autorizar uma pequena quantidade de tokens, mas na verdade pode ser um limite infinito (valor uint256.max). Assim que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão e pode chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Caso real: No início de 2023, um site de phishing disfarçado de "atualização do Uniswap V3" levou à perda de milhões de dólares em USDT e ETH por centenas de usuários. Os dados on-chain mostram que essas transações estão completamente em conformidade com o padrão ERC-20, e as vítimas nem sequer conseguem recuperar seus fundos por meios legais, uma vez que a autorização foi assinada voluntariamente.
(2) assinar phishing
Princípios técnicos: As transações em Blockchain exigem que os usuários gerem assinaturas através da chave privada para provar a legitimidade da transação. Normalmente, a carteira exibirá um pedido de assinatura, e após a confirmação do usuário, a transação é divulgada na rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Modo de funcionamento: O utilizador recebe um e-mail ou mensagem disfarçada de notificação oficial, como "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a carteira". Ao clicar no link, o utilizador é direcionado para um site malicioso, onde é solicitado a conectar a carteira e assinar uma "transação de verificação". Esta transação pode, na verdade, estar a chamar a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do utilizador.
Caso real: A comunidade do Bored Ape Yacht Club (BAYC) sofreu um ataque de phishing por assinatura, com vários usuários perdendo NFTs no valor de milhões de dólares devido à assinatura de transações "de recebimento de airdrop" falsificadas. Os atacantes exploraram o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.
(3) Tokens falsos e "ataques de poeira"
Princípios técnicos: A publicidade da Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e associá-la à pessoa ou empresa que possui a carteira.
Funcionamento: Na maioria dos casos, o "pó" usado em ataques de pó é distribuído na forma de airdrops para as carteiras dos usuários, e esses tokens podem ter nomes ou metadados (como "FREE_AIRDROP"), induzindo os usuários a visitar um determinado site para consultar detalhes. Os usuários podem querer converter esses tokens, e então os atacantes podem acessar a carteira dos usuários através do endereço do contrato que acompanha os tokens. O que é insidioso é que os ataques de pó utilizam engenharia social, analisando as transações subsequentes dos usuários, bloqueando os endereços de carteira ativos dos usuários, a fim de implementar fraudes mais precisas.
Caso real: No passado, o ataque de poeira "GAS token" que ocorreu na rede Ethereum afetou milhares de carteiras. Alguns usuários perderam ETH e tokens ERC-20 devido à curiosidade de interagir.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes têm sucesso, em grande parte, porque estão ocultas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernirem sua verdadeira natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica: O código de contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos. Por exemplo, um pedido "Approve" pode aparecer como dados hexadecimais como "0x095ea7b3...", e o usuário não consegue avaliar intuitivamente seu significado.
Legalidade na Blockchain: Todas as transações são registadas no Blockchain, parecem transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois do facto, e nesse momento os ativos já não podem ser recuperados.
Engenharia social: Os golpistas exploram fraquezas humanas, como a ganância ("receber gratuitamente 1000 dólares em tokens"), o medo ("anomalias na conta precisam de verificação") ou a confiança (disfarçando-se como suporte ao cliente).
Disfarce habilidoso: Sites de phishing podem usar URLs semelhantes ao nome de domínio oficial (como "metamask.io" transformado em "metamaskk.io"), e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
A segurança do Blockchain diante desses golpes que coexistem com batalhas técnicas e psicológicas, proteger os ativos requer estratégias em múltiplas camadas. Abaixo estão as medidas de prevenção detalhadas:
Verificar e gerenciar permissões de autorização
Ferramentas: use o verificador de autorizações ou a ferramenta de revogação para verificar os registros de autorização da carteira.
Ação: Revogar regularmente autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos. Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Detalhes técnicos: Verifique o valor "Allowance"; se for "ilimitado" (como 2^256-1), deve ser imediatamente revogado.
Verifique o link e a origem
Método: insira manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
Verifique: certifique-se de que o site está a usar o domínio correto e o certificado SSL (ícone de cadeado verde). Fique atento a erros de ortografia ou caracteres a mais.
Exemplo: Se receber uma variante de "opensea.io" (como "opensea.io-login"), desconfie imediatamente da sua autenticidade.
usar carteiras frias e assinaturas múltiplas
Carteira fria: Armazenar a maior parte dos ativos em uma carteira de hardware, conectando-se à rede apenas quando necessário.
Assinatura múltipla: Para ativos de grande valor, utilize ferramentas de assinatura múltipla, exigindo a confirmação da transação por várias chaves, reduzindo o risco de erro de ponto único.
Benefícios: mesmo que a carteira quente seja invadida, os ativos armazenados a frio permanecem seguros.
Trate os pedidos de assinatura com cautela
Passos: A cada assinatura, leia atentamente os detalhes da transação na janela do wallet. Se incluir funções desconhecidas (como "TransferFrom"), recuse a assinatura.
Ferramentas: use a funcionalidade "Decode Input Data" do explorador de Blockchain para analisar o conteúdo da assinatura ou consulte um especialista técnico.
Sugestão: crie uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
resposta a ataques de poeira
Estratégia: ao receber um token desconhecido, não interaja. Marque-o como "lixo" ou oculte.
Verifique: confirme a origem do token através do explorador de Blockchain, e se for um envio em massa, fique altamente atento.
Prevenção: evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima, os usuários comuns podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados, mas a verdadeira segurança não é de forma alguma uma vitória unilateral da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a assinatura múltipla dispersa a exposição ao risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são o último bastião contra ataques. Cada análise de dados antes da assinatura e cada revisão de permissões após a autorização são um juramento à sua soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais importante sempre estará em: internalizar a consciência de segurança como memória muscular, estabelecendo um equilíbrio eterno entre confiança e verificação. Afinal, no mundo do blockchain onde código é lei, cada clique e cada transação são registrados permanentemente no mundo da cadeia, não podendo ser alterados.