Безпека Блокчейн: нові форми шахрайства зі смартконтрактами та стратегії запобігання
Криптовалюти та технології Блокчейн змінюють концепцію фінансової свободи, але ця трансформація також приносить нові загрози. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі протоколи смартконтрактів Блокчейн на знаряддя атаки. Вони за допомогою ретельно продуманих соціальних інженерних пасток, використовуючи прозорість та незворотність Блокчейн, перетворюють довіру користувачів на засіб викрадення активів. Від підроблених смартконтрактів до маніпуляцій з крос-ланцюговими транзакціями, ці атаки не лише приховані та важко виявляються, але й завдяки своїй "легалізованій" зовнішності є ще більш оманливими. У цій статті ми через реальні випадки проаналізуємо, як шахраї перетворюють протоколи на засоби атаки, та надамо комплексні рішення, від технічного захисту до поведінкових запобіжників, щоб допомогти користувачам безпечно рухатися в децентралізованому світі.
Один. Як легітимні угоди перетворюються на інструменти шахрайства?
Початкова мета Блокчейн-протоколу полягає в забезпеченні безпеки та довіри, але шахраї використовують його особливості, поєднуючи їх з недбалістю користувачів, щоб створити різноманітні приховані способи атаки. Нижче наведено деякі методи та їх технічні деталі:
(1) Зловмисне смартконтрактне уповноваження
Технічний принцип:
На Блокчейн, такі як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай смартконтракти) витягувати з їхнього гаманця вказану кількість токенів. Ця функція широко використовується в DeFi-протоколах, де користувачі повинні уповноважити смартконтракти для завершення угод, стейкінгу або ліквідного майнінгу. Проте шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Шахраї створюють DApp, що маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці та спокушаються натиснути "Approve", що на перший погляд є наданням дозволу на незначну кількість токенів, насправді це може бути безмежний ліміт (значення uint256.max). Як тільки авторизація завершена, адреса контракту шахраїв отримує дозвіл, щоб у будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Реальний випадок:
На початку 2023 року фішинг-сайт, який маскувався під "апгрейд Uniswap V3", призвів до втрати сотень користувачів на мільйони доларів у USDT та ETH. Дані з блокчейну показують, що ці транзакції повністю відповідали стандарту ERC-20, жертви навіть не змогли повернути свої кошти через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) підписне фішинг
Технічний принцип:
Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб підтвердити легітимність транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувача транзакція транслюється в мережу. Шахраї використовують цей процес для підробки запитів на підпис, щоб вкрасти активи.
Спосіб роботи:
Користувач отримує лист або повідомлення, що маскується під офіційне повідомлення, наприклад, "Ваш NFT airdrop чекає на отримання, будь ласка, підтвердіть гаманець". Натиснувши на посилання, користувача перенаправляють на шкідливий вебсайт, де його просять підключити гаманець і підписати "підтверджуючу транзакцію". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що дозволяє шахраю контролювати колекцію NFT користувача.
Справжній випадок:
Спільнота Bored Ape Yacht Club (BAYC) зазнала атаки фішингу з підписами, в результаті чого кілька користувачів втратили NFT на суму в кілька мільйонів доларів через підписання підроблених транзакцій "отримання аеродропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши на перший погляд безпечний запит.
(3) Фальшиві токени та "атака пилу"
Технічний принцип:
Відкритість Блокчейн дозволяє кожному надсилати токени на будь-яку адресу, навіть якщо отримувач не робить активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особою або компанією, яка володіє гаманцем.
Спосіб роботи:
У більшості випадків "пил" для атак із використанням пилу розподіляється у вигляді аердропів в гаманці користувача, ці токени можуть містити назву або метадані (наприклад, "FREE_AIRDROP"), спонукаючи користувача відвідати певний веб-сайт для отримання деталей. Користувач може захотіти обміняти ці токени, а потім зловмисник може отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Приховано, що атака пилом здійснюється шляхом соціальної інженерії, аналізуючи подальші транзакції користувача, щоб визначити активні адреси гаманців користувачів, з метою здійснення більш точної шахрайства.
Справжній випадок:
В минулому, атаки "пилових" токенів GAS в мережі Ethereum вплинули на тисячі гаманців. Деякі користувачі через цікавість втратили ETH та токени ERC-20.
Два, чому ці шахрайства важко помітити?
Ці шахрайства успішні, в значній мірі, через те, що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко розпізнати їхню злонамірну природу. Ось кілька ключових причин:
Технічна складність:
Код смартконтрактів та запити на підписання можуть бути незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані на кшталт "0x095ea7b3...", і користувачі не можуть інтуїтивно зрозуміти його значення.
Законність в Блокчейні:
Усі транзакції реєструються в Блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже неможливо повернути.
Соціальна інженерія:
Шахраї використовують людські слабкості, такі як жадібність ("безкоштовно отримати токени на 1000 доларів"), страх ("незвичайна активність рахунку, потрібно підтвердити") або довіру (прикидаючись службою підтримки).
Досконале маскування:
Фішингові сайти можуть використовувати URL, схожі на офіційні домени (наприклад, "metamask.io" перетворюється на "metamaskk.io"), навіть додаючи сертифікати HTTPS для підвищення довіри.
Три, як захистити свій криптовалютний гаманець?
Блокчейн безпека стикається з цими шахрайствами, що поєднують технічні та психологічні війни, захист активів вимагає багаторівневої стратегії. Нижче наведено детальні заходи запобігання:
Перевірка та управління правами доступу
Інструменти: використовуйте перевірник авторизації або інструмент скасування для перевірки записів авторизації гаманця.
Операція: регулярно відкликати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес. Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.
Технічні деталі: перевірте значення "Allowance", якщо воно "безмежне" (наприклад, 2^256-1), його слід негайно скасувати.
перевірка посилання та джерела
Метод: введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Перевірка: переконайтеся, що сайт використовує правильне доменне ім'я та SSL-сертифікат (зеленик замок). Будьте обережні з орфографічними помилками або зайвими символами.
Приклад: якщо ви отримали варіант "opensea.io" (наприклад, "opensea.io-login"), негайно підозрюйте його достовірність.
Використання холодного гаманця та багатопідпису
Холодний гаманець: зберігання більшості активів у апаратному гаманці, з'єднуючи мережу лише у разі необхідності.
Багатопідпис: для великих активів використовуйте інструменти багатопідпису, які вимагають підтвердження транзакції кількома ключами, щоб зменшити ризик одноточкової помилки.
Переваги: навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.
Обережно обробляйте запити на підпис.
Кроки: щоразу під час підписання уважно читайте деталі транзакції у спливаючому вікні гаманця. Якщо є невідомі функції (наприклад, "TransferFrom"), відмовтеся від підписання.
Інструменти: використовуйте функцію "Decode Input Data" блокчейн-браузера для аналізу вмісту підпису або зверніться до технічного експерта.
Рекомендація: створіть окремий гаманець для операцій з високим ризиком та зберігайте невелику кількість активів.
Відповідь на атаки пилу
Стратегія: після отримання невідомого токена не взаємодійте. Позначте його як "сміття" або сховайте.
Перевірка: підтвердження походження токена через Блокчейн-браузер, якщо це масова розсилка, будьте надзвичайно обережні.
Запобігання: уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, звичайні користувачі можуть значно знизити ризик стати жертвами складних шахрайських схем, але справжня безпека далеко не є односторонньою технічною перемогою. Коли апаратні гаманці створюють фізичні бар'єри, а багаторазові підписи розподіляють ризики, розуміння користувачами логіки авторизації та обережність у поведінці на ланцюгу є останнім бастіоном для захисту від атак. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації - це клятва на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології ітеруються, найосновніша лінія оборони завжди полягатиме в тому, щоб інтегрувати свідомість про безпеку в м’язову пам’ять, встановлюючи вічну рівновагу між довірою та перевіркою. Адже в світі Блокчейн, де код є законом, кожен клік, кожна транзакція назавжди записується на ланцюзі, і їх не можна змінити.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Аналіз методів шахрайства з протоколами Блокчейн: всебічна стратегія захисту цифрових активів
Безпека Блокчейн: нові форми шахрайства зі смартконтрактами та стратегії запобігання
Криптовалюти та технології Блокчейн змінюють концепцію фінансової свободи, але ця трансформація також приносить нові загрози. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі протоколи смартконтрактів Блокчейн на знаряддя атаки. Вони за допомогою ретельно продуманих соціальних інженерних пасток, використовуючи прозорість та незворотність Блокчейн, перетворюють довіру користувачів на засіб викрадення активів. Від підроблених смартконтрактів до маніпуляцій з крос-ланцюговими транзакціями, ці атаки не лише приховані та важко виявляються, але й завдяки своїй "легалізованій" зовнішності є ще більш оманливими. У цій статті ми через реальні випадки проаналізуємо, як шахраї перетворюють протоколи на засоби атаки, та надамо комплексні рішення, від технічного захисту до поведінкових запобіжників, щоб допомогти користувачам безпечно рухатися в децентралізованому світі.
Один. Як легітимні угоди перетворюються на інструменти шахрайства?
Початкова мета Блокчейн-протоколу полягає в забезпеченні безпеки та довіри, але шахраї використовують його особливості, поєднуючи їх з недбалістю користувачів, щоб створити різноманітні приховані способи атаки. Нижче наведено деякі методи та їх технічні деталі:
(1) Зловмисне смартконтрактне уповноваження
Технічний принцип: На Блокчейн, такі як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай смартконтракти) витягувати з їхнього гаманця вказану кількість токенів. Ця функція широко використовується в DeFi-протоколах, де користувачі повинні уповноважити смартконтракти для завершення угод, стейкінгу або ліквідного майнінгу. Проте шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи: Шахраї створюють DApp, що маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці та спокушаються натиснути "Approve", що на перший погляд є наданням дозволу на незначну кількість токенів, насправді це може бути безмежний ліміт (значення uint256.max). Як тільки авторизація завершена, адреса контракту шахраїв отримує дозвіл, щоб у будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Реальний випадок: На початку 2023 року фішинг-сайт, який маскувався під "апгрейд Uniswap V3", призвів до втрати сотень користувачів на мільйони доларів у USDT та ETH. Дані з блокчейну показують, що ці транзакції повністю відповідали стандарту ERC-20, жертви навіть не змогли повернути свої кошти через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) підписне фішинг
Технічний принцип: Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб підтвердити легітимність транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувача транзакція транслюється в мережу. Шахраї використовують цей процес для підробки запитів на підпис, щоб вкрасти активи.
Спосіб роботи: Користувач отримує лист або повідомлення, що маскується під офіційне повідомлення, наприклад, "Ваш NFT airdrop чекає на отримання, будь ласка, підтвердіть гаманець". Натиснувши на посилання, користувача перенаправляють на шкідливий вебсайт, де його просять підключити гаманець і підписати "підтверджуючу транзакцію". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що дозволяє шахраю контролювати колекцію NFT користувача.
Справжній випадок: Спільнота Bored Ape Yacht Club (BAYC) зазнала атаки фішингу з підписами, в результаті чого кілька користувачів втратили NFT на суму в кілька мільйонів доларів через підписання підроблених транзакцій "отримання аеродропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши на перший погляд безпечний запит.
(3) Фальшиві токени та "атака пилу"
Технічний принцип: Відкритість Блокчейн дозволяє кожному надсилати токени на будь-яку адресу, навіть якщо отримувач не робить активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особою або компанією, яка володіє гаманцем.
Спосіб роботи: У більшості випадків "пил" для атак із використанням пилу розподіляється у вигляді аердропів в гаманці користувача, ці токени можуть містити назву або метадані (наприклад, "FREE_AIRDROP"), спонукаючи користувача відвідати певний веб-сайт для отримання деталей. Користувач може захотіти обміняти ці токени, а потім зловмисник може отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Приховано, що атака пилом здійснюється шляхом соціальної інженерії, аналізуючи подальші транзакції користувача, щоб визначити активні адреси гаманців користувачів, з метою здійснення більш точної шахрайства.
Справжній випадок: В минулому, атаки "пилових" токенів GAS в мережі Ethereum вплинули на тисячі гаманців. Деякі користувачі через цікавість втратили ETH та токени ERC-20.
Два, чому ці шахрайства важко помітити?
Ці шахрайства успішні, в значній мірі, через те, що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко розпізнати їхню злонамірну природу. Ось кілька ключових причин:
Технічна складність: Код смартконтрактів та запити на підписання можуть бути незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані на кшталт "0x095ea7b3...", і користувачі не можуть інтуїтивно зрозуміти його значення.
Законність в Блокчейні: Усі транзакції реєструються в Блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже неможливо повернути.
Соціальна інженерія: Шахраї використовують людські слабкості, такі як жадібність ("безкоштовно отримати токени на 1000 доларів"), страх ("незвичайна активність рахунку, потрібно підтвердити") або довіру (прикидаючись службою підтримки).
Досконале маскування: Фішингові сайти можуть використовувати URL, схожі на офіційні домени (наприклад, "metamask.io" перетворюється на "metamaskk.io"), навіть додаючи сертифікати HTTPS для підвищення довіри.
Три, як захистити свій криптовалютний гаманець?
Блокчейн безпека стикається з цими шахрайствами, що поєднують технічні та психологічні війни, захист активів вимагає багаторівневої стратегії. Нижче наведено детальні заходи запобігання:
Перевірка та управління правами доступу
Інструменти: використовуйте перевірник авторизації або інструмент скасування для перевірки записів авторизації гаманця.
Операція: регулярно відкликати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес. Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.
Технічні деталі: перевірте значення "Allowance", якщо воно "безмежне" (наприклад, 2^256-1), його слід негайно скасувати.
перевірка посилання та джерела
Метод: введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Перевірка: переконайтеся, що сайт використовує правильне доменне ім'я та SSL-сертифікат (зеленик замок). Будьте обережні з орфографічними помилками або зайвими символами.
Приклад: якщо ви отримали варіант "opensea.io" (наприклад, "opensea.io-login"), негайно підозрюйте його достовірність.
Використання холодного гаманця та багатопідпису
Холодний гаманець: зберігання більшості активів у апаратному гаманці, з'єднуючи мережу лише у разі необхідності.
Багатопідпис: для великих активів використовуйте інструменти багатопідпису, які вимагають підтвердження транзакції кількома ключами, щоб зменшити ризик одноточкової помилки.
Переваги: навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.
Обережно обробляйте запити на підпис.
Кроки: щоразу під час підписання уважно читайте деталі транзакції у спливаючому вікні гаманця. Якщо є невідомі функції (наприклад, "TransferFrom"), відмовтеся від підписання.
Інструменти: використовуйте функцію "Decode Input Data" блокчейн-браузера для аналізу вмісту підпису або зверніться до технічного експерта.
Рекомендація: створіть окремий гаманець для операцій з високим ризиком та зберігайте невелику кількість активів.
Відповідь на атаки пилу
Стратегія: після отримання невідомого токена не взаємодійте. Позначте його як "сміття" або сховайте.
Перевірка: підтвердження походження токена через Блокчейн-браузер, якщо це масова розсилка, будьте надзвичайно обережні.
Запобігання: уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, звичайні користувачі можуть значно знизити ризик стати жертвами складних шахрайських схем, але справжня безпека далеко не є односторонньою технічною перемогою. Коли апаратні гаманці створюють фізичні бар'єри, а багаторазові підписи розподіляють ризики, розуміння користувачами логіки авторизації та обережність у поведінці на ланцюгу є останнім бастіоном для захисту від атак. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації - це клятва на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології ітеруються, найосновніша лінія оборони завжди полягатиме в тому, щоб інтегрувати свідомість про безпеку в м’язову пам’ять, встановлюючи вічну рівновагу між довірою та перевіркою. Адже в світі Блокчейн, де код є законом, кожен клік, кожна транзакція назавжди записується на ланцюзі, і їх не можна змінити.