Nouvelle tendance de fraude sur la Blockchain : le protocole lui-même devient une arme d'attaque
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais elles entraînent également de nouvelles vulnérabilités en matière de sécurité. Contrairement aux attaques traditionnelles qui reposent sur des failles techniques, de nouveaux escrocs transforment habilement les protocoles de contrats intelligents Blockchain en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en armes de vol d'actifs. Des faux contrats intelligents à la manipulation des transactions inter-chaînes, ces attaques sont non seulement difficiles à détecter, mais elles sont également extrêmement trompeuses en raison de leur apparence "légale". Cet article analysera des cas pour révéler comment les escrocs transforment les protocoles en vecteurs d'attaque et fournira des solutions de protection complètes pour aider les utilisateurs à avancer en toute sécurité dans un monde décentralisé.
I. Comment un protocole légal peut-il devenir un outil de fraude ?
Le protocole Blockchain a été conçu pour garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, en combinant la négligence des utilisateurs, pour créer diverses techniques d'attaque discrètes. Voici quelques techniques typiques et leurs détails techniques :
(1) Autorisation de contrat intelligent malveillant
Principe technique:
Sur les blockchains telles qu'Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser des tiers à retirer un certain nombre de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des escrocs pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les escrocs créent des DApps déguisés en projets légitimes, incitant les utilisateurs à connecter leur portefeuille et à cliquer sur "Approuver". En surface, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela peut être un montant illimité. Une fois l'autorisation terminée, l'adresse de contrat des escrocs obtient le droit d'extraire tous les jetons correspondants du portefeuille de l'utilisateur à tout moment.
Exemple:
Début 2023, un site de phishing déguisé en "mise à jour d'un certain DEX" a conduit à la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Ces transactions respectaient entièrement la norme ERC-20, rendant difficile pour les victimes de récupérer leur argent par des voies légales.
(2) phishing par signature
Principe technique:
Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement:
L'utilisateur reçoit un message déguisé en notification officielle, tel que "Airdrop NFT à récupérer, veuillez vérifier votre portefeuille". En cliquant sur le lien, il est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer "vérifier la transaction". Cette transaction peut en réalité être un transfert direct d'actifs ou une autorisation de contrôle de la collection NFT de l'utilisateur.
Exemple :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'acquisition d'airdrop" falsifiées. Les attaquants ont exploité la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens faux et "attaque par poussière"
Principe technique:
La transparence de la Blockchain permet d'envoyer des tokens à n'importe quelle adresse, même si le destinataire n'a pas fait de demande. Les escrocs exploitent ce point en envoyant de petites quantités de cryptomonnaie à plusieurs portefeuilles, afin de suivre l'activité des portefeuilles et de les associer à leurs propriétaires.
Mode de fonctionnement :
Les attaquants distribuent des "poussières" aux portefeuilles des utilisateurs sous forme d'airdrop, ces jetons peuvent avoir des noms ou des métadonnées trompeurs. Lorsque les utilisateurs visitent les sites Web associés pour obtenir des détails, les attaquants peuvent accéder aux portefeuilles des utilisateurs via l'adresse du contrat. Plus insidieusement, en analysant les transactions ultérieures des utilisateurs, ils ciblent les adresses de portefeuille actives pour mener des escroqueries précises.
Exemple:
Une attaque par poussière de "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 par curiosité.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
La raison pour laquelle ce type d'escroquerie réussit, c'est en grande partie parce qu'il se cache dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner sa nature malveillante. Les principales raisons incluent :
Complexité technique : le code des contrats intelligents et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales difficiles à interpréter.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent seulement après coup les conséquences de l'autorisation ou de la signature.
Ingénierie sociale : les escrocs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance, pour concevoir des incitations astucieuses.
Déguisement astucieux : les sites de phishing peuvent utiliser des noms de domaine très similaires à ceux des sites officiels, et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger un portefeuille de cryptocurrency ?
Face à ces arnaques alliant techniques et guerre psychologique, la protection des actifs nécessite une stratégie à plusieurs niveaux :
Vérifiez et gérez les autorisations d'autorisation
Utilisez l'outil de vérification des autorisations du navigateur Blockchain pour examiner régulièrement les enregistrements d'autorisation de portefeuille.
Révoquez les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Vérifiez la valeur "Allowance", si elle est "illimitée", elle doit être annulée immédiatement.
Vérifiez le lien et la source
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL.
Méfiez-vous des noms de domaine comportant des fautes d'orthographe ou des caractères superflus.
Utiliser un portefeuille froid et une signature multiple
Conservez la majeure partie de vos actifs dans un portefeuille matériel, et ne connectez le réseau que lorsque c'est nécessaire.
Pour les actifs de grande valeur, utilisez des outils de signature multiple, exigeant plusieurs clés pour confirmer la transaction.
Traitez les demandes de signature avec prudence
Lisez attentivement les détails de la transaction à chaque signature.
Utilisez la fonction d'analyse des données du navigateur Blockchain pour interpréter le contenu de la signature.
Créer un portefeuille indépendant pour les opérations à haut risque, en y stockant une petite quantité d'actifs.
faire face à une attaque de poussière
Après avoir reçu un jeton inconnu, n'interagissez pas. Marquez-le comme "pourriel" ou cachez-le.
Confirmez l'origine des jetons via le Blockchain, soyez vigilant face aux envois en masse.
Évitez de rendre votre adresse de portefeuille publique ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut réduire considérablement le risque de devenir victime d'un programme de fraude avancé, mais la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple disperse les risques, la compréhension par l'utilisateur de la logique d'autorisation et sa prudence vis-à-vis des comportements sur la Blockchain sont les dernières bastions contre les attaques. L'analyse des données avant chaque signature et la révision des autorisations après chaque autorisation sont des défenses de sa propre souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la sensibilisation à la sécurité en tant qu'habitude, et rechercher un équilibre entre confiance et vérification. Dans le monde de la blockchain où le code est la loi, chaque clic, chaque transaction est enregistré de manière permanente et immuable. Rester vigilant est la clé pour avancer en toute sécurité.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
3
Partager
Commentaire
0/400
EthMaximalist
· 07-30 11:35
La voie est simple, les smart contracts peuvent eux-mêmes prendre les gens pour des idiots.
Voir l'originalRépondre0
PrivacyMaximalist
· 07-30 11:33
Encore une vague de machines à prendre les gens pour des idiots qui arrivent.
Le protocole Blockchain devient un outil de fraude. Comment prévenir les attaques sur les smart contracts.
Nouvelle tendance de fraude sur la Blockchain : le protocole lui-même devient une arme d'attaque
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais elles entraînent également de nouvelles vulnérabilités en matière de sécurité. Contrairement aux attaques traditionnelles qui reposent sur des failles techniques, de nouveaux escrocs transforment habilement les protocoles de contrats intelligents Blockchain en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en armes de vol d'actifs. Des faux contrats intelligents à la manipulation des transactions inter-chaînes, ces attaques sont non seulement difficiles à détecter, mais elles sont également extrêmement trompeuses en raison de leur apparence "légale". Cet article analysera des cas pour révéler comment les escrocs transforment les protocoles en vecteurs d'attaque et fournira des solutions de protection complètes pour aider les utilisateurs à avancer en toute sécurité dans un monde décentralisé.
I. Comment un protocole légal peut-il devenir un outil de fraude ?
Le protocole Blockchain a été conçu pour garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, en combinant la négligence des utilisateurs, pour créer diverses techniques d'attaque discrètes. Voici quelques techniques typiques et leurs détails techniques :
(1) Autorisation de contrat intelligent malveillant
Principe technique: Sur les blockchains telles qu'Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser des tiers à retirer un certain nombre de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des escrocs pour concevoir des contrats malveillants.
Mode de fonctionnement : Les escrocs créent des DApps déguisés en projets légitimes, incitant les utilisateurs à connecter leur portefeuille et à cliquer sur "Approuver". En surface, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela peut être un montant illimité. Une fois l'autorisation terminée, l'adresse de contrat des escrocs obtient le droit d'extraire tous les jetons correspondants du portefeuille de l'utilisateur à tout moment.
Exemple: Début 2023, un site de phishing déguisé en "mise à jour d'un certain DEX" a conduit à la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Ces transactions respectaient entièrement la norme ERC-20, rendant difficile pour les victimes de récupérer leur argent par des voies légales.
(2) phishing par signature
Principe technique: Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement: L'utilisateur reçoit un message déguisé en notification officielle, tel que "Airdrop NFT à récupérer, veuillez vérifier votre portefeuille". En cliquant sur le lien, il est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer "vérifier la transaction". Cette transaction peut en réalité être un transfert direct d'actifs ou une autorisation de contrôle de la collection NFT de l'utilisateur.
Exemple : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'acquisition d'airdrop" falsifiées. Les attaquants ont exploité la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens faux et "attaque par poussière"
Principe technique: La transparence de la Blockchain permet d'envoyer des tokens à n'importe quelle adresse, même si le destinataire n'a pas fait de demande. Les escrocs exploitent ce point en envoyant de petites quantités de cryptomonnaie à plusieurs portefeuilles, afin de suivre l'activité des portefeuilles et de les associer à leurs propriétaires.
Mode de fonctionnement : Les attaquants distribuent des "poussières" aux portefeuilles des utilisateurs sous forme d'airdrop, ces jetons peuvent avoir des noms ou des métadonnées trompeurs. Lorsque les utilisateurs visitent les sites Web associés pour obtenir des détails, les attaquants peuvent accéder aux portefeuilles des utilisateurs via l'adresse du contrat. Plus insidieusement, en analysant les transactions ultérieures des utilisateurs, ils ciblent les adresses de portefeuille actives pour mener des escroqueries précises.
Exemple: Une attaque par poussière de "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 par curiosité.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
La raison pour laquelle ce type d'escroquerie réussit, c'est en grande partie parce qu'il se cache dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner sa nature malveillante. Les principales raisons incluent :
Complexité technique : le code des contrats intelligents et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales difficiles à interpréter.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent seulement après coup les conséquences de l'autorisation ou de la signature.
Ingénierie sociale : les escrocs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance, pour concevoir des incitations astucieuses.
Déguisement astucieux : les sites de phishing peuvent utiliser des noms de domaine très similaires à ceux des sites officiels, et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger un portefeuille de cryptocurrency ?
Face à ces arnaques alliant techniques et guerre psychologique, la protection des actifs nécessite une stratégie à plusieurs niveaux :
Vérifiez et gérez les autorisations d'autorisation
Vérifiez le lien et la source
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
faire face à une attaque de poussière
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut réduire considérablement le risque de devenir victime d'un programme de fraude avancé, mais la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple disperse les risques, la compréhension par l'utilisateur de la logique d'autorisation et sa prudence vis-à-vis des comportements sur la Blockchain sont les dernières bastions contre les attaques. L'analyse des données avant chaque signature et la révision des autorisations après chaque autorisation sont des défenses de sa propre souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la sensibilisation à la sécurité en tant qu'habitude, et rechercher un équilibre entre confiance et vérification. Dans le monde de la blockchain où le code est la loi, chaque clic, chaque transaction est enregistré de manière permanente et immuable. Rester vigilant est la clé pour avancer en toute sécurité.