Les pièges potentiels du monde de la Blockchain : comment les smart contracts peuvent devenir des armes d'attaque
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution a également apporté de nouveaux défis. Les escrocs n'exploitent plus seulement les failles techniques, mais transforment les smart contracts de la Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils utilisent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en un moyen de voler des actifs. De la contrefaçon de smart contracts à la manipulation des transactions inter-chaînes, ces attaques sont non seulement difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitime". Cet article analysera à travers des exemples comment les escrocs exploitent les protocoles pour attaquer et fournira des stratégies de protection complètes pour aider les utilisateurs à naviguer en toute sécurité dans un monde décentralisé.
I. Comment un accord peut-il être transformé en outil de fraude ?
Les protocoles de Blockchain devraient garantir la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques courantes et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principe technique :
Sur des Blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement des smart contracts) à extraire un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonction est largement utilisée dans les protocoles de finance décentralisée, où les utilisateurs doivent autoriser des smart contracts pour réaliser des transactions, des mises ou du minage de liquidités. Cependant, les escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les escrocs créent une application décentralisée déguisée en projet légitime, généralement promue via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser un petit nombre de jetons, mais en réalité pourrait être un montant illimité. Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient l'autorisation d'appeler la fonction "TransferFrom" à tout moment, pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Exemple :
Début 2023, un site de phishing déguisé en mise à jour d'un DEX a entraîné la perte de grandes quantités de stablecoins et d'ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectaient entièrement la norme ERC-20, rendant difficile pour les victimes de récupérer leurs actifs par des moyens légaux, car l'autorisation était signée volontairement.
(2) Phishing par signature
Principes techniques :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature par le biais de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est en attente de récupération, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est redirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement les actifs du portefeuille vers l'adresse de l'escroc ; ou bien être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection de NFTs de l'utilisateur.
Exemple :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant de fausses transactions de "réception d'airdrop". Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens falsifiés et "attaque de poussière"
Principe technologique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas demandé de manière proactive. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre l'activité des portefeuilles et de les relier aux personnes ou entreprises possédant les portefeuilles.
Mode de fonctionnement :
L'attaquant envoie de petites quantités de cryptomonnaie à différentes adresses, puis essaie de déterminer quelles adresses appartiennent au même portefeuille. Ensuite, l'attaquant utilise ces informations pour lancer des attaques de phishing ou des menaces contre la victime. Dans la plupart des cas, ces "poussières" sont distribuées sous forme d'airdrops dans les portefeuilles des utilisateurs, et ces jetons peuvent avoir des noms ou des métadonnées alléchants, incitant les utilisateurs à visiter un site web pour plus de détails.
Exemple :
Dans le passé, une attaque de "jetons gratuits" sur le réseau Ethereum a affecté des milliers de portefeuilles. Certains utilisateurs ont perdu des ETH et des jetons ERC-20 en interagissant par curiosité.
Deuxième point, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles sont cachées dans les mécanismes légitimes de la Blockchain, ce qui rend difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : le code des smart contracts et les demandes de signature sont obscurs pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent seulement après coup les conséquences de l'autorisation ou de la signature.
Ingénierie sociale : Les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Déguisement sophistiqué : les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces escroqueries mêlant techniques et guerre psychologique, la protection des actifs nécessite une stratégie à plusieurs niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'accès.
Utiliser des outils en chaîne pour vérifier les enregistrements d'autorisation du portefeuille.
Révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour des adresses inconnues.
Avant chaque autorisation, assurez-vous que l'application provient d'une source fiable.
Vérifiez le lien et la source
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL.
Soyez vigilant face aux fautes d'orthographe ou aux caractères superflus.
Utiliser un portefeuille froid et une signature multiple
Stockez la plupart des actifs dans un portefeuille matériel et ne connectez le réseau que lorsque c'est nécessaire.
Pour les actifs de grande valeur, utilisez des outils de signature multiple, exigeant la confirmation de la transaction par plusieurs clés.
Traitez les demandes de signature avec prudence
Lors de chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utilisez la fonction d'analyse du navigateur Blockchain pour comprendre le contenu de la signature.
Créer un portefeuille indépendant pour les opérations à haut risque, en y stockant une petite quantité d'actifs.
Répondre aux attaques de poussière
Après avoir reçu des tokens inconnus, ne pas interagir. Marquez-les comme "spam" ou cachez-les.
Confirmer la provenance des jetons via le Blockchain, en cas d'envoi en masse, restez très vigilant.
Évitez de rendre public l'adresse de votre portefeuille, ou utilisez une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs peuvent considérablement réduire le risque de devenir des victimes de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que les signatures multiples répartissent les risques, la compréhension par les utilisateurs de la logique d'autorisation et leur prudence dans les comportements sur la Blockchain sont le dernier rempart contre les attaques.
À l'avenir, peu importe comment la technologie évolue, la défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, établir un équilibre entre confiance et vérification. Dans le monde de la Blockchain où le code est loi, chaque opération est enregistrée de manière permanente et ne peut pas être modifiée. Par conséquent, il est crucial de rester vigilant et d'agir avec prudence.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
23 J'aime
Récompense
23
9
Reposter
Partager
Commentaire
0/400
CryptoCross-TalkClub
· 08-13 08:33
C'est tout ? Les nouveaux pigeons sont en fait plus difficiles à prendre, après avoir fini d'installer les vieux pigeons, il suffit de les récolter.
Voir l'originalRépondre0
TradFiRefugee
· 08-12 19:14
Mon café n'est pas encore froid, le pump est déjà arrivé.
Voir l'originalRépondre0
StablecoinArbitrageur
· 08-12 14:59
*sigh* des participants au marché inefficaces se font encore avoir... statistiquement inévitable avec ces vecteurs d'attaque pour être honnête
Voir l'originalRépondre0
RugDocDetective
· 08-10 13:58
Les débutants qui entrent sur le marché sans consulter de tutoriels, c'est la configuration standard pour prendre les gens pour des idiots.
Voir l'originalRépondre0
Degentleman
· 08-10 13:58
Encore une fois, on m'a pris pour un idiot. J'ai retenu la leçon.
Voir l'originalRépondre0
MondayYoloFridayCry
· 08-10 13:58
Il faut encore s'amuser, allons-y!
Voir l'originalRépondre0
RooftopVIP
· 08-10 13:52
Les pigeons ont été pris pour des idiots, ils n'ont vraiment plus peur de la Cryptographie.
Voir l'originalRépondre0
RetailTherapist
· 08-10 13:49
Bon sang, un piège plus sophistiqué que l'autre.
Voir l'originalRépondre0
BoredStaker
· 08-10 13:47
Écouter un discours de votre part, perdre un sac à mailles, un débutant doit absolument le garder.
Nouvelles méthodes d'escroquerie en smart contracts : de la phishing d'autorisation à la Dusting Attack, guide complet pour protéger vos actifs.
Les pièges potentiels du monde de la Blockchain : comment les smart contracts peuvent devenir des armes d'attaque
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution a également apporté de nouveaux défis. Les escrocs n'exploitent plus seulement les failles techniques, mais transforment les smart contracts de la Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils utilisent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en un moyen de voler des actifs. De la contrefaçon de smart contracts à la manipulation des transactions inter-chaînes, ces attaques sont non seulement difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitime". Cet article analysera à travers des exemples comment les escrocs exploitent les protocoles pour attaquer et fournira des stratégies de protection complètes pour aider les utilisateurs à naviguer en toute sécurité dans un monde décentralisé.
I. Comment un accord peut-il être transformé en outil de fraude ?
Les protocoles de Blockchain devraient garantir la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques courantes et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principe technique : Sur des Blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement des smart contracts) à extraire un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonction est largement utilisée dans les protocoles de finance décentralisée, où les utilisateurs doivent autoriser des smart contracts pour réaliser des transactions, des mises ou du minage de liquidités. Cependant, les escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement : Les escrocs créent une application décentralisée déguisée en projet légitime, généralement promue via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser un petit nombre de jetons, mais en réalité pourrait être un montant illimité. Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient l'autorisation d'appeler la fonction "TransferFrom" à tout moment, pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Exemple : Début 2023, un site de phishing déguisé en mise à jour d'un DEX a entraîné la perte de grandes quantités de stablecoins et d'ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectaient entièrement la norme ERC-20, rendant difficile pour les victimes de récupérer leurs actifs par des moyens légaux, car l'autorisation était signée volontairement.
(2) Phishing par signature
Principes techniques : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature par le biais de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est en attente de récupération, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est redirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement les actifs du portefeuille vers l'adresse de l'escroc ; ou bien être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection de NFTs de l'utilisateur.
Exemple : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant de fausses transactions de "réception d'airdrop". Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens falsifiés et "attaque de poussière"
Principe technologique : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas demandé de manière proactive. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre l'activité des portefeuilles et de les relier aux personnes ou entreprises possédant les portefeuilles.
Mode de fonctionnement : L'attaquant envoie de petites quantités de cryptomonnaie à différentes adresses, puis essaie de déterminer quelles adresses appartiennent au même portefeuille. Ensuite, l'attaquant utilise ces informations pour lancer des attaques de phishing ou des menaces contre la victime. Dans la plupart des cas, ces "poussières" sont distribuées sous forme d'airdrops dans les portefeuilles des utilisateurs, et ces jetons peuvent avoir des noms ou des métadonnées alléchants, incitant les utilisateurs à visiter un site web pour plus de détails.
Exemple : Dans le passé, une attaque de "jetons gratuits" sur le réseau Ethereum a affecté des milliers de portefeuilles. Certains utilisateurs ont perdu des ETH et des jetons ERC-20 en interagissant par curiosité.
Deuxième point, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles sont cachées dans les mécanismes légitimes de la Blockchain, ce qui rend difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : le code des smart contracts et les demandes de signature sont obscurs pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent seulement après coup les conséquences de l'autorisation ou de la signature.
Ingénierie sociale : Les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Déguisement sophistiqué : les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces escroqueries mêlant techniques et guerre psychologique, la protection des actifs nécessite une stratégie à plusieurs niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'accès.
Vérifiez le lien et la source
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
Répondre aux attaques de poussière
Conclusion
En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs peuvent considérablement réduire le risque de devenir des victimes de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que les signatures multiples répartissent les risques, la compréhension par les utilisateurs de la logique d'autorisation et leur prudence dans les comportements sur la Blockchain sont le dernier rempart contre les attaques.
À l'avenir, peu importe comment la technologie évolue, la défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, établir un équilibre entre confiance et vérification. Dans le monde de la Blockchain où le code est loi, chaque opération est enregistrée de manière permanente et ne peut pas être modifiée. Par conséquent, il est crucial de rester vigilant et d'agir avec prudence.