Novas tendências de fraude em Blockchain: o protocolo em si torna-se uma arma de ataque
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas ao mesmo tempo trazem novas vulnerabilidades de segurança. Ao contrário dos ataques tradicionais que dependem de falhas tecnológicas, novos golpistas estão a transformar habilmente os protocolos de contratos inteligentes da Blockchain em ferramentas de ataque. Eles aproveitam a transparência e a irreversibilidade da Blockchain através de armadilhas de engenharia social cuidadosamente projetadas, convertendo a confiança dos usuários em armas para roubar ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações cross-chain, esses ataques são não apenas discretos e difíceis de rastrear, mas também extremamente enganosos devido à sua aparência "legítima". Este artigo irá, através de uma análise de casos, revelar como os golpistas transformam os protocolos em veículos de ataque e fornecer soluções de proteção abrangentes, ajudando os usuários a avançar com segurança no mundo descentralizado.
Um, como um protocolo legal se torna uma ferramenta de fraude?
O protocolo Blockchain foi projetado para garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias técnicas de ataque encobertas. Abaixo estão algumas técnicas típicas e seus detalhes técnicos:
(1) Autorização de contrato inteligente malicioso
Princípio técnico:
Nas blockchains como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por golpistas para projetar contratos maliciosos.
Forma de operação:
Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a conectar suas carteiras e clicar em "Aprovar". Na superfície, trata-se de autorizar uma quantidade reduzida de tokens, mas na realidade pode ser um limite ilimitado. Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Exemplo:
No início de 2023, um site de phishing disfarçado de "atualização de um certo DEX" levou à perda de milhões de dólares em USDT e ETH para centenas de usuários. Essas transações estavam totalmente em conformidade com o padrão ERC-20, tornando difícil para as vítimas recuperarem o dinheiro por meios legais.
(2) phishing de assinatura
Princípio técnico:
As transações em Blockchain requerem que os usuários gerem uma assinatura através da chave privada para provar a legalidade da transação. Normalmente, a carteira irá exibir um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam esse fluxo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento:
Os usuários recebem mensagens disfarçadas de notificações oficiais, como "NFT airdrop disponível, por favor verifique a carteira". Ao clicar no link, são direcionados para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "verificação de transação". Esta transação pode, na verdade, ser uma transferência direta de ativos ou a autorização de controle sobre a coleção de NFTs do usuário.
Caso:
Uma conhecida comunidade de projeto NFT foi alvo de um ataque de phishing por assinatura, com vários usuários a perderem NFTs no valor de milhões de dólares devido à assinatura de transações "de recebimento de airdrop" falsificadas. Os atacantes aproveitaram o padrão de assinatura EIP-712 para falsificar pedidos que pareciam seguros.
(3) tokens falsos e "ataques de poeira"
Princípios técnicos:
A publicidade do Blockchain permite enviar tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado. Os golpistas aproveitam este ponto, enviando pequenas quantidades de criptomoeda para várias carteiras, rastreando a atividade das carteiras e associando-as aos seus proprietários.
Funcionamento:
Os atacantes distribuem "poeira" para as carteiras dos usuários na forma de airdrop, e esses tokens podem ter nomes ou metadados enganosos. Quando os usuários acessam sites relacionados para verificar detalhes, os atacantes podem acessar as carteiras dos usuários através do endereço do contrato. Mais disfarçado, ao analisar as transações subsequentes dos usuários, eles podem identificar endereços de carteiras ativas e implementar fraudes direcionadas.
Caso:
Houve um ataque de poeira de "token GAS" na rede Ethereum, afetando milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.
Dois, por que essas fraudes são difíceis de detectar?
O sucesso deste tipo de fraude deve-se, em grande parte, ao fato de estarem escondidas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. As principais razões incluem:
Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são obscuros para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais difíceis de entender.
Legalidade na cadeia: todas as transações são registadas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura posteriormente.
Engenharia social: os golpistas exploram as fraquezas humanas, como a ganância, o medo ou a confiança, para criar induzimentos sofisticados.
Camuflagem sofisticada: sites de phishing podem usar domínios extremamente semelhantes aos oficiais, e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a carteira de criptomoedas?
Diante dessas fraudes que coexistem com a guerra psicológica e técnica, proteger os ativos requer uma estratégia em múltiplos níveis:
Verificar e gerir permissões de autorização
Utilize a ferramenta de verificação de autorização do explorador de Blockchain para revisar regularmente os registros de autorização da carteira.
Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Verifique o valor de "Allowance"; se for "ilimitado", deve ser imediatamente cancelado.
Verifique o link e a origem
Introduza manualmente a URL oficial, evitando clicar em links nas redes sociais ou em e-mails.
Certifique-se de que o site utiliza o nome de domínio e o certificado SSL corretos.
Esteja atento a erros de ortografia ou caracteres adicionais nos nomes de domínio.
usar carteira fria e assinaturas múltiplas
Armazenar a maioria dos ativos em carteiras de hardware, conectando-se à rede apenas quando necessário.
Para ativos de grande valor, use ferramentas de assinatura múltipla, exigindo a confirmação da transação por várias chaves.
Trate os pedidos de assinatura com cautela
Leia atentamente os detalhes da transação a cada assinatura.
Utilizar a funcionalidade de análise de dados do explorador de Blockchain para interpretar o conteúdo da assinatura.
Criar uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
resposta a ataques de poeira
Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
Confirme a origem do token através do Blockchain, esteja atento ao envio em massa.
Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar vítima de esquemas de fraude avançados, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma defesa física e a assinatura múltipla dispersa o risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na blockchain são a última linha de defesa contra ataques. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são defesas da própria soberania digital.
No futuro, independentemente de como a iteração tecnológica evolua, a linha de defesa mais fundamental reside sempre em: internalizar a consciência de segurança como um hábito, buscando um equilíbrio entre confiança e verificação. No mundo do blockchain onde o código é a lei, cada clique, cada transação é registrada permanentemente e não pode ser alterada. Manter-se alerta é a chave para avançar com segurança.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
7 Curtidas
Recompensa
7
3
Compartilhar
Comentário
0/400
EthMaximalist
· 22h atrás
A simplicidade é a chave, contratos inteligentes conseguem fazer as pessoas de parvas.
Blockchain protocolo tornou-se uma ferramenta de fraude Como prevenir ataques a contratos inteligentes
Novas tendências de fraude em Blockchain: o protocolo em si torna-se uma arma de ataque
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas ao mesmo tempo trazem novas vulnerabilidades de segurança. Ao contrário dos ataques tradicionais que dependem de falhas tecnológicas, novos golpistas estão a transformar habilmente os protocolos de contratos inteligentes da Blockchain em ferramentas de ataque. Eles aproveitam a transparência e a irreversibilidade da Blockchain através de armadilhas de engenharia social cuidadosamente projetadas, convertendo a confiança dos usuários em armas para roubar ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações cross-chain, esses ataques são não apenas discretos e difíceis de rastrear, mas também extremamente enganosos devido à sua aparência "legítima". Este artigo irá, através de uma análise de casos, revelar como os golpistas transformam os protocolos em veículos de ataque e fornecer soluções de proteção abrangentes, ajudando os usuários a avançar com segurança no mundo descentralizado.
Um, como um protocolo legal se torna uma ferramenta de fraude?
O protocolo Blockchain foi projetado para garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias técnicas de ataque encobertas. Abaixo estão algumas técnicas típicas e seus detalhes técnicos:
(1) Autorização de contrato inteligente malicioso
Princípio técnico: Nas blockchains como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por golpistas para projetar contratos maliciosos.
Forma de operação: Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a conectar suas carteiras e clicar em "Aprovar". Na superfície, trata-se de autorizar uma quantidade reduzida de tokens, mas na realidade pode ser um limite ilimitado. Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Exemplo: No início de 2023, um site de phishing disfarçado de "atualização de um certo DEX" levou à perda de milhões de dólares em USDT e ETH para centenas de usuários. Essas transações estavam totalmente em conformidade com o padrão ERC-20, tornando difícil para as vítimas recuperarem o dinheiro por meios legais.
(2) phishing de assinatura
Princípio técnico: As transações em Blockchain requerem que os usuários gerem uma assinatura através da chave privada para provar a legalidade da transação. Normalmente, a carteira irá exibir um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam esse fluxo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento: Os usuários recebem mensagens disfarçadas de notificações oficiais, como "NFT airdrop disponível, por favor verifique a carteira". Ao clicar no link, são direcionados para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "verificação de transação". Esta transação pode, na verdade, ser uma transferência direta de ativos ou a autorização de controle sobre a coleção de NFTs do usuário.
Caso: Uma conhecida comunidade de projeto NFT foi alvo de um ataque de phishing por assinatura, com vários usuários a perderem NFTs no valor de milhões de dólares devido à assinatura de transações "de recebimento de airdrop" falsificadas. Os atacantes aproveitaram o padrão de assinatura EIP-712 para falsificar pedidos que pareciam seguros.
(3) tokens falsos e "ataques de poeira"
Princípios técnicos: A publicidade do Blockchain permite enviar tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado. Os golpistas aproveitam este ponto, enviando pequenas quantidades de criptomoeda para várias carteiras, rastreando a atividade das carteiras e associando-as aos seus proprietários.
Funcionamento: Os atacantes distribuem "poeira" para as carteiras dos usuários na forma de airdrop, e esses tokens podem ter nomes ou metadados enganosos. Quando os usuários acessam sites relacionados para verificar detalhes, os atacantes podem acessar as carteiras dos usuários através do endereço do contrato. Mais disfarçado, ao analisar as transações subsequentes dos usuários, eles podem identificar endereços de carteiras ativas e implementar fraudes direcionadas.
Caso: Houve um ataque de poeira de "token GAS" na rede Ethereum, afetando milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.
Dois, por que essas fraudes são difíceis de detectar?
O sucesso deste tipo de fraude deve-se, em grande parte, ao fato de estarem escondidas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. As principais razões incluem:
Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são obscuros para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais difíceis de entender.
Legalidade na cadeia: todas as transações são registadas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura posteriormente.
Engenharia social: os golpistas exploram as fraquezas humanas, como a ganância, o medo ou a confiança, para criar induzimentos sofisticados.
Camuflagem sofisticada: sites de phishing podem usar domínios extremamente semelhantes aos oficiais, e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a carteira de criptomoedas?
Diante dessas fraudes que coexistem com a guerra psicológica e técnica, proteger os ativos requer uma estratégia em múltiplos níveis:
Verificar e gerir permissões de autorização
Verifique o link e a origem
usar carteira fria e assinaturas múltiplas
Trate os pedidos de assinatura com cautela
resposta a ataques de poeira
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar vítima de esquemas de fraude avançados, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma defesa física e a assinatura múltipla dispersa o risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na blockchain são a última linha de defesa contra ataques. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são defesas da própria soberania digital.
No futuro, independentemente de como a iteração tecnológica evolua, a linha de defesa mais fundamental reside sempre em: internalizar a consciência de segurança como um hábito, buscando um equilíbrio entre confiança e verificação. No mundo do blockchain onde o código é a lei, cada clique, cada transação é registrada permanentemente e não pode ser alterada. Manter-se alerta é a chave para avançar com segurança.