Новая тенденция мошенничества в Блокчейн: Протокол сам становится оружием атаки
Криптовалюты и технологии Блокчейн меняют концепцию финансовой свободы, но одновременно создают новые угрозы безопасности. В отличие от традиционных атак, полагающихся на уязвимости технологий, новые мошенники ловко превращают протоколы смарт-контрактов Блокчейн в инструменты атаки. Они используют тщательно разработанные ловушки социального инжиниринга, используя прозрачность и необратимость Блокчейн, превращая доверие пользователей в орудие для кражи активов. От подделки смарт-контрактов до манипуляции кросс-цепочными сделками, эти атаки не только скрытны и труднообнаружимы, но и обладают сильной обманчивостью из-за своей "законной" оболочки. В этой статье будет проведен анализ случаев, чтобы показать, как мошенники превращают протоколы в средства атак и предложить комплексные решения для защиты, помогая пользователям безопасно двигаться в децентрализованном мире.
Один. Как легальный Протокол стал инструментом мошенничества?
Блокчейн Протокол был разработан для обеспечения безопасности и доверия, но мошенники используют его особенности, сочетая их с небрежностью пользователей, создавая различные скрытые методы атаки. Ниже приведены несколько типичных методов и их технические детали:
(1) Злоумышленное авторизация смарт-контракта
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьих лиц извлекать определенное количество токенов из их кошелька. Эта функция широко используется в DeFi Протоколах, но также используется мошенниками для разработки злонамеренных контрактов.
Способ работы:
Мошенники создают DApp, притворяющийся легальным проектом, и вводят пользователей в заблуждение, заставляя их подключать кошелек и нажимать "Approve". На поверхности это выглядит как авторизация небольшого количества токенов, но на самом деле может быть неограниченный лимит. Как только авторизация завершена, адрес контракта мошенников получает права и может в любое время извлекать все соответствующие токены из кошелька пользователя.
Пример:
В начале 2023 года фишинговый сайт, замаскированный под "обновление некоторого DEX", привел к убыткам сотен пользователей на миллионы долларов в USDT и ETH. Эти транзакции полностью соответствуют стандарту ERC-20, и пострадавшим трудно вернуть свои средства через законные пути.
(2) Подпись Фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа для доказательства легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователя транзакция транслируется в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы:
Пользователь получает сообщения, маскирующиеся под официальные уведомления, такие как "NFT аирдроп ожидает получения, пожалуйста, проверьте кошелек". После нажатия на ссылку его перенаправляют на вредоносный сайт, где требуется подключить кошелек и подписать "подтверждение транзакции". Эта транзакция может фактически привести к прямому переводу активов или предоставлению контроля над коллекцией NFT пользователя.
Пример:
Некоторые известные сообщества NFT-проектов столкнулись с атакой фишинга через подписи, несколько пользователей потеряли NFT стоимостью в миллионы долларов из-за подписания поддельных транзакций "для получения аирдропа". Атакующие использовали стандарт подписи EIP-712, подделав запросы, которые выглядели безопасно.
(3) Ложные токены и "атака пылью"
Технический принцип:
Открытость Блокчейна позволяет отправлять токены на любой адрес, даже если получатель не запрашивает этого. Мошенники используют этот момент, отправляя небольшое количество криптовалюты на несколько кошельков, отслеживая активность кошельков и связывая их с владельцами.
Способ работы:
Атакующие распространяют "пыль" на кошельки пользователей в виде аирдропа, эти токены могут иметь вводящие в заблуждение названия или метаданные. Когда пользователь посещает соответствующий сайт для получения подробной информации, атакующий может получить доступ к кошельку пользователя через адрес контракта. Еще более скрытно, анализируя последующие транзакции пользователя, можно определить активные адреса кошельков и осуществить точное мошенничество.
Пример:
На сети Эфириума произошла атака "пыльцой GAS токенов", затронувшая тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытства.
Два, почему эти мошенничества сложно заметить?
Эти мошенничества успешны во многом потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:
Техническая сложность: Код смарт-контрактов и запросы на подпись непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться как непонятные шестнадцатеричные данные.
Законность на блокчейне: все транзакции записываются в Блокчейн, кажутся прозрачными, но жертвы часто осознают последствия авторизации или подписи лишь задним числом.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие, для создания изощренных ловушек.
Замаскированный: Фишинговые сайты могут использовать доменные имена, которые очень схожи с официальными, даже используя сертификаты HTTPS для повышения доверия.
Три, как защитить кошелек криптовалюты?
Чтобы защитить активы от этих мошенничеств, в которых сосуществуют технологии и психологическая война, необходимы многоуровневые стратегии:
Проверьте и управляйте правами доступа
Регулярно проверяйте записи авторизации кошелька с помощью инструмента проверки авторизации блокчейн-браузера.
Отмените ненужные полномочия, особенно безлимитные полномочия на неизвестные адреса.
Перед каждым авторизацией убедитесь, что DApp поступает из надежного источника.
Проверьте значение "Allowance", если оно "бессрочно", его следует немедленно отменить.
Проверьте ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат.
Будьте внимательны к ошибкам в написании или лишним символам в доменном имени.
Использование холодного кошелька и мультиподписей
Храните большую часть активов в аппаратном кошельке, подключайте сеть только в случае необходимости.
Для крупных активов используйте инструменты многоподписей, требующие подтверждения сделки несколькими ключами.
Будьте осторожны с запросами на подпись
При каждом подписании внимательно читайте детали транзакции.
Используйте функцию анализа данных блокчейн-обозревателя для интерпретации содержимого подписи.
Создайте независимый кошелек для высокорисковых операций, храните небольшое количество активов.
Противодействие атаке пыли
После получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "спам" или скройте.
Подтвердите источник токенов через Блокчейн-обозреватель, будьте осторожны с массовой отправкой.
Избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Внедрение вышеуказанных мер безопасности может значительно снизить риск стать жертвой сложных мошеннических схем, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осторожность в действиях на блокчейне становятся последней защитой от атак. Каждое расшифрование данных перед подписанием, каждая проверка прав после авторизации — это защита собственного цифрового суверенитета.
В будущем, независимо от того, как будет развиваться технология, основная линия защиты всегда будет заключаться в том, чтобы внутренне усвоить осознание безопасности и искать баланс между доверием и проверкой. В мире Блокчейн, где код является законом, каждое нажатие и каждая транзакция навсегда фиксируются и не подлежат изменению. Будьте бдительны, чтобы двигаться вперед безопасно.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
5
Поделиться
комментарий
0/400
AllTalkLongTrader
· 08-02 06:38
Это контракт разрушил меня, а не мое слишком большое плечо.
Посмотреть ОригиналОтветить0
ContractFreelancer
· 08-01 07:48
Токен, который быстро выводится, является хорошим токеном. Следуй за аирдропом, чтобы прокормиться.
Посмотреть ОригиналОтветить0
EthMaximalist
· 07-30 11:35
Дорога к простоте, смарт-контракты сами могут разыгрывать людей как лохов
Посмотреть ОригиналОтветить0
PrivacyMaximalist
· 07-30 11:33
Снова пришла волна неудачников, разыгрывайте людей как лохов.
Блокчейн Протокол превращается в инструмент мошенничества Как предотвратить атаки смарт-контрактов
Новая тенденция мошенничества в Блокчейн: Протокол сам становится оружием атаки
Криптовалюты и технологии Блокчейн меняют концепцию финансовой свободы, но одновременно создают новые угрозы безопасности. В отличие от традиционных атак, полагающихся на уязвимости технологий, новые мошенники ловко превращают протоколы смарт-контрактов Блокчейн в инструменты атаки. Они используют тщательно разработанные ловушки социального инжиниринга, используя прозрачность и необратимость Блокчейн, превращая доверие пользователей в орудие для кражи активов. От подделки смарт-контрактов до манипуляции кросс-цепочными сделками, эти атаки не только скрытны и труднообнаружимы, но и обладают сильной обманчивостью из-за своей "законной" оболочки. В этой статье будет проведен анализ случаев, чтобы показать, как мошенники превращают протоколы в средства атак и предложить комплексные решения для защиты, помогая пользователям безопасно двигаться в децентрализованном мире.
Один. Как легальный Протокол стал инструментом мошенничества?
Блокчейн Протокол был разработан для обеспечения безопасности и доверия, но мошенники используют его особенности, сочетая их с небрежностью пользователей, создавая различные скрытые методы атаки. Ниже приведены несколько типичных методов и их технические детали:
(1) Злоумышленное авторизация смарт-контракта
Технический принцип: На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьих лиц извлекать определенное количество токенов из их кошелька. Эта функция широко используется в DeFi Протоколах, но также используется мошенниками для разработки злонамеренных контрактов.
Способ работы: Мошенники создают DApp, притворяющийся легальным проектом, и вводят пользователей в заблуждение, заставляя их подключать кошелек и нажимать "Approve". На поверхности это выглядит как авторизация небольшого количества токенов, но на самом деле может быть неограниченный лимит. Как только авторизация завершена, адрес контракта мошенников получает права и может в любое время извлекать все соответствующие токены из кошелька пользователя.
Пример: В начале 2023 года фишинговый сайт, замаскированный под "обновление некоторого DEX", привел к убыткам сотен пользователей на миллионы долларов в USDT и ETH. Эти транзакции полностью соответствуют стандарту ERC-20, и пострадавшим трудно вернуть свои средства через законные пути.
(2) Подпись Фишинг
Технический принцип: Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа для доказательства легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователя транзакция транслируется в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы: Пользователь получает сообщения, маскирующиеся под официальные уведомления, такие как "NFT аирдроп ожидает получения, пожалуйста, проверьте кошелек". После нажатия на ссылку его перенаправляют на вредоносный сайт, где требуется подключить кошелек и подписать "подтверждение транзакции". Эта транзакция может фактически привести к прямому переводу активов или предоставлению контроля над коллекцией NFT пользователя.
Пример: Некоторые известные сообщества NFT-проектов столкнулись с атакой фишинга через подписи, несколько пользователей потеряли NFT стоимостью в миллионы долларов из-за подписания поддельных транзакций "для получения аирдропа". Атакующие использовали стандарт подписи EIP-712, подделав запросы, которые выглядели безопасно.
(3) Ложные токены и "атака пылью"
Технический принцип: Открытость Блокчейна позволяет отправлять токены на любой адрес, даже если получатель не запрашивает этого. Мошенники используют этот момент, отправляя небольшое количество криптовалюты на несколько кошельков, отслеживая активность кошельков и связывая их с владельцами.
Способ работы: Атакующие распространяют "пыль" на кошельки пользователей в виде аирдропа, эти токены могут иметь вводящие в заблуждение названия или метаданные. Когда пользователь посещает соответствующий сайт для получения подробной информации, атакующий может получить доступ к кошельку пользователя через адрес контракта. Еще более скрытно, анализируя последующие транзакции пользователя, можно определить активные адреса кошельков и осуществить точное мошенничество.
Пример: На сети Эфириума произошла атака "пыльцой GAS токенов", затронувшая тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытства.
Два, почему эти мошенничества сложно заметить?
Эти мошенничества успешны во многом потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:
Техническая сложность: Код смарт-контрактов и запросы на подпись непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться как непонятные шестнадцатеричные данные.
Законность на блокчейне: все транзакции записываются в Блокчейн, кажутся прозрачными, но жертвы часто осознают последствия авторизации или подписи лишь задним числом.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие, для создания изощренных ловушек.
Замаскированный: Фишинговые сайты могут использовать доменные имена, которые очень схожи с официальными, даже используя сертификаты HTTPS для повышения доверия.
Три, как защитить кошелек криптовалюты?
Чтобы защитить активы от этих мошенничеств, в которых сосуществуют технологии и психологическая война, необходимы многоуровневые стратегии:
Проверьте и управляйте правами доступа
Проверьте ссылку и источник
Использование холодного кошелька и мультиподписей
Будьте осторожны с запросами на подпись
Противодействие атаке пыли
Заключение
Внедрение вышеуказанных мер безопасности может значительно снизить риск стать жертвой сложных мошеннических схем, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осторожность в действиях на блокчейне становятся последней защитой от атак. Каждое расшифрование данных перед подписанием, каждая проверка прав после авторизации — это защита собственного цифрового суверенитета.
В будущем, независимо от того, как будет развиваться технология, основная линия защиты всегда будет заключаться в том, чтобы внутренне усвоить осознание безопасности и искать баланс между доверием и проверкой. В мире Блокчейн, где код является законом, каждое нажатие и каждая транзакция навсегда фиксируются и не подлежат изменению. Будьте бдительны, чтобы двигаться вперед безопасно.