Потенциальные ловушки мира Блокчейн: как смарт-контракты могут стать оружием атаки
Криптовалюты и технологии Блокчейн меняют концепцию финансовой свободы, но эта революция также приносит новые вызовы. Мошенники больше не просто используют уязвимости в технологиях, а превращают смарт-контракты Блокчейн в инструменты атаки. С помощью тщательно продуманных ловушек социальной инженерии они используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кроссчейн-транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и более обманчивы из-за своего "законного" вида. В данной статье будут проанализированы примеры, показывающие, как мошенники используют протоколы для атак, и предложены всеобъемлющие стратегии защиты, чтобы помочь пользователям безопасно передвигаться в децентрализованном мире.
Один. Как соглашение превращается в инструмент мошенничества?
Блокчейн-протоколы должны обеспечивать безопасность и доверие, но мошенники используют их особенности, совместив их с неосторожностью пользователей, чтобы создать различные скрытые методы атаки. Вот некоторые распространенные приемы и их технические детали:
(1) Злонамеренные смарт-контракты
Технический принцип:
На таких Блокчейнах, как Ethereum, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочивать третьих лиц (обычно смарт-контракты) извлекать определенное количество токенов из их кошелька. Эта функция широко используется в протоколах децентрализованных финансов, где пользователи должны уполномочить смарт-контракты для завершения транзакций, стекинга или ликвидного майнинга. Однако мошенники используют этот механизм для разработки злонамеренных контрактов.
Способ работы:
Мошенники создают децентрализованное приложение, маскирующееся под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их побуждают нажать "Approve", что на первый взгляд выглядит как разрешение на использование небольшого количества токенов, но на самом деле может означать неограниченный лимит. Как только авторизация завершена, адрес контракта мошенника получает разрешение и может в любой момент вызвать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Пример:
В начале 2023 года фишинговый сайт, замаскированный под обновление одного из DEX, привел к тому, что сотни пользователей потеряли значительное количество стейблкоинов и ETH. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвам сложно вернуть свои активы через юридические средства, так как авторизация была добровольно подписана.
(2) Подпись фишинга
Технические принципы:
Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает электронное письмо или сообщение, замаскированное под официальное уведомление, например: "Ваш NFT airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, который требует подключения кошелька и подписания транзакции "подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит активы из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая дает мошеннику контроль над коллекцией NFT пользователя.
Пример:
Некоторые известные сообщества NFT проектов подверглись атаке фишинга с использованием подписей, в результате чего несколько пользователей потеряли NFT на сумму в несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Злоумышленники воспользовались стандартом подписи EIP-712, подделав, казалось бы, безопасный запрос.
(3) Ложные токены и "атака пылью"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал этого. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками.
Способ работы:
Атакующий отправляет небольшие суммы криптовалюты на разные адреса, а затем пытается выяснить, какие адреса принадлежат одному и тому же кошельку. Затем атакующий использует эту информацию для проведения фишинговых атак или угроз против жертвы. В большинстве случаев эти "пыльцы" распределяются в виде аirdrop в кошельки пользователей, и эти токены могут иметь привлекательные названия или метаданные, которые побуждают пользователей посетить определенный веб-сайт для получения подробной информации.
Пример:
В прошлом на сети Эфириум произошла атака "пылевых токенов" с бесплатными токенами, которая затронула тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытства.
Два, почему эти схемы трудно заметить?
Эти мошенничества успешны в значительной степени потому, что они скрыты в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: код смарт-контрактов и запросы на подпись непонятны для нетехнических пользователей.
Законность на цепочке: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие.
Замаскированная ловкость: Фишинговые сайты могут использовать URL, схожие с официальными доменами, а также увеличивать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш криптовалютный кошелек?
В условиях мошенничества, сочетающего в себе технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте правами доступа
Используйте инструменты на Блокчейне для проверки истории разрешений кошелька.
Регулярно отменяйте ненужные разрешения, особенно на неограниченные разрешения для неизвестных адресов.
Перед каждым разрешением убедитесь, что приложение поступает из надежного источника.
Подтвердите ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат.
Будьте осторожны с опечатками или лишними символами.
Используйте холодный кошелек и мультиподпись
Храните большинство активов в аппаратных кошельках и подключайте сеть только при необходимости.
Для крупных активов используйте инструменты мультиподписей, требующие подтверждения транзакции несколькими ключами.
Будьте осторожны с запросами на подпись
При каждом подписании внимательно читайте детали транзакции в всплывающем окне кошелька.
Используйте функцию анализа блокчейн-браузера для понимания содержания подписи.
Создайте независимый кошелек для высокорискованных операций и храните в нем небольшое количество активов.
Реакция на атаки пыли
После получения неизвестных токенов не взаимодействуйте с ними. Отметьте их как "спам" или скройте.
Подтвердите источник токена через Блокчейн-обозреватель, если это массовая отправка, будьте крайне внимательны.
Избегайте публикации адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Реализуя указанные меры безопасности, пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем. Однако настоящая безопасность зависит не только от технологий. Когда аппаратные кошельки создают физическую защиту, а многоподписные схемы распределяют риски, понимание пользователями логики авторизации и осмотрительность в действиях на цепи становятся последней защитой от атак.
В будущем, независимо от того, как технологии будут развиваться, самым важным защитным барьером всегда будет: инкорпорировать осознание безопасности в привычки и установить баланс между доверием и проверкой. В мире Блокчейн, где код является законом, каждая операция навсегда записывается и не может быть изменена. Поэтому важно оставаться бдительным и действовать осторожно.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
23 Лайков
Награда
23
9
Репост
Поделиться
комментарий
0/400
CryptoCross-TalkClub
· 19ч назад
Вот и всё? Новые неудачники наоборот сложно разыгрывать, установив старых неудачников, сразу собирайте.
Посмотреть ОригиналОтветить0
TradFiRefugee
· 08-12 19:14
Я ещё не остудил кофе, а уже пришёл памп.
Посмотреть ОригиналОтветить0
StablecoinArbitrageur
· 08-12 14:59
*вздох* неэффективные участники рынка снова попадают в беду... статистически неизбежно с этими векторами атак, честно говоря
Посмотреть ОригиналОтветить0
RugDocDetective
· 08-10 13:58
новичок входит на рынок не смотря на教程 неудачники разыгрывайте людей как лохов
Посмотреть ОригиналОтветить0
Degentleman
· 08-10 13:58
又被 разыгрывайте людей как лохов了一刀长记性了
Посмотреть ОригиналОтветить0
MondayYoloFridayCry
· 08-10 13:58
Снова нужно зашевелиться, давай развлекаться!
Посмотреть ОригиналОтветить0
RooftopVIP
· 08-10 13:52
неудачники разыгрывайте людей как лохов 真不怕 Криптография了
Посмотреть ОригиналОтветить0
RetailTherapist
· 08-10 13:49
Хороший парень, один круче другого в ловушке
Посмотреть ОригиналОтветить0
BoredStaker
· 08-10 13:47
Слушая тебя, новичок, должен сохранить это в своем мешке.
Новые методы мошенничества со смарт-контрактами: от авторизационной фишинга до Атака пылью. Полное руководство по защите активов.
Потенциальные ловушки мира Блокчейн: как смарт-контракты могут стать оружием атаки
Криптовалюты и технологии Блокчейн меняют концепцию финансовой свободы, но эта революция также приносит новые вызовы. Мошенники больше не просто используют уязвимости в технологиях, а превращают смарт-контракты Блокчейн в инструменты атаки. С помощью тщательно продуманных ловушек социальной инженерии они используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кроссчейн-транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и более обманчивы из-за своего "законного" вида. В данной статье будут проанализированы примеры, показывающие, как мошенники используют протоколы для атак, и предложены всеобъемлющие стратегии защиты, чтобы помочь пользователям безопасно передвигаться в децентрализованном мире.
Один. Как соглашение превращается в инструмент мошенничества?
Блокчейн-протоколы должны обеспечивать безопасность и доверие, но мошенники используют их особенности, совместив их с неосторожностью пользователей, чтобы создать различные скрытые методы атаки. Вот некоторые распространенные приемы и их технические детали:
(1) Злонамеренные смарт-контракты
Технический принцип: На таких Блокчейнах, как Ethereum, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочивать третьих лиц (обычно смарт-контракты) извлекать определенное количество токенов из их кошелька. Эта функция широко используется в протоколах децентрализованных финансов, где пользователи должны уполномочить смарт-контракты для завершения транзакций, стекинга или ликвидного майнинга. Однако мошенники используют этот механизм для разработки злонамеренных контрактов.
Способ работы: Мошенники создают децентрализованное приложение, маскирующееся под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их побуждают нажать "Approve", что на первый взгляд выглядит как разрешение на использование небольшого количества токенов, но на самом деле может означать неограниченный лимит. Как только авторизация завершена, адрес контракта мошенника получает разрешение и может в любой момент вызвать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Пример: В начале 2023 года фишинговый сайт, замаскированный под обновление одного из DEX, привел к тому, что сотни пользователей потеряли значительное количество стейблкоинов и ETH. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвам сложно вернуть свои активы через юридические средства, так как авторизация была добровольно подписана.
(2) Подпись фишинга
Технические принципы: Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы: Пользователь получает электронное письмо или сообщение, замаскированное под официальное уведомление, например: "Ваш NFT airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, который требует подключения кошелька и подписания транзакции "подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит активы из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая дает мошеннику контроль над коллекцией NFT пользователя.
Пример: Некоторые известные сообщества NFT проектов подверглись атаке фишинга с использованием подписей, в результате чего несколько пользователей потеряли NFT на сумму в несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Злоумышленники воспользовались стандартом подписи EIP-712, подделав, казалось бы, безопасный запрос.
(3) Ложные токены и "атака пылью"
Технический принцип: Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал этого. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками.
Способ работы: Атакующий отправляет небольшие суммы криптовалюты на разные адреса, а затем пытается выяснить, какие адреса принадлежат одному и тому же кошельку. Затем атакующий использует эту информацию для проведения фишинговых атак или угроз против жертвы. В большинстве случаев эти "пыльцы" распределяются в виде аirdrop в кошельки пользователей, и эти токены могут иметь привлекательные названия или метаданные, которые побуждают пользователей посетить определенный веб-сайт для получения подробной информации.
Пример: В прошлом на сети Эфириум произошла атака "пылевых токенов" с бесплатными токенами, которая затронула тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытства.
Два, почему эти схемы трудно заметить?
Эти мошенничества успешны в значительной степени потому, что они скрыты в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: код смарт-контрактов и запросы на подпись непонятны для нетехнических пользователей.
Законность на цепочке: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие.
Замаскированная ловкость: Фишинговые сайты могут использовать URL, схожие с официальными доменами, а также увеличивать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш криптовалютный кошелек?
В условиях мошенничества, сочетающего в себе технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте правами доступа
Подтвердите ссылку и источник
Используйте холодный кошелек и мультиподпись
Будьте осторожны с запросами на подпись
Реакция на атаки пыли
Заключение
Реализуя указанные меры безопасности, пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем. Однако настоящая безопасность зависит не только от технологий. Когда аппаратные кошельки создают физическую защиту, а многоподписные схемы распределяют риски, понимание пользователями логики авторизации и осмотрительность в действиях на цепи становятся последней защитой от атак.
В будущем, независимо от того, как технологии будут развиваться, самым важным защитным барьером всегда будет: инкорпорировать осознание безопасности в привычки и установить баланс между доверием и проверкой. В мире Блокчейн, где код является законом, каждая операция навсегда записывается и не может быть изменена. Поэтому важно оставаться бдительным и действовать осторожно.