Блокчейн безпека: смартконтракти та соціальна інженерія як подвійний виклик

Криптовалюти та технології блокчейн перетворюють концепцію фінансової свободи, але ця революція також принесла нові загрози безпеці. Шахраї більше не просто використовують технологічні вразливості, а перетворюють самі смартконтракти блокчейн в інструменти атак. Завдяки ретельно спроектованим соціально-інженерним пасткам, вони використовують прозорість та незворотність блокчейну, перетворюючи довіру користувачів на засіб для викрадення активів. Від підроблених смартконтрактів до маніпуляцій із міжланцюговими транзакціями, ці атаки не лише приховані та важкознаходжені, але й завдяки своєму "легітимному" вигляду є ще більш оманливими. У цій статті через приклади буде проаналізовано, як шахраї перетворюють протоколи на носії атак, а також надано всеосяжні рішення, від технічного захисту до поведінкових запобіжних заходів.

Один. Як легальна угода перетворилася на інструмент шахрайства?

Блокчейн протоколи мають забезпечувати безпеку та довіру, але шахраї використовують їхні особливості, поєднуючи з недбалістю користувачів, щоб створити різноманітні приховані способи атаки. Ось деякі поширені методи та їхні технічні деталі:

(1) Шкідливе авторизація смартконтрактів

Технічний принцип: На таких Блокчейнах, як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону витягувати з їх гаманця визначену кількість токенів. Ця функція широко використовується в протоколах децентралізованих фінансів (DeFi), де користувачі повинні уповноважити смартконтракти для виконання транзакцій, стейкінгу або ліквідного майнінгу. Однак шахраї використовують цей механізм для створення шкідливих контрактів.

Спосіб роботи: Шахраї створюють децентралізований додаток (DApp), що маскується під легальний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманець і їх спонукають натиснути "Approve", нібито для надання дозволу на невелику кількість токенів, насправді це може бути безмежний ліміт. Як тільки авторизація завершена, адреса контракту шахраїв отримує дозвіл, і може в будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.

Справжній випадок: На початку 2023 року фішинговий сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів на мільйони доларів у USDT та ETH. Дані в ланцюгу показують, що ці транзакції повністю відповідають стандарту ERC-20, постраждалим важко повернути кошти через юридичні методи, оскільки авторизація була підписана добровільно.

(2) підпис риболовлі

Технічні принципи: Блокчейн-транзакції вимагають від користувачів створення підпису за допомогою приватного ключа, щоб підтвердити законність транзакції. Гаманець зазвичай викликає запит на підпис, після підтвердження користувача транзакція транслюється в мережу. Шахраї використовують цей процес для підробки запитів на підпис та крадіжки активів.

Спосіб роботи: Користувач отримує електронний лист або миттєве повідомлення, що маскується під офіційне сповіщення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, перевірте гаманець". Після натискання на посилання користувач перенаправляється на шкідливий веб-сайт, де його просять підключити гаманець і підписати "перевірку транзакції". Ця транзакція насправді може викликати функцію "Transfer", що безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що надає шахраю контроль над колекцією NFT користувача.

Справжній випадок: У спільноті відомого NFT проекту стався випадок риболовлі за підписами, внаслідок чого кілька користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу". Зловмисники використали стандарт підпису EIP-712, підробивши, здається, безпечні запити.

(3) Фальшиві токени та "атака пилу"

Технічний принцип: Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо одержувач не запитував цього активно. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, які володіють цими гаманцями.

Спосіб роботи: Зловмисники надсилають невелику кількість "пилових" токенів на різні адреси, намагаючись виявити, які належать одному гаманцю. Ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний веб-сайт для отримання деталей. Користувачі можуть намагатися конвертувати ці токени в готівку, дозволяючи зловмисникам отримати доступ до гаманця користувача через адреси контрактів, що додаються до токенів. Ще більш прихованим є те, що атака «пилом» може здійснюватися шляхом аналізу подальших угод користувача, що дозволяє визначити активні адреси гаманців користувача та реалізувати більш точні шахрайства.

Справжній випадок: У мережі Ethereum сталося "пилове" атака з використанням токенів GAS, що вплинуло на тисячі гаманців. Частина користувачів через цікавість втратила ETH та токени ERC-20.

Два, чому ці шахрайства важко виявити?

Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їх зловмисну природу. Ось кілька ключових причин:

• Технічна складність: код смартконтрактів і запити на підпис для нетехнічних користувачів є незрозумілими. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані на зразок "0x095ea7b3...", що не дозволяє користувачеві інтуїтивно зрозуміти його значення.

• Легітимність на ланцюзі: всі транзакції записуються в Блокчейн, що виглядає прозоро, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже неможливо повернути.

• Соціальна інженерія: шахраї використовують слабкості людської натури, такі як жадібність ("отримати безкоштовно 1000 доларів токенів"), страх ("необхідна перевірка аномалій у акаунті") або довіру (прикидаючись службою підтримки).

• Продумане маскування: Фішингові сайти можуть використовувати URL, схожі на офіційний домен, навіть підвищуючи довіру через HTTPS сертифікати.

Три, як захистити ваш гаманець для криптовалют?

Стикаючись з цими шахрайствами, що поєднують технологічні та психологічні війни, захист активів вимагає багаторівневої стратегії. Ось детальні заходи запобігання:

Перевірка та управління правами доступу

• Використовуйте інструмент для перевірки дозволів у блокчейн-браузері, щоб перевірити записи дозволів гаманця.
• Регулярно скасовуйте непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
• Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.
• Перевірте значення "Allowance"; якщо воно "необмежене" (наприклад, 2^256-1), його слід негайно скасувати.

перевірка посилання та джерела

• Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
• Переконайтесь, що веб-сайт використовує правильне доменне ім'я та сертифікат SSL (зелена іконка замка).
• Будьте обережні з орфографічними помилками або зайвими символами.
• Якщо ви отримали підозрілу варіацію домену, негайно сумнівайтеся в його достовірності.

Використання холодного гаманця та мультипідпису

• Зберігайте більшість активів у апаратних гаманцях, підключайте до мережі лише в разі необхідності.
• Для великих активів використовуйте інструменти мультипідпису, що вимагають підтвердження транзакції кількома ключами.
• Навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.

Обережно обробляйте запити на підпис

• Кожен раз під час підписання уважно читайте деталі транзакції у спливаючому вікні гаманця.
• Використовуйте функцію "Decode Input Data" блокчейн-браузера для розшифровки вмісту підпису, або зверніться до технічного експерта.
• Створіть окремий гаманець для високих ризиків, зберігайте невелику кількість активів.

Реакція на атаки пилу

• Після отримання невідомих токенів не взаємодійте з ними. Позначте їх як "сміття" або сховайте.
• Підтвердьте походження токена через Блокчейн браузер, якщо це масова відправка, будьте дуже обережні.
• Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.

Висновок

Завдяки впровадженню вищезгаданих заходів безпеки, користувачі можуть значно знизити ризик стати жертвою складних шахрайських схем, але справжня безпека не лише залежить від технологій. Коли апаратні гаманці створюють фізичний бар'єр, а мультипідписи розподіляють ризики, розуміння користувачем логіки авторизації та обережність щодо дій в блокчейні є останнім бастіоном проти атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації - це захист власного цифрового суверенітету.

У майбутньому, незважаючи на те, як технології будуть ітеруватися, найважливішою лінією оборони завжди залишиться: внутрішня інтеграція свідомості про безпеку у звичку, встановлення балансу між довірою та перевіркою. У світі Блокчейн кожен клік, кожна транзакція назавжди записуються, їх неможливо змінити. Тому підтримка пильності та безперервне навчання є надзвичайно важливими для безпечного просування в цій швидко розвиваючійся сфері.