Блокчейн шахрайство нові тенденції: протокол сам стає зброєю атак
Криптовалюта та технології блокчейн переосмислюють концепцію фінансової свободи, але водночас приносять нові ризики безпеки. На відміну від традиційних атак, що залежать від технологічних вразливостей, нові шахраї хитро перетворюють протоколи смарт-контрактів блокчейн на інструменти атак. Вони через ретельно сплановані соціально-інженерні пастки, використовуючи прозорість і незворотність блокчейн, перетворюють довіру користувачів на засіб крадіжки активів. Від підроблених смарт-контрактів до маніпуляцій міжланцюговими транзакціями, ці атаки не тільки приховані та важкі для виявлення, але й мають вкрай сильну обманливість через свою "легітимну" оболонку. У статті буде проведено аналіз випадків, щоб виявити, як шахраї перетворюють протокол на засіб атаки, і буде надано повний захист, щоб допомогти користувачам безпечно пересуватися в децентралізованому світі.
Один. Як легальний протокол перетворився на інструмент шахрайства?
Блокчейн протокол був спроектований для забезпечення безпеки та довіри, але шахраї використовують його особливості, поєднуючи з недбалістю користувачів, створюючи різноманітні приховані методи атаки. Ось кілька типових методів та їх технічні деталі:
(1) зловмисний розумний контракт авторизація
Технічні принципи:
На таких Блокчейнах, як Ефіріум, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" надавати третім особам право вилучати з їхнього гаманця зазначену кількість токенів. Ця функція широко використовується в DeFi-протоколах, але також використовується шахраями для створення шкідливих контрактів.
Спосіб роботи:
Шахраї створюють DApp, що маскуються під легітимні проекти, спонукаючи користувачів підключати гаманці та натискати "Approve". На перший погляд, це авторизація невеликої кількості токенів, але насправді може бути необмежений ліміт. Як тільки авторизація завершена, адреса контракту шахраїв отримує доступ і може в будь-який момент вилучити з гаманця користувача всі відповідні токени.
Приклад:
На початку 2023 року фішинговий сайт, замаскований під "оновлення певного DEX", призвів до втрат сотень користувачів на мільйони доларів США в USDT та ETH. Ці транзакції повністю відповідали стандарту ERC-20, і жертвам було важко повернути свої кошти через суд.
(2) підпис риболовлі
Технічний принцип:
Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа для підтвердження легітимності транзакції. Гаманець зазвичай виводить запит на підпис, і після підтвердження користувача транзакція транслюється в мережу. Шахраї використовують цей процес, підробляючи запити на підпис, щоб вкрасти активи.
Спосіб роботи:
Користувач отримує повідомлення, що маскується під офіційне повідомлення, наприклад, "NFT аерозоль чекає на отримання, будь ласка, перевірте гаманець". Натискаючи на посилання, його перенаправляють на зловмисний вебсайт, де вимагають підключити гаманець та підписати "перевірку транзакції". Ця транзакція насправді може безпосередньо перемістити активи або надати контроль над колекцією NFT користувача.
Приклад:
Відомий NFT проект зазнав атаки фішингу з підписами, кілька користувачів втратили NFT на суму кілька мільйонів доларів через підписання підроблених транзакцій "отримання аірдропу". Зловмисники використали стандарт підпису EIP-712, підробивши на перший погляд безпечні запити.
(3) Фальшиві токени та "атака пилу"
Технічний принцип:
Відкритість Блокчейн дозволяє надсилати токени на будь-яку адресу, навіть якщо отримувач не запитував. Шахраї використовують цю особливість, надсилаючи невелику кількість криптовалюти на кілька гаманців, відстежуючи активність гаманців і асоціюючи їх з власниками.
Спосіб роботи:
Зловмисники розподіляють "пил" в формі аерозоля на гаманці користувачів, ці токени можуть мати спокусливі назви або метадані. Коли користувачі відвідують відповідні веб-сайти для перевірки деталей, зловмисники можуть отримати доступ до гаманця користувача через адресу контракту. Ще більш приховано, аналізуючи подальші транзакції користувача, вони визначають активні адреси гаманців і здійснюють точне шахрайство.
Приклад:
На мережі Ethereum трапилася атака "порошкового" GАS-токена, яка вплинула на тисячі гаманців. Деякі користувачі втратили ETH та ERC-20 токени через цікавість до взаємодії.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні, в значній мірі, тому що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко розпізнати їхню зловмисну природу. Основні причини включають:
Технічна складність: Код смарт-контракту та запити на підпис для нетехнічних користувачів є незрозумілими. Наприклад, запит "Approve" може відображатися як важко зрозумілі шістнадцяткові дані.
Законність на ланцюзі: усі транзакції записуються в Блокчейн, здається прозорими, але жертви часто усвідомлюють наслідки авторизації або підпису лише згодом.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра, щоб створити складні спокуси.
Вдало замаскований: Фішингові сайти можуть використовувати доменні імена, які дуже схожі на офіційні, навіть отримуючи сертифікати HTTPS для підвищення довіри.
Три, як захистити гаманець криптовалюти?
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багатошарової стратегії:
Перевірка та управління авторизацією
Регулярно перевіряйте записи авторизації гаманців за допомогою інструменту перевірки авторизації блокчейн-браузера.
Скасування непотрібних авторизацій, особливо для невідомих адрес з необмеженими правами.
Перед кожним наданням дозволів переконайтеся, що DApp походить з надійного джерела.
Перевірте значення "Allowance", якщо воно "безмежне", його слід негайно скасувати.
Перевірка посилання та джерела
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах чи електронних листах.
Забезпечте, щоб веб-сайт використовував правильне доменне ім'я та SSL-сертифікат.
Будьте обережні з помилками у написанні або зайвими символами в доменному імені.
Використання холодного гаманця та мультипідпису
Зберігайте більшу частину активів у апаратному гаманці, підключайте мережу лише у разі необхідності.
Для великих активів використовуйте інструменти багатопідпису, що вимагають підтвердження транзакції кількома ключами.
Обережно обробляйте запити на підпис
Перед кожним підписом уважно читайте деталі угоди.
Використовуйте функцію аналізу даних блокчейн-браузера для тлумачення вмісту підпису.
Створіть окремий гаманець для високих ризикових операцій, зберігайте невелику кількість активів.
реагування на атаки пилу
Після отримання невідомих токенів не взаємодійте з ними. Позначте їх як "сміття" або сховайте.
Підтвердьте походження токена через Блокчейн-браузер, будьте обережні з масовими відправленнями.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Впровадження вищезазначених заходів безпеки може значно знизити ризик стати жертвою складних шахрайських схем, але справжня безпека не лише залежить від технологій. Коли апаратні гаманці формують фізичну лінію захисту, а багатопідпис розподіляє ризики, лише розуміння користувачем логіки авторизації та обережність щодо поведінки в ланцюзі є останньою фортецею для захисту від атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації – це захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як розвиватиметься технологічна ітерація, найголовніша лінія оборони завжди полягатиме в тому: інтеріоризувати усвідомленість безпеки як звичку, шукати баланс між довірою та верифікацією. У світі блокчейн, де код є законом, кожен клік, кожна транзакція назавжди записуються, незмінні. Підтримуючи пильність, можна безпечно рухатися вперед.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
5
Поділіться
Прокоментувати
0/400
AllTalkLongTrader
· 08-02 06:38
Це контракт зруйнував мене, а не мій великий важіль.
Переглянути оригіналвідповісти на0
ContractFreelancer
· 08-01 07:48
Швидко виведені монети – це хороші монети. Живи на аірдропах.
Переглянути оригіналвідповісти на0
EthMaximalist
· 07-30 11:35
Дорога до простоти, смартконтракти самі можуть обдурювати людей, як лохів
Блокчейн протоколи перетворюються на інструменти шахрайства Як захиститися від атак на смартконтракти
Блокчейн шахрайство нові тенденції: протокол сам стає зброєю атак
Криптовалюта та технології блокчейн переосмислюють концепцію фінансової свободи, але водночас приносять нові ризики безпеки. На відміну від традиційних атак, що залежать від технологічних вразливостей, нові шахраї хитро перетворюють протоколи смарт-контрактів блокчейн на інструменти атак. Вони через ретельно сплановані соціально-інженерні пастки, використовуючи прозорість і незворотність блокчейн, перетворюють довіру користувачів на засіб крадіжки активів. Від підроблених смарт-контрактів до маніпуляцій міжланцюговими транзакціями, ці атаки не тільки приховані та важкі для виявлення, але й мають вкрай сильну обманливість через свою "легітимну" оболонку. У статті буде проведено аналіз випадків, щоб виявити, як шахраї перетворюють протокол на засіб атаки, і буде надано повний захист, щоб допомогти користувачам безпечно пересуватися в децентралізованому світі.
Один. Як легальний протокол перетворився на інструмент шахрайства?
Блокчейн протокол був спроектований для забезпечення безпеки та довіри, але шахраї використовують його особливості, поєднуючи з недбалістю користувачів, створюючи різноманітні приховані методи атаки. Ось кілька типових методів та їх технічні деталі:
(1) зловмисний розумний контракт авторизація
Технічні принципи: На таких Блокчейнах, як Ефіріум, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" надавати третім особам право вилучати з їхнього гаманця зазначену кількість токенів. Ця функція широко використовується в DeFi-протоколах, але також використовується шахраями для створення шкідливих контрактів.
Спосіб роботи: Шахраї створюють DApp, що маскуються під легітимні проекти, спонукаючи користувачів підключати гаманці та натискати "Approve". На перший погляд, це авторизація невеликої кількості токенів, але насправді може бути необмежений ліміт. Як тільки авторизація завершена, адреса контракту шахраїв отримує доступ і може в будь-який момент вилучити з гаманця користувача всі відповідні токени.
Приклад: На початку 2023 року фішинговий сайт, замаскований під "оновлення певного DEX", призвів до втрат сотень користувачів на мільйони доларів США в USDT та ETH. Ці транзакції повністю відповідали стандарту ERC-20, і жертвам було важко повернути свої кошти через суд.
(2) підпис риболовлі
Технічний принцип: Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа для підтвердження легітимності транзакції. Гаманець зазвичай виводить запит на підпис, і після підтвердження користувача транзакція транслюється в мережу. Шахраї використовують цей процес, підробляючи запити на підпис, щоб вкрасти активи.
Спосіб роботи: Користувач отримує повідомлення, що маскується під офіційне повідомлення, наприклад, "NFT аерозоль чекає на отримання, будь ласка, перевірте гаманець". Натискаючи на посилання, його перенаправляють на зловмисний вебсайт, де вимагають підключити гаманець та підписати "перевірку транзакції". Ця транзакція насправді може безпосередньо перемістити активи або надати контроль над колекцією NFT користувача.
Приклад: Відомий NFT проект зазнав атаки фішингу з підписами, кілька користувачів втратили NFT на суму кілька мільйонів доларів через підписання підроблених транзакцій "отримання аірдропу". Зловмисники використали стандарт підпису EIP-712, підробивши на перший погляд безпечні запити.
(3) Фальшиві токени та "атака пилу"
Технічний принцип: Відкритість Блокчейн дозволяє надсилати токени на будь-яку адресу, навіть якщо отримувач не запитував. Шахраї використовують цю особливість, надсилаючи невелику кількість криптовалюти на кілька гаманців, відстежуючи активність гаманців і асоціюючи їх з власниками.
Спосіб роботи: Зловмисники розподіляють "пил" в формі аерозоля на гаманці користувачів, ці токени можуть мати спокусливі назви або метадані. Коли користувачі відвідують відповідні веб-сайти для перевірки деталей, зловмисники можуть отримати доступ до гаманця користувача через адресу контракту. Ще більш приховано, аналізуючи подальші транзакції користувача, вони визначають активні адреси гаманців і здійснюють точне шахрайство.
Приклад: На мережі Ethereum трапилася атака "порошкового" GАS-токена, яка вплинула на тисячі гаманців. Деякі користувачі втратили ETH та ERC-20 токени через цікавість до взаємодії.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні, в значній мірі, тому що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко розпізнати їхню зловмисну природу. Основні причини включають:
Технічна складність: Код смарт-контракту та запити на підпис для нетехнічних користувачів є незрозумілими. Наприклад, запит "Approve" може відображатися як важко зрозумілі шістнадцяткові дані.
Законність на ланцюзі: усі транзакції записуються в Блокчейн, здається прозорими, але жертви часто усвідомлюють наслідки авторизації або підпису лише згодом.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра, щоб створити складні спокуси.
Вдало замаскований: Фішингові сайти можуть використовувати доменні імена, які дуже схожі на офіційні, навіть отримуючи сертифікати HTTPS для підвищення довіри.
Три, як захистити гаманець криптовалюти?
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багатошарової стратегії:
Перевірка та управління авторизацією
Перевірка посилання та джерела
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис
реагування на атаки пилу
Висновок
Впровадження вищезазначених заходів безпеки може значно знизити ризик стати жертвою складних шахрайських схем, але справжня безпека не лише залежить від технологій. Коли апаратні гаманці формують фізичну лінію захисту, а багатопідпис розподіляє ризики, лише розуміння користувачем логіки авторизації та обережність щодо поведінки в ланцюзі є останньою фортецею для захисту від атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації – це захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як розвиватиметься технологічна ітерація, найголовніша лінія оборони завжди полягатиме в тому: інтеріоризувати усвідомленість безпеки як звичку, шукати баланс між довірою та верифікацією. У світі блокчейн, де код є законом, кожен клік, кожна транзакція назавжди записуються, незмінні. Підтримуючи пильність, можна безпечно рухатися вперед.