Contratos inteligentes como nueva herramienta de fraude: Análisis completo de las amenazas de seguridad de la cadena de bloques y estrategias de protección
Contratos inteligentes vulnerables: un nuevo desafío para la seguridad de la cadena de bloques
Las criptomonedas y la tecnología de cadena de bloques están remodelando el sistema financiero, pero al mismo tiempo también han traído nuevas amenazas a la seguridad. A diferencia de las vulnerabilidades tecnológicas tradicionales, algunos delincuentes han comenzado a utilizar los contratos inteligentes de cadena de bloques como herramientas de ataque. Diseñan cuidadosamente trampas de ingeniería social, aprovechando la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que también son más engañosos debido a su apariencia "legítima". Este artículo analizará ejemplos para revelar cómo los delincuentes convierten los protocolos en vehículos de ataque y proporcionará estrategias de protección completas.
Uno, ¿cómo se convierte un acuerdo en una herramienta de fraude?
El protocolo de la cadena de bloques debería garantizar la seguridad y la confianza, pero los delincuentes han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear múltiples formas encubiertas de ataque:
(1) autorización de contratos inteligentes maliciosos
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, pero también es aprovechada por delincuentes.
Forma de operar:
Los delincuentes crean DApps disfrazadas de proyectos legales, induciendo a los usuarios a conectar sus billeteras y autorizarlas. A simple vista, es una autorización de una pequeña cantidad de tokens, pero en realidad puede ser un límite infinito. Una vez completada la autorización, los delincuentes pueden extraer todos los tokens correspondientes de la billetera del usuario en cualquier momento.
(2) firma de phishing
Principio técnico:
Las transacciones en la Cadena de bloques requieren que los usuarios generen firmas mediante una clave privada. Los delincuentes aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operación:
El usuario recibe un mensaje disfrazado de notificación oficial, siendo dirigido a un sitio web malicioso para firmar "verificar transacción". Esta transacción podría transferir directamente los activos del usuario o autorizar el control de la colección de NFT del usuario.
(3) Tokens falsos y "ataques de polvo"
Principio técnico:
La publicidad de la cadena de bloques permite enviar tokens a cualquier dirección. Los delincuentes aprovechan esto para rastrear la actividad de las billeteras enviando pequeñas cantidades de criptomonedas.
Forma de operar:
Los delincuentes distribuyen tokens "polvo" en forma de airdrop, induciendo a los usuarios a visitar un sitio web para consultar detalles. A través del análisis de las transacciones posteriores de los usuarios, identifican direcciones de billeteras activas y llevan a cabo estafas precisas.
Dos, ¿por qué son difíciles de detectar estas estafas?
Estos fraudes tienen éxito principalmente porque se ocultan en los mecanismos legítimos de la Cadena de bloques:
Complejidad técnica: el código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios comunes.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta del problema solo después.
Ingeniería social: aprovechar las debilidades humanas, como la avaricia, el miedo o la confianza.
Disfraz sofisticado: los sitios web de phishing pueden utilizar URLs similares al nombre de dominio oficial, e incluso aumentar su credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger una billetera de criptomonedas?
Frente a estos fraudes que combinan técnicas y guerra psicológica, proteger los activos requiere estrategias de múltiples niveles:
Verificar y gestionar permisos de autorización
Utilizar herramientas de verificación de autorizaciones para revisar regularmente los registros de autorizaciones de la cartera.
Revocar las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Asegúrate de que la fuente de la DApp sea confiable antes de cada autorización.
Verificar enlace y origen
Ingrese manualmente la URL oficial, evite hacer clic en enlaces en redes sociales o correos electrónicos.
Asegúrese de que el sitio web utilice el nombre de dominio y el certificado SSL correctos.
Esté atento a errores de escritura en el dominio o caracteres adicionales.
utilizar una billetera fría y firmas múltiples
Almacenar la mayor parte de los activos en una billetera de hardware y conectarse a la red solo cuando sea necesario.
Utilizar herramientas de firma múltiple para activos de gran valor, requiriendo la confirmación de la transacción por múltiples claves.
Maneje con cuidado las solicitudes de firma
Lea atentamente los detalles de la transacción cada vez que firme.
Utiliza herramientas para analizar el contenido de la firma o consulta a un experto.
Crear una billetera independiente para operaciones de alto riesgo, almacenando una pequeña cantidad de activos.
respuesta a ataques de polvo
No interactúe con tokens desconocidos después de recibirlos, márkelo como "basura" o escóndalo.
Confirmar el origen del token a través del explorador de la cadena de bloques.
Evita publicar la dirección de tu billetera o usar una nueva dirección para realizar operaciones sensibles.
Conclusión
Implementar las medidas de seguridad mencionadas puede reducir significativamente el riesgo, pero la verdadera seguridad no solo depende de la tecnología. Cuando las carteras de hardware construyen una defensa física y las firmas múltiples dispersan el riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última línea de defensa. El análisis de datos antes de cada firma y la revisión de permisos después de cada autorización son parte de la protección de la soberanía digital.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa principal siempre radica en: internalizar la conciencia de seguridad como un hábito y mantener un equilibrio entre la confianza y la verificación. En el mundo de la Cadena de bloques, cada clic y cada transacción se registran de forma permanente e inalterable. Mantente alerta para avanzar de manera segura.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
22 me gusta
Recompensa
22
7
Compartir
Comentar
0/400
BlockchainTherapist
· 07-24 02:10
Viejas trampas, nuevos engaños. El camino no ha cambiado, sigue siendo demasiado codicioso~
Ver originalesResponder0
MidnightSnapHunter
· 07-21 02:43
¿No puedes comprar moneda bien y aún quieres contratos? Te aconsejo que te retires.
Ver originalesResponder0
SelfMadeRuggee
· 07-21 02:43
Otra cosa no es nueva.. ya han condenado varios proyectos.
Ver originalesResponder0
AirdropBuffet
· 07-21 02:38
Cadena de bloques es un agujero, un paso un trampa.
Ver originalesResponder0
FancyResearchLab
· 07-21 02:37
Otro agujero inteligente del que hay que salir en menos de 24 horas. Valor académico al máximo.
Ver originalesResponder0
SatoshiNotNakamoto
· 07-21 02:37
Oh, este contrato tiene muchas trampas, no lo toques.
Ver originalesResponder0
MaticHoleFiller
· 07-21 02:14
La verdadera tecnología depende de llenar los agujeros.
Contratos inteligentes como nueva herramienta de fraude: Análisis completo de las amenazas de seguridad de la cadena de bloques y estrategias de protección
Contratos inteligentes vulnerables: un nuevo desafío para la seguridad de la cadena de bloques
Las criptomonedas y la tecnología de cadena de bloques están remodelando el sistema financiero, pero al mismo tiempo también han traído nuevas amenazas a la seguridad. A diferencia de las vulnerabilidades tecnológicas tradicionales, algunos delincuentes han comenzado a utilizar los contratos inteligentes de cadena de bloques como herramientas de ataque. Diseñan cuidadosamente trampas de ingeniería social, aprovechando la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que también son más engañosos debido a su apariencia "legítima". Este artículo analizará ejemplos para revelar cómo los delincuentes convierten los protocolos en vehículos de ataque y proporcionará estrategias de protección completas.
Uno, ¿cómo se convierte un acuerdo en una herramienta de fraude?
El protocolo de la cadena de bloques debería garantizar la seguridad y la confianza, pero los delincuentes han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear múltiples formas encubiertas de ataque:
(1) autorización de contratos inteligentes maliciosos
Principio técnico: En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, pero también es aprovechada por delincuentes.
Forma de operar: Los delincuentes crean DApps disfrazadas de proyectos legales, induciendo a los usuarios a conectar sus billeteras y autorizarlas. A simple vista, es una autorización de una pequeña cantidad de tokens, pero en realidad puede ser un límite infinito. Una vez completada la autorización, los delincuentes pueden extraer todos los tokens correspondientes de la billetera del usuario en cualquier momento.
(2) firma de phishing
Principio técnico: Las transacciones en la Cadena de bloques requieren que los usuarios generen firmas mediante una clave privada. Los delincuentes aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operación: El usuario recibe un mensaje disfrazado de notificación oficial, siendo dirigido a un sitio web malicioso para firmar "verificar transacción". Esta transacción podría transferir directamente los activos del usuario o autorizar el control de la colección de NFT del usuario.
(3) Tokens falsos y "ataques de polvo"
Principio técnico: La publicidad de la cadena de bloques permite enviar tokens a cualquier dirección. Los delincuentes aprovechan esto para rastrear la actividad de las billeteras enviando pequeñas cantidades de criptomonedas.
Forma de operar: Los delincuentes distribuyen tokens "polvo" en forma de airdrop, induciendo a los usuarios a visitar un sitio web para consultar detalles. A través del análisis de las transacciones posteriores de los usuarios, identifican direcciones de billeteras activas y llevan a cabo estafas precisas.
Dos, ¿por qué son difíciles de detectar estas estafas?
Estos fraudes tienen éxito principalmente porque se ocultan en los mecanismos legítimos de la Cadena de bloques:
Tres, ¿cómo proteger una billetera de criptomonedas?
Frente a estos fraudes que combinan técnicas y guerra psicológica, proteger los activos requiere estrategias de múltiples niveles:
Verificar y gestionar permisos de autorización
Verificar enlace y origen
utilizar una billetera fría y firmas múltiples
Maneje con cuidado las solicitudes de firma
respuesta a ataques de polvo
Conclusión
Implementar las medidas de seguridad mencionadas puede reducir significativamente el riesgo, pero la verdadera seguridad no solo depende de la tecnología. Cuando las carteras de hardware construyen una defensa física y las firmas múltiples dispersan el riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última línea de defensa. El análisis de datos antes de cada firma y la revisión de permisos después de cada autorización son parte de la protección de la soberanía digital.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa principal siempre radica en: internalizar la conciencia de seguridad como un hábito y mantener un equilibrio entre la confianza y la verificación. En el mundo de la Cadena de bloques, cada clic y cada transacción se registran de forma permanente e inalterable. Mantente alerta para avanzar de manera segura.