Trampas de seguridad en el mundo de la cadena de bloques: Revelando fraudes de contratos inteligentes
Las criptomonedas y la tecnología de cadena de bloques están cambiando el panorama financiero, pero también han traído nuevas amenazas a la seguridad. Los estafadores ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que han convertido los contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de ingeniosos métodos de ingeniería social, utilizan la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de rastrear, sino que son aún más engañosos debido a su apariencia "legítima". Este artículo analizará casos reales, revelando cómo los estafadores convierten los protocolos en vehículos de ataque y ofrecerá estrategias de protección integral.
Uno, ¿cómo se convierte un acuerdo legal en una herramienta de fraude?
El protocolo de la Cadena de bloques originalmente estaba destinado a garantizar la seguridad y la confianza, pero los estafadores han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear varios métodos de ataque encubiertos. A continuación se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros para extraer una cantidad específica de tokens de su billetera mediante la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, pero también es aprovechada por estafadores.
Forma de operación:
Los estafadores crean DApps que se hacen pasar por proyectos legítimos, induciendo a los usuarios a conectar sus billeteras y otorgar permisos. Superficialmente, se autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite ilimitado. Una vez completada la autorización, los estafadores pueden retirar todos los tokens correspondientes de la billetera del usuario en cualquier momento.
Caso real:
A principios de 2023, un sitio web de phishing disfrazado de "actualización de Uniswap V3" causó pérdidas de millones de dólares en USDT y ETH a cientos de usuarios. Estas transacciones cumplían completamente con el estándar ERC-20, lo que dificultó a las víctimas recuperar sus activos a través de medios legales.
(2) Pesca de firma
Principios técnicos:
Las transacciones en la cadena de bloques requieren que los usuarios generen una firma mediante una clave privada para probar la legitimidad de la transacción. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Modo de operación:
El usuario recibe un mensaje disfrazado de notificación oficial, siendo dirigido a un sitio web malicioso que solicita conectar su billetera y firmar "verificar transacción". Esta transacción podría transferir directamente los activos del usuario o autorizar a los estafadores a controlar la colección de NFT del usuario.
Caso real:
Una conocida comunidad de un proyecto NFT sufrió un ataque de phishing mediante firmas, varios usuarios perdieron NFTs por un valor de millones de dólares al firmar transacciones falsas de "reclamación de airdrop". Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) Tokens falsos y "ataques de polvo"
Principio técnico:
La transparencia de la cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera, rastreando la actividad de las billeteras y asociándolas con individuos o empresas.
Modo de operación:
Los estafadores distribuyen "polvo" a las carteras de los usuarios en forma de airdrop, y estos tokens pueden tener nombres o metadatos engañosos. Los usuarios pueden intentar canjear estos tokens, lo que permitiría a los atacantes acceder a la cartera del usuario a través de la dirección del contrato.
Caso real:
En la red de Ethereum se produjo un ataque de polvo de "tokens de GAS", afectando a miles de billeteras. Algunos usuarios perdieron ETH y tokens ERC-20 debido a la curiosidad de interactuar.
Dos, ¿por qué son difíciles de detectar estas estafas?
Estos engaños tienen éxito principalmente porque se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes distingan su naturaleza maliciosa. Las principales razones incluyen:
Complejidad técnica: el código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta del problema solo después.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza.
Camuflaje ingenioso: los sitios de phishing pueden usar URL similares a los nombres de dominio oficiales, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estas estafas que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples capas:
Verificar y gestionar los permisos de autorización
Utilizar la herramienta de verificación de autorizaciones para revisar regularmente los registros de autorización de la billetera.
Revocar las autorizaciones innecesarias, especialmente la autorización ilimitada a direcciones desconocidas.
Antes de cada autorización, asegúrate de que el DApp provenga de una fuente confiable.
Verificar enlace y origen
Introduzca manualmente la URL oficial para evitar hacer clic en los enlaces de las redes sociales o correos electrónicos.
Asegúrate de que el sitio web utilice el nombre de dominio y el certificado SSL correctos.
Ten cuidado con los nombres de dominio que contengan errores de ortografía o caracteres adicionales.
Usar billetera fría y firma múltiple
Almacene la mayor parte de sus activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
Utilizar herramientas de firma múltiple para activos de gran valor, requiriendo la confirmación de la transacción por múltiples claves.
Manejar con cuidado las solicitudes de firma
Lee atentamente los detalles de la transacción en la ventana emergente de la billetera.
Usar la función de análisis del explorador de cadenas de bloques para analizar el contenido de la firma.
Crea una billetera independiente para operaciones de alto riesgo, almacenando una pequeña cantidad de activos.
afrontando ataques de polvo
Después de recibir un token desconocido, no interactúe. Márquelo como "spam" o ocúltelo.
Confirma el origen del token a través del explorador de la cadena de bloques, ten cuidado con el envío masivo.
Evita hacer público tu dirección de billetera, o utiliza una nueva dirección para realizar operaciones sensibles.
Conclusión
La implementación de las medidas de seguridad mencionadas puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado. Sin embargo, la verdadera seguridad no solo depende de la protección técnica, sino que también requiere que los usuarios comprendan la lógica de autorización y actúen con precaución en sus comportamientos en la cadena de bloques. La interpretación de datos antes de cada firma y la revisión de permisos después de cada autorización son formas de mantener la soberanía digital.
En el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente y no se pueden modificar. Por lo tanto, internalizar la conciencia de seguridad como un hábito y mantener un equilibrio entre la confianza y la verificación es clave para proteger los activos digitales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
22 me gusta
Recompensa
22
5
Compartir
Comentar
0/400
DaoGovernanceOfficer
· 08-03 13:27
*suspiro* empíricamente hablando, el 93.7% de estos "exploits" provienen de descuidos básicos en la gobernanza...
Ver originalesResponder0
PanicSeller
· 08-03 00:02
Perdió tanto que se fue.
Ver originalesResponder0
ser_we_are_ngmi
· 08-01 23:35
He comido suficientes sandías.
Ver originalesResponder0
FlashLoanLord
· 08-01 23:35
La trampa es demasiado profunda, ¿verdad?
Ver originalesResponder0
fren.eth
· 08-01 23:33
Hablando en serio, no es mejor que hacer clic ciegamente en shitcoin.
Revelación de fraudes con contratos inteligentes: trampas de seguridad de la cadena de bloques y estrategias de protección
Trampas de seguridad en el mundo de la cadena de bloques: Revelando fraudes de contratos inteligentes
Las criptomonedas y la tecnología de cadena de bloques están cambiando el panorama financiero, pero también han traído nuevas amenazas a la seguridad. Los estafadores ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que han convertido los contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de ingeniosos métodos de ingeniería social, utilizan la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de rastrear, sino que son aún más engañosos debido a su apariencia "legítima". Este artículo analizará casos reales, revelando cómo los estafadores convierten los protocolos en vehículos de ataque y ofrecerá estrategias de protección integral.
Uno, ¿cómo se convierte un acuerdo legal en una herramienta de fraude?
El protocolo de la Cadena de bloques originalmente estaba destinado a garantizar la seguridad y la confianza, pero los estafadores han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear varios métodos de ataque encubiertos. A continuación se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico: En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros para extraer una cantidad específica de tokens de su billetera mediante la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, pero también es aprovechada por estafadores.
Forma de operación: Los estafadores crean DApps que se hacen pasar por proyectos legítimos, induciendo a los usuarios a conectar sus billeteras y otorgar permisos. Superficialmente, se autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite ilimitado. Una vez completada la autorización, los estafadores pueden retirar todos los tokens correspondientes de la billetera del usuario en cualquier momento.
Caso real: A principios de 2023, un sitio web de phishing disfrazado de "actualización de Uniswap V3" causó pérdidas de millones de dólares en USDT y ETH a cientos de usuarios. Estas transacciones cumplían completamente con el estándar ERC-20, lo que dificultó a las víctimas recuperar sus activos a través de medios legales.
(2) Pesca de firma
Principios técnicos: Las transacciones en la cadena de bloques requieren que los usuarios generen una firma mediante una clave privada para probar la legitimidad de la transacción. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Modo de operación: El usuario recibe un mensaje disfrazado de notificación oficial, siendo dirigido a un sitio web malicioso que solicita conectar su billetera y firmar "verificar transacción". Esta transacción podría transferir directamente los activos del usuario o autorizar a los estafadores a controlar la colección de NFT del usuario.
Caso real: Una conocida comunidad de un proyecto NFT sufrió un ataque de phishing mediante firmas, varios usuarios perdieron NFTs por un valor de millones de dólares al firmar transacciones falsas de "reclamación de airdrop". Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) Tokens falsos y "ataques de polvo"
Principio técnico: La transparencia de la cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera, rastreando la actividad de las billeteras y asociándolas con individuos o empresas.
Modo de operación: Los estafadores distribuyen "polvo" a las carteras de los usuarios en forma de airdrop, y estos tokens pueden tener nombres o metadatos engañosos. Los usuarios pueden intentar canjear estos tokens, lo que permitiría a los atacantes acceder a la cartera del usuario a través de la dirección del contrato.
Caso real: En la red de Ethereum se produjo un ataque de polvo de "tokens de GAS", afectando a miles de billeteras. Algunos usuarios perdieron ETH y tokens ERC-20 debido a la curiosidad de interactuar.
Dos, ¿por qué son difíciles de detectar estas estafas?
Estos engaños tienen éxito principalmente porque se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes distingan su naturaleza maliciosa. Las principales razones incluyen:
Complejidad técnica: el código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta del problema solo después.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza.
Camuflaje ingenioso: los sitios de phishing pueden usar URL similares a los nombres de dominio oficiales, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estas estafas que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples capas:
Verificar y gestionar los permisos de autorización
Verificar enlace y origen
Usar billetera fría y firma múltiple
Manejar con cuidado las solicitudes de firma
afrontando ataques de polvo
Conclusión
La implementación de las medidas de seguridad mencionadas puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado. Sin embargo, la verdadera seguridad no solo depende de la protección técnica, sino que también requiere que los usuarios comprendan la lógica de autorización y actúen con precaución en sus comportamientos en la cadena de bloques. La interpretación de datos antes de cada firma y la revisión de permisos después de cada autorización son formas de mantener la soberanía digital.
En el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente y no se pueden modificar. Por lo tanto, internalizar la conciencia de seguridad como un hábito y mantener un equilibrio entre la confianza y la verificación es clave para proteger los activos digitales.