Sécurité des pièges dans le monde de la Blockchain : Révélation des arnaques aux smart contracts
Les crypto-monnaies et la technologie Blockchain transforment le paysage financier, mais elles apportent également de nouvelles menaces à la sécurité. Les escrocs ne se limitent plus à exploiter les vulnérabilités techniques, mais transforment les smart contracts Blockchain eux-mêmes en outils d'attaque. Grâce à des techniques d'ingénierie sociale soigneusement conçues, ils utilisent la transparence et l'irréversibilité de la Blockchain pour convertir la confiance des utilisateurs en moyens de voler des actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitime". Cet article analysera des cas réels, révélant comment les escrocs transforment les protocoles en vecteurs d'attaque et proposera des stratégies de protection complètes.
I. Comment un contrat légal peut-il devenir un outil de fraude ?
Le protocole Blockchain était à l'origine conçu pour garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, associées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques méthodes courantes et leurs détails techniques :
(1) Autorisation de smart contracts malveillants
Principe technique :
Sur des Blockchains comme Ethereum, le standard de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des escrocs.
Mode de fonctionnement :
Les escrocs créent des DApps déguisées en projets légitimes, incitant les utilisateurs à connecter leurs portefeuilles et à autoriser. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela peut être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer à tout moment tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Au début de 2023, un site de phishing déguisé en "Mise à jour Uniswap V3" a entraîné des pertes de plusieurs millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Ces transactions étaient entièrement conformes à la norme ERC-20, et les victimes ont du mal à récupérer leurs actifs par des moyens juridiques.
(2) Phishing de signature
Principes techniques :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Les escrocs exploitent ce processus pour falsifier des demandes de signature afin de voler des actifs.
Mode de fonctionnement :
Les utilisateurs reçoivent des messages déguisés en notifications officielles, les dirigeant vers des sites malveillants demandant de connecter leur portefeuille et de signer "vérifier la transaction". Cette transaction peut en fait transférer directement les actifs des utilisateurs ou autoriser les escrocs à contrôler la collection de NFT des utilisateurs.
Cas d'utilisation réel :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "faux airdrop". Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes qui semblaient sécurisées.
(3) jetons frauduleux et "attaque de poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse. Les escrocs tirent parti de cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre les activités des portefeuilles et de les associer à des individus ou des entreprises.
Mode de fonctionnement :
Les escrocs distribuent des "poussières" sous forme d'airdrop dans les portefeuilles des utilisateurs, ces jetons peuvent avoir des noms ou des métadonnées trompeuses. Les utilisateurs peuvent essayer de liquider ces jetons, permettant ainsi aux attaquants d'accéder au portefeuille de l'utilisateur via l'adresse du contrat.
Cas d'utilisation réel :
Une attaque par "tokens GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des tokens ERC-20 en raison de leur curiosité à interagir.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent principalement parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, ce qui rend difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Complexité technique : le code des smart contracts et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent le problème après coup.
Ingénierie sociale : Les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Déguisement astucieux : Les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à un certificat HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces arnaques qui mêlent techniques et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux :
Vérifiez et gérez les autorisations.
Utiliser l'outil de vérification des autorisations pour examiner régulièrement les enregistrements d'autorisation du portefeuille.
Révoquez les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Vérifiez le lien et la source
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL.
Méfiez-vous des fautes d'orthographe ou des caractères superflus dans le nom de domaine.
Utiliser un portefeuille froid et une signature multiple
Stockez la majorité de vos actifs dans un portefeuille matériel et connectez-le au réseau uniquement lorsque cela est nécessaire.
Utilisez des outils de multi-signature pour les actifs de grande valeur, nécessitant la confirmation des transactions par plusieurs clés.
Traitez les demandes de signature avec prudence
Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utilisez la fonction d'analyse du navigateur Blockchain pour analyser le contenu de la signature.
Créez un portefeuille indépendant pour les opérations à haut risque et stockez une petite quantité d'actifs.
faire face aux attaques de poussière
Après avoir reçu des jetons inconnus, n'interagissez pas. Marquez-les comme "spam" ou cachez-les.
Confirmer l'origine des tokens via le Blockchain explorer, être vigilant face aux envois en masse.
Évitez de rendre votre adresse de portefeuille publique ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut considérablement réduire le risque de devenir victime de plans de fraude sophistiqués. Cependant, la véritable sécurité ne repose pas seulement sur les protections techniques, mais nécessite également une compréhension par l'utilisateur de la logique d'autorisation et une prudence dans les comportements sur la chaîne. L'analyse des données avant chaque signature et la révision des autorisations après chaque autorisation sont autant de moyens de préserver sa souveraineté numérique.
Dans le monde du Blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente et ne peuvent pas être modifiés. Par conséquent, il est essentiel d'intégrer la conscience de la sécurité en tant qu'habitude et de maintenir un équilibre entre la confiance et la vérification, afin de protéger les actifs numériques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
22 J'aime
Récompense
22
5
Partager
Commentaire
0/400
DaoGovernanceOfficer
· 08-03 13:27
*soupir* empiriquement parlant, 93,7 % de ces "exploits" proviennent de simples négligences de gouvernance...
Voir l'originalRépondre0
PanicSeller
· 08-03 00:02
Fuir après avoir subi de lourdes pertes.
Voir l'originalRépondre0
ser_we_are_ngmi
· 08-01 23:35
J'ai assez mangé de pastèques.
Voir l'originalRépondre0
FlashLoanLord
· 08-01 23:35
Le piège est trop profond, non ?
Voir l'originalRépondre0
fren.eth
· 08-01 23:33
Pour être honnête, il vaut mieux encore balayer aveuglément le shitcoin.
Démystification des arnaques aux smart contracts : pièges de sécurité Blockchain et stratégies de protection
Sécurité des pièges dans le monde de la Blockchain : Révélation des arnaques aux smart contracts
Les crypto-monnaies et la technologie Blockchain transforment le paysage financier, mais elles apportent également de nouvelles menaces à la sécurité. Les escrocs ne se limitent plus à exploiter les vulnérabilités techniques, mais transforment les smart contracts Blockchain eux-mêmes en outils d'attaque. Grâce à des techniques d'ingénierie sociale soigneusement conçues, ils utilisent la transparence et l'irréversibilité de la Blockchain pour convertir la confiance des utilisateurs en moyens de voler des actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitime". Cet article analysera des cas réels, révélant comment les escrocs transforment les protocoles en vecteurs d'attaque et proposera des stratégies de protection complètes.
I. Comment un contrat légal peut-il devenir un outil de fraude ?
Le protocole Blockchain était à l'origine conçu pour garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, associées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques méthodes courantes et leurs détails techniques :
(1) Autorisation de smart contracts malveillants
Principe technique : Sur des Blockchains comme Ethereum, le standard de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des escrocs.
Mode de fonctionnement : Les escrocs créent des DApps déguisées en projets légitimes, incitant les utilisateurs à connecter leurs portefeuilles et à autoriser. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela peut être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer à tout moment tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel : Au début de 2023, un site de phishing déguisé en "Mise à jour Uniswap V3" a entraîné des pertes de plusieurs millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Ces transactions étaient entièrement conformes à la norme ERC-20, et les victimes ont du mal à récupérer leurs actifs par des moyens juridiques.
(2) Phishing de signature
Principes techniques : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Les escrocs exploitent ce processus pour falsifier des demandes de signature afin de voler des actifs.
Mode de fonctionnement : Les utilisateurs reçoivent des messages déguisés en notifications officielles, les dirigeant vers des sites malveillants demandant de connecter leur portefeuille et de signer "vérifier la transaction". Cette transaction peut en fait transférer directement les actifs des utilisateurs ou autoriser les escrocs à contrôler la collection de NFT des utilisateurs.
Cas d'utilisation réel : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "faux airdrop". Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes qui semblaient sécurisées.
(3) jetons frauduleux et "attaque de poussière"
Principe technique : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse. Les escrocs tirent parti de cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre les activités des portefeuilles et de les associer à des individus ou des entreprises.
Mode de fonctionnement : Les escrocs distribuent des "poussières" sous forme d'airdrop dans les portefeuilles des utilisateurs, ces jetons peuvent avoir des noms ou des métadonnées trompeuses. Les utilisateurs peuvent essayer de liquider ces jetons, permettant ainsi aux attaquants d'accéder au portefeuille de l'utilisateur via l'adresse du contrat.
Cas d'utilisation réel : Une attaque par "tokens GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des tokens ERC-20 en raison de leur curiosité à interagir.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent principalement parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, ce qui rend difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Complexité technique : le code des smart contracts et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent le problème après coup.
Ingénierie sociale : Les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Déguisement astucieux : Les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à un certificat HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces arnaques qui mêlent techniques et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux :
Vérifiez et gérez les autorisations.
Vérifiez le lien et la source
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
faire face aux attaques de poussière
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut considérablement réduire le risque de devenir victime de plans de fraude sophistiqués. Cependant, la véritable sécurité ne repose pas seulement sur les protections techniques, mais nécessite également une compréhension par l'utilisateur de la logique d'autorisation et une prudence dans les comportements sur la chaîne. L'analyse des données avant chaque signature et la révision des autorisations après chaque autorisation sont autant de moyens de préserver sa souveraineté numérique.
Dans le monde du Blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente et ne peuvent pas être modifiés. Par conséquent, il est essentiel d'intégrer la conscience de la sécurité en tant qu'habitude et de maintenir un équilibre entre la confiance et la vérification, afin de protéger les actifs numériques.