Armadilhas de segurança no mundo Blockchain: Desvendando fraudes em contratos inteligentes
As criptomoedas e a tecnologia Blockchain estão a mudar o panorama financeiro, mas também trouxeram novas ameaças à segurança. Os golpistas já não se limitam a explorar vulnerabilidades técnicas, mas transformam os contratos inteligentes do Blockchain em ferramentas de ataque. Eles utilizam métodos de engenharia social cuidadosamente elaborados, aproveitando a transparência e a irreversibilidade do Blockchain para converter a confiança dos usuários em meios de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações interchain, esses ataques não são apenas ocultos e difíceis de detectar, mas são ainda mais enganosos devido à sua aparência "legítima". Este artigo analisará casos reais, revelando como os golpistas transformam protocolos em veículos de ataque e fornecerá estratégias abrangentes de proteção.
I. Como um contrato legal pode se tornar uma ferramenta de fraude?
Os protocolos de Blockchain foram originalmente concebidos para garantir segurança e confiança, mas os fraudadores exploram suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização maliciosa de contratos inteligentes
Princípios técnicos:
Na Blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por golpistas.
Modo de operação:
Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a conectarem suas carteiras e a autorizarem. À primeira vista, parece que estão autorizando uma quantidade reduzida de tokens, mas na realidade pode ser um valor ilimitado. Assim que a autorização for concluída, os golpistas poderão retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Caso real:
No início de 2023, um site de phishing disfarçado de "Atualização do Uniswap V3" fez com que centenas de usuários perdessem milhões de dólares em USDT e ETH. Essas transações estavam totalmente em conformidade com o padrão ERC-20, e as vítimas tiveram dificuldade em recuperar seus ativos por meios legais.
(2) Assinatura de phishing
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas para provar a legalidade da transação. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento:
Os usuários recebem mensagens disfarçadas como notificações oficiais, sendo guiados para sites maliciosos que exigem a conexão da carteira e a assinatura de "verificação de transação". Esta transação pode, na realidade, transferir diretamente os ativos dos usuários ou autorizar os golpistas a controlar a coleção de NFTs dos usuários.
Caso real:
Uma conhecida comunidade de projeto NFT foi alvo de um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes utilizaram o padrão de assinatura EIP-712 para falsificar pedidos que pareciam seguros.
(3) Tokens falsos e "ataques de poeira"
Princípios técnicos:
A transparência do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoeda para vários endereços de carteira, rastreando a atividade das carteiras e associando-as a indivíduos ou empresas.
Modo de operação:
Os golpistas distribuem "poeira" na forma de airdrop para as carteiras dos usuários, e esses tokens podem ter nomes ou metadados enganosos. Os usuários podem tentar resgatar esses tokens, permitindo assim que os atacantes acessem as carteiras dos usuários através do endereço do contrato.
Caso real:
No rede Ethereum, ocorreu um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários perderam ETH e tokens ERC-20 devido à interação por curiosidade.
Dois, por que esses golpes são difíceis de detectar?
Esses golpes são bem-sucedidos principalmente porque se escondem nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua verdadeira natureza maliciosa. As principais razões incluem:
Complexidade técnica: o código dos contratos inteligentes e as solicitações de assinatura são difíceis de entender para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem o problema depois.
Engenharia social: os golpistas exploram fraquezas humanas, como ganância, medo ou confiança.
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante dessas fraudes que combinam questões técnicas e psicológicas, proteger os ativos requer uma estratégia de múltiplos níveis:
Verifique e gerencie as permissões de autorização
Utilize a ferramenta de verificação de autorização para revisar regularmente os registros de autorização da carteira.
Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Verifique os links e as fontes
Introduza manualmente a URL oficial, evitando clicar em links nas redes sociais ou em e-mails.
Garantir que o site utilize o nome de domínio correto e o certificado SSL.
Cuidado com domínios com erros de ortografia ou caracteres a mais.
usar carteira fria e múltiplas assinaturas
Armazene a maior parte dos ativos em uma carteira de hardware e conecte-se à rede apenas quando necessário.
Utilizar ferramentas de múltiplas assinaturas para ativos de grande valor, exigindo a confirmação da transação por várias chaves.
Tenha cuidado ao lidar com solicitações de assinatura
Leia atentamente os detalhes da transação na janela do wallet.
Utilize a funcionalidade de análise do navegador Blockchain para analisar o conteúdo da assinatura.
Criar uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
resposta a ataques de poeira
Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
Confirme a origem do token através do explorador de Blockchain, esteja atento ao envio em massa.
Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de esquemas de fraude sofisticados. No entanto, a verdadeira segurança não depende apenas da proteção técnica, mas também requer que os usuários compreendam a lógica de autorização e tenham cautela em relação ao comportamento na blockchain. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são formas de salvaguardar a própria soberania digital.
No mundo do Blockchain onde o código é lei, cada clique e cada transação são registrados de forma permanente e não podem ser alterados. Portanto, internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação é a chave para proteger os ativos digitais.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
22 gostos
Recompensa
22
5
Partilhar
Comentar
0/400
DaoGovernanceOfficer
· 08-03 13:27
*suspiro* empiricamente falando, 93,7% dessas "explorações" decorrem de falhas básicas de governança...
Revelação de fraudes com contratos inteligentes: armadilhas de segurança na Blockchain e estratégias de proteção
Armadilhas de segurança no mundo Blockchain: Desvendando fraudes em contratos inteligentes
As criptomoedas e a tecnologia Blockchain estão a mudar o panorama financeiro, mas também trouxeram novas ameaças à segurança. Os golpistas já não se limitam a explorar vulnerabilidades técnicas, mas transformam os contratos inteligentes do Blockchain em ferramentas de ataque. Eles utilizam métodos de engenharia social cuidadosamente elaborados, aproveitando a transparência e a irreversibilidade do Blockchain para converter a confiança dos usuários em meios de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações interchain, esses ataques não são apenas ocultos e difíceis de detectar, mas são ainda mais enganosos devido à sua aparência "legítima". Este artigo analisará casos reais, revelando como os golpistas transformam protocolos em veículos de ataque e fornecerá estratégias abrangentes de proteção.
I. Como um contrato legal pode se tornar uma ferramenta de fraude?
Os protocolos de Blockchain foram originalmente concebidos para garantir segurança e confiança, mas os fraudadores exploram suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização maliciosa de contratos inteligentes
Princípios técnicos: Na Blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por golpistas.
Modo de operação: Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a conectarem suas carteiras e a autorizarem. À primeira vista, parece que estão autorizando uma quantidade reduzida de tokens, mas na realidade pode ser um valor ilimitado. Assim que a autorização for concluída, os golpistas poderão retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Caso real: No início de 2023, um site de phishing disfarçado de "Atualização do Uniswap V3" fez com que centenas de usuários perdessem milhões de dólares em USDT e ETH. Essas transações estavam totalmente em conformidade com o padrão ERC-20, e as vítimas tiveram dificuldade em recuperar seus ativos por meios legais.
(2) Assinatura de phishing
Princípios técnicos: As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas para provar a legalidade da transação. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento: Os usuários recebem mensagens disfarçadas como notificações oficiais, sendo guiados para sites maliciosos que exigem a conexão da carteira e a assinatura de "verificação de transação". Esta transação pode, na realidade, transferir diretamente os ativos dos usuários ou autorizar os golpistas a controlar a coleção de NFTs dos usuários.
Caso real: Uma conhecida comunidade de projeto NFT foi alvo de um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes utilizaram o padrão de assinatura EIP-712 para falsificar pedidos que pareciam seguros.
(3) Tokens falsos e "ataques de poeira"
Princípios técnicos: A transparência do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoeda para vários endereços de carteira, rastreando a atividade das carteiras e associando-as a indivíduos ou empresas.
Modo de operação: Os golpistas distribuem "poeira" na forma de airdrop para as carteiras dos usuários, e esses tokens podem ter nomes ou metadados enganosos. Os usuários podem tentar resgatar esses tokens, permitindo assim que os atacantes acessem as carteiras dos usuários através do endereço do contrato.
Caso real: No rede Ethereum, ocorreu um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários perderam ETH e tokens ERC-20 devido à interação por curiosidade.
Dois, por que esses golpes são difíceis de detectar?
Esses golpes são bem-sucedidos principalmente porque se escondem nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua verdadeira natureza maliciosa. As principais razões incluem:
Complexidade técnica: o código dos contratos inteligentes e as solicitações de assinatura são difíceis de entender para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem o problema depois.
Engenharia social: os golpistas exploram fraquezas humanas, como ganância, medo ou confiança.
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante dessas fraudes que combinam questões técnicas e psicológicas, proteger os ativos requer uma estratégia de múltiplos níveis:
Verifique e gerencie as permissões de autorização
Verifique os links e as fontes
usar carteira fria e múltiplas assinaturas
Tenha cuidado ao lidar com solicitações de assinatura
resposta a ataques de poeira
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de esquemas de fraude sofisticados. No entanto, a verdadeira segurança não depende apenas da proteção técnica, mas também requer que os usuários compreendam a lógica de autorização e tenham cautela em relação ao comportamento na blockchain. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são formas de salvaguardar a própria soberania digital.
No mundo do Blockchain onde o código é lei, cada clique e cada transação são registrados de forma permanente e não podem ser alterados. Portanto, internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação é a chave para proteger os ativos digitais.