Contratos inteligentes com vulnerabilidades: um novo desafio para a segurança do Blockchain
As criptomoedas e a tecnologia Blockchain estão a remodelar o sistema financeiro, mas ao mesmo tempo trazem novas ameaças à segurança. Ao contrário das falhas tecnológicas tradicionais, alguns indivíduos mal-intencionados começaram a usar os contratos inteligentes Blockchain como ferramentas de ataque. Eles elaboram cuidadosamente armadilhas de engenharia social, utilizando a transparência e a irreversibilidade do Blockchain para transformar a confiança dos utilizadores em meios de roubo de ativos. Desde a falsificação de contratos inteligentes até à manipulação de transações interligadas, estes ataques não só são discretos e difíceis de detectar, mas também são mais enganosos devido à sua aparência "legítima". Este artigo analisará exemplos para revelar como os indivíduos mal-intencionados transformam os protocolos em veículos de ataque, e fornecerá estratégias abrangentes de proteção.
I. Como os protocolos se tornam ferramentas de fraude?
A protocol de blockchain deveria garantir segurança e confiança, mas elementos ilícitos aproveitam-se das suas características, combinadas com a negligência dos usuários, para criar várias formas encobertas de ataque:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos:
Na blockchain como a Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por elementos criminosos.
Modo de operação:
Criminosos criam DApps disfarçados de projetos legítimos, induzindo os usuários a conectar suas carteiras e autorizar. À primeira vista, parece que estão autorizando uma quantidade limitada de tokens, mas na realidade pode ser um limite ilimitado. Após a autorização, os criminosos podem retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
(2) assinatura de phishing
Princípios técnicos:
As transações em Blockchain requerem que os usuários gerem assinaturas através de uma chave privada. Indivíduos mal-intencionados exploram esse processo para falsificar solicitações de assinatura e roubar ativos.
Funcionamento:
Os usuários recebem mensagens disfarçadas como notificações oficiais, sendo guiados para sites maliciosos para assinar "verificar transação". Esta transação pode transferir diretamente os ativos dos usuários ou autorizar o controle da coleção de NFTs dos usuários.
(3) Tokens falsos e "ataques de poeira"
Princípios técnicos:
A publicidade do Blockchain permite o envio de tokens para qualquer endereço. Os criminosos aproveitam isso para rastrear atividades de carteiras enviando pequenas quantias de criptomoedas.
Funcionamento:
Indivíduos mal-intencionados distribuem tokens de "poeira" na forma de airdrop, induzindo os usuários a visitar um determinado site para consultar detalhes. Através da análise das transações subsequentes dos usuários, identificam endereços de carteiras ativas e realizam fraudes direcionadas.
Dois, por que esses golpes são difíceis de detectar?
Esses golpes são bem-sucedidos principalmente porque estão escondidos nos mecanismos legais do Blockchain:
Complexidade técnica: o código de contratos inteligentes e os pedidos de assinatura são difíceis de entender para o usuário comum.
Legalidade na cadeia: todas as transações são registradas na Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem o problema depois.
Engenharia social: explorar fraquezas humanas, como ganância, medo ou confiança.
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao domínio oficial, e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a carteira de criptomoedas?
Perante estas fraudes que coexistem entre a tecnologia e a guerra psicológica, proteger os ativos requer uma estratégia em múltiplos níveis:
Verificar e gerir permissões de autorização
Utilize a ferramenta de verificação de autorizações para revisar regularmente os registros de autorizações da carteira.
Revogar autorizações desnecessárias, especialmente as autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que a fonte do DApp é confiável.
Verifique o link e a fonte
Introduza manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
Certifique-se de que o site utiliza o domínio correto e o certificado SSL.
Esteja atento a erros de ortografia de domínios ou caracteres a mais.
Usar carteiras frias e assinaturas múltiplas
Armazenar a maior parte dos ativos em carteiras de hardware, conectando à rede apenas quando necessário.
Utilizar ferramentas de múltiplas assinaturas para ativos de grande valor, exigindo a confirmação da transação por várias chaves.
Trate os pedidos de assinatura com cautela
Leia atentamente os detalhes da transação a cada assinatura.
Utilize ferramentas para analisar o conteúdo da assinatura ou consulte um especialista.
Crie uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
resposta a ataques de poeira
Após receber tokens desconhecidos, não interaja com eles, marque-os como "lixo" ou oculte-os.
Confirme a origem do token através do blockchain.
Evite divulgar o endereço da carteira ou utilize um novo endereço para operações sensíveis.
Conclusão
Implementar as medidas de segurança acima pode reduzir significativamente os riscos, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma defesa física e a multi-assinatura distribui o risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são a última linha de defesa. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são formas de proteger a soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa principal reside em: internalizar a consciência de segurança como um hábito, mantendo um equilíbrio entre confiança e verificação. No mundo Blockchain, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Manter-se alerta é a chave para avançar com segurança.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
22 Curtidas
Recompensa
22
7
Compartilhar
Comentário
0/400
BlockchainTherapist
· 07-24 02:10
Velhos buracos, novos golpes. O caminho não mudou, ainda é muito ganancioso~
Ver originalResponder0
MidnightSnapHunter
· 07-21 02:43
Comprar moeda sem saber e ainda querer contratos? Aconselho a desistir.
Ver originalResponder0
SelfMadeRuggee
· 07-21 02:43
não é nada de novo.. já condenou vários projetos
Ver originalResponder0
AirdropBuffet
· 07-21 02:38
Blockchain é uma armadilha, cada passo é um truque.
Ver originalResponder0
FancyResearchLab
· 07-21 02:37
Outro buraco inteligente que precisa puxar o tapete em menos de 24 horas. Valor acadêmico bombear.
Ver originalResponder0
SatoshiNotNakamoto
· 07-21 02:37
Oh, este contrato tem muitas armadilhas. Não toque.
Ver originalResponder0
MaticHoleFiller
· 07-21 02:14
A verdadeira tecnologia ainda depende de resolver problemas.
contratos inteligentes como nova ferramenta de fraude: Análise abrangente das ameaças à segurança do Blockchain e estratégias de proteção
Contratos inteligentes com vulnerabilidades: um novo desafio para a segurança do Blockchain
As criptomoedas e a tecnologia Blockchain estão a remodelar o sistema financeiro, mas ao mesmo tempo trazem novas ameaças à segurança. Ao contrário das falhas tecnológicas tradicionais, alguns indivíduos mal-intencionados começaram a usar os contratos inteligentes Blockchain como ferramentas de ataque. Eles elaboram cuidadosamente armadilhas de engenharia social, utilizando a transparência e a irreversibilidade do Blockchain para transformar a confiança dos utilizadores em meios de roubo de ativos. Desde a falsificação de contratos inteligentes até à manipulação de transações interligadas, estes ataques não só são discretos e difíceis de detectar, mas também são mais enganosos devido à sua aparência "legítima". Este artigo analisará exemplos para revelar como os indivíduos mal-intencionados transformam os protocolos em veículos de ataque, e fornecerá estratégias abrangentes de proteção.
I. Como os protocolos se tornam ferramentas de fraude?
A protocol de blockchain deveria garantir segurança e confiança, mas elementos ilícitos aproveitam-se das suas características, combinadas com a negligência dos usuários, para criar várias formas encobertas de ataque:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos: Na blockchain como a Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por elementos criminosos.
Modo de operação: Criminosos criam DApps disfarçados de projetos legítimos, induzindo os usuários a conectar suas carteiras e autorizar. À primeira vista, parece que estão autorizando uma quantidade limitada de tokens, mas na realidade pode ser um limite ilimitado. Após a autorização, os criminosos podem retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
(2) assinatura de phishing
Princípios técnicos: As transações em Blockchain requerem que os usuários gerem assinaturas através de uma chave privada. Indivíduos mal-intencionados exploram esse processo para falsificar solicitações de assinatura e roubar ativos.
Funcionamento: Os usuários recebem mensagens disfarçadas como notificações oficiais, sendo guiados para sites maliciosos para assinar "verificar transação". Esta transação pode transferir diretamente os ativos dos usuários ou autorizar o controle da coleção de NFTs dos usuários.
(3) Tokens falsos e "ataques de poeira"
Princípios técnicos: A publicidade do Blockchain permite o envio de tokens para qualquer endereço. Os criminosos aproveitam isso para rastrear atividades de carteiras enviando pequenas quantias de criptomoedas.
Funcionamento: Indivíduos mal-intencionados distribuem tokens de "poeira" na forma de airdrop, induzindo os usuários a visitar um determinado site para consultar detalhes. Através da análise das transações subsequentes dos usuários, identificam endereços de carteiras ativas e realizam fraudes direcionadas.
Dois, por que esses golpes são difíceis de detectar?
Esses golpes são bem-sucedidos principalmente porque estão escondidos nos mecanismos legais do Blockchain:
Três, como proteger a carteira de criptomoedas?
Perante estas fraudes que coexistem entre a tecnologia e a guerra psicológica, proteger os ativos requer uma estratégia em múltiplos níveis:
Verificar e gerir permissões de autorização
Verifique o link e a fonte
Usar carteiras frias e assinaturas múltiplas
Trate os pedidos de assinatura com cautela
resposta a ataques de poeira
Conclusão
Implementar as medidas de segurança acima pode reduzir significativamente os riscos, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma defesa física e a multi-assinatura distribui o risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são a última linha de defesa. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são formas de proteger a soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa principal reside em: internalizar a consciência de segurança como um hábito, mantendo um equilíbrio entre confiança e verificação. No mundo Blockchain, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Manter-se alerta é a chave para avançar com segurança.