Безопасные ловушки в мире Блокчейн: разоблачение мошенничества со смарт-контрактами
Криптовалюты и технологии Блокчейн меняют финансовую среду, но также приносят новые угрозы безопасности. Мошенники больше не ограничиваются использованием уязвимостей технологий, а превращают смарт-контракты Блокчейн в инструменты атаки. Они с помощью тщательно разработанных методов социальной инженерии используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в средство похищения активов. От подделки смарт-контрактов до манипуляций с кроссчейновыми транзакциями, эти атаки не только скрытны и трудны для обнаружения, но также более обманчивы из-за своего "законного" внешнего вида. В этой статье будут проанализированы реальные случаи, раскрывающие, как мошенники превращают протоколы в средства атаки, и будут предложены комплексные стратегии защиты.
Один. Как легальный договор становится инструментом мошенничества?
Блокчейн-протоколы изначально были предназначены для обеспечения безопасности и доверия, но мошенники используют их особенности, сочетая с неосторожностью пользователей, чтобы создать различные скрытые способы атаки. Ниже приведены некоторые распространенные приемы и их технические детали:
(1) злонамеренное авторизация смарт-контрактов
Технический принцип:
На таких Блокчейн, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" разрешать третьим лицам извлекать определенное количество токенов из их кошельков. Эта функция широко используется в DeFi-протоколах, но также используется мошенниками.
Способ работы:
Мошенники создают DApp, маскирующийся под легальный проект, и诱导用户 подключить кошелек и授权。На поверхности это авторизация небольшого количества токенов, но на самом деле это может быть неограниченный лимит. Как только авторизация завершена, мошенники могут в любое время извлекать все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, замаскировавшийся под "Обновление Uniswap V3", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Эти транзакции полностью соответствовали стандарту ERC-20, и жертвам было трудно вернуть свои активы через юридические методы.
(2) Подпись Фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователей создания подписи с помощью приватного ключа для подтверждения законности транзакции. Мошенники используют этот процесс, подделывая запросы на подпись для кражи активов.
Способ работы:
Пользователь получает сообщения, замаскированные под официальные уведомления, и его направляют на вредоносный сайт, где требуется подключение кошелька и подтверждение "проверки транзакции". Эта транзакция может фактически напрямую перевести активы пользователя или предоставить мошеннику контроль над коллекцией NFT пользователя.
Реальный случай:
Некоторые известные сообщества NFT-проектов столкнулись с атакой фишинга через подпись, в результате чего несколько пользователей потеряли NFT на сумму несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Злоумышленники использовали стандарт подписи EIP-712 для подделки, казалось бы, безопасных запросов.
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любые адреса. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, отслеживая активность кошелька и связывая ее с отдельными лицами или компаниями.
Способ работы:
Мошенники раздают "пыль" в виде аирдропа на кошельки пользователей, эти токены могут иметь заманчивые названия или метаданные. Пользователи могут попытаться обналичить эти токены, что позволит злоумышленникам получить доступ к кошелькам пользователей через адрес контракта.
Реальный случай:
В сети Эфириума произошла атака "пухом" на GAS-токены, которая затронула тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытного взаимодействия.
Два, почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны главным образом потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:
Техническая сложность: код смарт-контрактов и запросы на подпись трудно понять не техническим пользователям.
Законность на блокчейне: все транзакции фиксируются на Блокчейн, что кажется прозрачным, но жертвы часто осознают проблему лишь позже.
Социальная инженерия: мошенники используют слабости человеческой натуры, такие как жадность, страх или доверие.
Умелая маскировка: Фишинговые сайты могут использовать URL, схожие с официальным доменным именем, и даже повысить доверие с помощью сертификатов HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Перед лицом этих афер технической и психологической войны защита активов требует многоуровневой стратегии:
Проверьте и управляйте правами доступа
Регулярно проверяйте записи авторизации кошелька с помощью инструмента проверки авторизации.
Отмените ненужные разрешения, особенно неограниченные разрешения для неизвестных адресов.
Перед каждым авторизацией убедитесь, что DApp поступает из надежного источника.
Проверить ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат.
Будьте осторожны с опечатками или лишними символами в доменных именах.
Используйте холодный кошелек и мультиподпись
Храните большую часть активов в аппаратных кошельках и подключайте сеть только при необходимости.
Используйте мультиподпись для крупных активов, требуя подтверждения транзакций несколькими ключами.
Осторожно обрабатывайте запросы на подпись
Внимательно прочитайте детали транзакции в всплывающем окне кошелька.
Используйте функцию анализа содержимого подписи в Блокчейн-обозревателе.
Создайте отдельный кошелек для высокорисковых операций и храните небольшое количество активов.
Противодействие атаке пыли
После получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "спам" или скрыть.
Подтвердите источник токенов через Блокчейн-эксплорер, будьте осторожны с массовыми отправками.
Избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Реализация вышеуказанных мер безопасности может значительно снизить риск стать жертвой высококлассных мошеннических схем. Однако настоящая безопасность зависит не только от технической защиты, но и от понимания пользователями логики авторизации и осторожности в цепочечных действиях. Каждый анализ данных перед подписью, каждая проверка прав после авторизации — это поддержание собственного цифрового суверенитета.
В мире Блокчейн, где код является законом, каждое нажатие, каждая транзакция навсегда записываются и не могут быть изменены. Поэтому важно внутренне усвоить безопасность как привычку и поддерживать баланс между доверием и проверкой, что является ключом к защите цифровых активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
22 Лайков
Награда
22
5
Поделиться
комментарий
0/400
DaoGovernanceOfficer
· 08-03 13:27
*вздох* эмпирически говоря, 93.7% из этих "эксплойтов" возникают из-за основных недостатков управления...
Посмотреть ОригиналОтветить0
PanicSeller
· 08-03 00:02
Убытки ужасные, просто убегаю
Посмотреть ОригиналОтветить0
ser_we_are_ngmi
· 08-01 23:35
Наелся арбузов.
Посмотреть ОригиналОтветить0
FlashLoanLord
· 08-01 23:35
ловушка слишком глубокая, не так ли
Посмотреть ОригиналОтветить0
fren.eth
· 08-01 23:33
Честно говоря, даже лучше просто слепо майнить шиткоин.
Секреты мошенничества со смарт-контрактами: ловушки безопасности Блокчейн и стратегии защиты
Безопасные ловушки в мире Блокчейн: разоблачение мошенничества со смарт-контрактами
Криптовалюты и технологии Блокчейн меняют финансовую среду, но также приносят новые угрозы безопасности. Мошенники больше не ограничиваются использованием уязвимостей технологий, а превращают смарт-контракты Блокчейн в инструменты атаки. Они с помощью тщательно разработанных методов социальной инженерии используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в средство похищения активов. От подделки смарт-контрактов до манипуляций с кроссчейновыми транзакциями, эти атаки не только скрытны и трудны для обнаружения, но также более обманчивы из-за своего "законного" внешнего вида. В этой статье будут проанализированы реальные случаи, раскрывающие, как мошенники превращают протоколы в средства атаки, и будут предложены комплексные стратегии защиты.
Один. Как легальный договор становится инструментом мошенничества?
Блокчейн-протоколы изначально были предназначены для обеспечения безопасности и доверия, но мошенники используют их особенности, сочетая с неосторожностью пользователей, чтобы создать различные скрытые способы атаки. Ниже приведены некоторые распространенные приемы и их технические детали:
(1) злонамеренное авторизация смарт-контрактов
Технический принцип: На таких Блокчейн, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" разрешать третьим лицам извлекать определенное количество токенов из их кошельков. Эта функция широко используется в DeFi-протоколах, но также используется мошенниками.
Способ работы: Мошенники создают DApp, маскирующийся под легальный проект, и诱导用户 подключить кошелек и授权。На поверхности это авторизация небольшого количества токенов, но на самом деле это может быть неограниченный лимит. Как только авторизация завершена, мошенники могут в любое время извлекать все соответствующие токены из кошелька пользователя.
Реальный случай: В начале 2023 года фишинговый сайт, замаскировавшийся под "Обновление Uniswap V3", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Эти транзакции полностью соответствовали стандарту ERC-20, и жертвам было трудно вернуть свои активы через юридические методы.
(2) Подпись Фишинг
Технический принцип: Блокчейн-транзакции требуют от пользователей создания подписи с помощью приватного ключа для подтверждения законности транзакции. Мошенники используют этот процесс, подделывая запросы на подпись для кражи активов.
Способ работы: Пользователь получает сообщения, замаскированные под официальные уведомления, и его направляют на вредоносный сайт, где требуется подключение кошелька и подтверждение "проверки транзакции". Эта транзакция может фактически напрямую перевести активы пользователя или предоставить мошеннику контроль над коллекцией NFT пользователя.
Реальный случай: Некоторые известные сообщества NFT-проектов столкнулись с атакой фишинга через подпись, в результате чего несколько пользователей потеряли NFT на сумму несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Злоумышленники использовали стандарт подписи EIP-712 для подделки, казалось бы, безопасных запросов.
(3) Ложные токены и "атака пыли"
Технический принцип: Открытость Блокчейна позволяет любому отправлять токены на любые адреса. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, отслеживая активность кошелька и связывая ее с отдельными лицами или компаниями.
Способ работы: Мошенники раздают "пыль" в виде аирдропа на кошельки пользователей, эти токены могут иметь заманчивые названия или метаданные. Пользователи могут попытаться обналичить эти токены, что позволит злоумышленникам получить доступ к кошелькам пользователей через адрес контракта.
Реальный случай: В сети Эфириума произошла атака "пухом" на GAS-токены, которая затронула тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытного взаимодействия.
Два, почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны главным образом потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:
Техническая сложность: код смарт-контрактов и запросы на подпись трудно понять не техническим пользователям.
Законность на блокчейне: все транзакции фиксируются на Блокчейн, что кажется прозрачным, но жертвы часто осознают проблему лишь позже.
Социальная инженерия: мошенники используют слабости человеческой натуры, такие как жадность, страх или доверие.
Умелая маскировка: Фишинговые сайты могут использовать URL, схожие с официальным доменным именем, и даже повысить доверие с помощью сертификатов HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Перед лицом этих афер технической и психологической войны защита активов требует многоуровневой стратегии:
Проверьте и управляйте правами доступа
Проверить ссылку и источник
Используйте холодный кошелек и мультиподпись
Осторожно обрабатывайте запросы на подпись
Противодействие атаке пыли
Заключение
Реализация вышеуказанных мер безопасности может значительно снизить риск стать жертвой высококлассных мошеннических схем. Однако настоящая безопасность зависит не только от технической защиты, но и от понимания пользователями логики авторизации и осторожности в цепочечных действиях. Каждый анализ данных перед подписью, каждая проверка прав после авторизации — это поддержание собственного цифрового суверенитета.
В мире Блокчейн, где код является законом, каждое нажатие, каждая транзакция навсегда записываются и не могут быть изменены. Поэтому важно внутренне усвоить безопасность как привычку и поддерживать баланс между доверием и проверкой, что является ключом к защите цифровых активов.