смартконтракти вразливості: нові виклики безпеки Блокчейн
Криптовалюти та технології блокчейн перебудовують фінансову систему, але одночасно створюють нові загрози безпеці. На відміну від традиційних технологічних вразливостей, деякі злочинці почали використовувати самі смартконтракти блокчейн як інструмент атаки. Вони ретельно розробляють соціальні інженерні пастки, використовуючи прозорість та незворотність блокчейн, перетворюючи довіру користувачів на засіб для крадіжки активів. Від підробки смартконтрактів до маніпуляцій з крос-ланцюговими транзакціями, ці атаки не лише приховані та складні для виявлення, але й завдяки своєму "легальному" вигляду є більш оманливими. У цій статті через приклади буде проаналізовано, як злочинці перетворюють протоколи на засоби атаки, а також представлені комплексні стратегії захисту.
Одне. Як угода стає інструментом шахрайства?
Блокчейн протоколи повинні забезпечувати безпеку та довіру, але зловмисники використовують їхні особливості, поєднуючи з недбалістю користувачів, щоб створити різноманітні приховані способи атак:
(1) зловмисні смартконтракти
Технічний принцип:
На блокчейнах, таких як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третіх осіб на вилучення з їхнього гаманця визначеної кількості токенів. Ця функція широко використовується у протоколах DeFi, але також використовується злочинцями.
Спосіб роботи:
Злочинці створюють DApp, що маскуються під легальні проекти, спонукаючи користувачів підключати гаманці та надавати дозволи. На перший погляд, це дозволяє авторизувати невелику кількість токенів, але насправді може бути безмежний ліміт. Після завершення авторизації злочинці можуть в будь-який момент виводити з гаманця користувачів всі відповідні токени.
(2) підписна рибалка
Технічний принцип:
Блокчейн-транзакції потребують від користувачів генерації підпису за допомогою приватного ключа. Зловмисники використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб функціонування:
Користувач отримує повідомлення, що маскується під офіційне повідомлення, і його спрямовують на шкідливий сайт для підписання "перевірки транзакції". Ця транзакція може безпосередньо перевести активи користувача або надати доступ до контролю над колекцією NFT користувача.
(3) Фальшиві токени та "атакування пилом"
Технічні принципи:
Відкритість Блокчейн дозволяє надсилати токени на будь-яку адресу. Зловмисники користуються цим, відправляючи невелику кількість криптовалюти для відстеження діяльності гаманців.
Спосіб роботи:
Незаконні особи розподіляють токени "пил" у формі аерозольних викидів, спонукаючи користувачів відвідати певний веб-сайт для отримання деталей. Аналізуючи подальші транзакції користувачів, вони визначають активні адреси гаманців і здійснюють точне шахрайство.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні переважно тому, що вони приховані в легітимних механізмах Блокчейн:
Технічна складність: код смартконтракту та запити на підписання важко зрозуміти звичайним користувачам.
Законність на ланцюгу: усі транзакції записуються в Блокчейн, що здається прозорим, але жертви зазвичай усвідомлюють проблему лише згодом.
Соціальна інженерія: використання людських слабкостей, таких як жадібність, страх або довіра.
Маскування досконале: Фішингові сайти можуть використовувати URL, які схожі на офіційні домени, навіть підвищуючи довіру через сертифікати HTTPS.
Три, як захистити криптовалютний гаманець?
Стикаючись з цими шахрайствами, які поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії:
Перевірка та управління правами доступу
Використовуйте інструмент перевірки авторизації для регулярного перегляду записів авторизації гаманця.
Скасувати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
Перед кожним наданням дозволу переконайтесь, що джерело DApp є надійним.
перевірка посилання та джерела
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Забезпечте правильне використання доменного імені та SSL-сертифіката на сайті.
Будьте обережні з помилками в написанні доменів або зайвими символами.
Використовуйте холодний гаманець та мультипідпис
Зберігайте більшість активів у апаратних гаманцях, підключайте до мережі лише за необхідності.
Використовуйте інструменти з багатопідписом для великих активів, які вимагають підтвердження транзакцій кількома ключами.
Обережно обробляйте запити на підпис
Уважно читайте деталі транзакції під час кожного підпису.
Використовуйте інструменти для аналізу вмісту підпису або проконсультуйтесь з експертом.
Створіть окремий гаманець для високих ризиків, зберігайте невелику кількість активів.
реагування на атаки пилу
Не взаємодійте з невідомими токенами після їх отримання, позначте їх як "сміття" або сховайте.
Підтвердьте джерело токена через Блокчейн браузер.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Впровадження вищезгаданих заходів безпеки може значно знизити ризики, але справжня безпека не залежить лише від технологій. Коли апаратні гаманці створюють фізичну лінію оборони та багатопідписові рішення розподіляють ризики, розуміння користувачем логіки авторизації та обережність щодо поведінки в ланцюгу є останньою лінією оборони. Аналіз даних перед кожним підписанням, перевірка прав після кожної авторизації є підтримкою цифрового суверенітету.
В майбутньому, незалежно від того, як розвиватиметься технологія, основний захист завжди полягатиме в тому, щоб інтегрувати усвідомлення безпеки у звичку, зберігаючи баланс між довірою та перевіркою. У світі Блокчейн, кожен клік, кожна транзакція назавжди фіксуються, їх неможливо змінити. Потрібно бути пильним, щоб безпечно рухатися вперед.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
6
Поділіться
Прокоментувати
0/400
MidnightSnapHunter
· 07-21 02:43
Купити монету не вдається, а ти ще хочеш контракт? Відмовляю.
Переглянути оригіналвідповісти на0
SelfMadeRuggee
· 07-21 02:43
знову не якась новина.. вже приречений чимало проектів
Переглянути оригіналвідповісти на0
AirdropBuffet
· 07-21 02:38
Блокчейн це яма, крок за кроком пастка.
Переглянути оригіналвідповісти на0
FancyResearchLab
· 07-21 02:37
Ще одна розумна яма, з якої потрібно втікати менш ніж за 24 години. Академічна цінність на максимум.
Переглянути оригіналвідповісти на0
SatoshiNotNakamoto
· 07-21 02:37
О, цей контракт пастка, не чіпай.
Переглянути оригіналвідповісти на0
MaticHoleFiller
· 07-21 02:14
Справжня технологія повинна покладатися на заповнення ям
смартконтракти стали новим інструментом шахрайства: всебічний аналіз загроз безпеці Блокчейн та стратегії захисту
смартконтракти вразливості: нові виклики безпеки Блокчейн
Криптовалюти та технології блокчейн перебудовують фінансову систему, але одночасно створюють нові загрози безпеці. На відміну від традиційних технологічних вразливостей, деякі злочинці почали використовувати самі смартконтракти блокчейн як інструмент атаки. Вони ретельно розробляють соціальні інженерні пастки, використовуючи прозорість та незворотність блокчейн, перетворюючи довіру користувачів на засіб для крадіжки активів. Від підробки смартконтрактів до маніпуляцій з крос-ланцюговими транзакціями, ці атаки не лише приховані та складні для виявлення, але й завдяки своєму "легальному" вигляду є більш оманливими. У цій статті через приклади буде проаналізовано, як злочинці перетворюють протоколи на засоби атаки, а також представлені комплексні стратегії захисту.
Одне. Як угода стає інструментом шахрайства?
Блокчейн протоколи повинні забезпечувати безпеку та довіру, але зловмисники використовують їхні особливості, поєднуючи з недбалістю користувачів, щоб створити різноманітні приховані способи атак:
(1) зловмисні смартконтракти
Технічний принцип: На блокчейнах, таких як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третіх осіб на вилучення з їхнього гаманця визначеної кількості токенів. Ця функція широко використовується у протоколах DeFi, але також використовується злочинцями.
Спосіб роботи: Злочинці створюють DApp, що маскуються під легальні проекти, спонукаючи користувачів підключати гаманці та надавати дозволи. На перший погляд, це дозволяє авторизувати невелику кількість токенів, але насправді може бути безмежний ліміт. Після завершення авторизації злочинці можуть в будь-який момент виводити з гаманця користувачів всі відповідні токени.
(2) підписна рибалка
Технічний принцип: Блокчейн-транзакції потребують від користувачів генерації підпису за допомогою приватного ключа. Зловмисники використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб функціонування: Користувач отримує повідомлення, що маскується під офіційне повідомлення, і його спрямовують на шкідливий сайт для підписання "перевірки транзакції". Ця транзакція може безпосередньо перевести активи користувача або надати доступ до контролю над колекцією NFT користувача.
(3) Фальшиві токени та "атакування пилом"
Технічні принципи: Відкритість Блокчейн дозволяє надсилати токени на будь-яку адресу. Зловмисники користуються цим, відправляючи невелику кількість криптовалюти для відстеження діяльності гаманців.
Спосіб роботи: Незаконні особи розподіляють токени "пил" у формі аерозольних викидів, спонукаючи користувачів відвідати певний веб-сайт для отримання деталей. Аналізуючи подальші транзакції користувачів, вони визначають активні адреси гаманців і здійснюють точне шахрайство.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні переважно тому, що вони приховані в легітимних механізмах Блокчейн:
Три, як захистити криптовалютний гаманець?
Стикаючись з цими шахрайствами, які поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії:
Перевірка та управління правами доступу
перевірка посилання та джерела
Використовуйте холодний гаманець та мультипідпис
Обережно обробляйте запити на підпис
реагування на атаки пилу
Висновок
Впровадження вищезгаданих заходів безпеки може значно знизити ризики, але справжня безпека не залежить лише від технологій. Коли апаратні гаманці створюють фізичну лінію оборони та багатопідписові рішення розподіляють ризики, розуміння користувачем логіки авторизації та обережність щодо поведінки в ланцюгу є останньою лінією оборони. Аналіз даних перед кожним підписанням, перевірка прав після кожної авторизації є підтримкою цифрового суверенітету.
В майбутньому, незалежно від того, як розвиватиметься технологія, основний захист завжди полягатиме в тому, щоб інтегрувати усвідомлення безпеки у звичку, зберігаючи баланс між довірою та перевіркою. У світі Блокчейн, кожен клік, кожна транзакція назавжди фіксуються, їх неможливо змінити. Потрібно бути пильним, щоб безпечно рухатися вперед.