Безпекові пастки у світі Блокчейн: розкриття шахрайства зі смартконтрактами
Криптовалюти та технології Блокчейн змінюють фінансовий ландшафт, але також приносять нові загрози безпеці. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі смартконтракти Блокчейн на інструменти атаки. Вони за допомогою ретельно спланованих соціальних інженерних методів, використовуючи прозорість та незворотність Блокчейн, перетворюють довіру користувачів на засіб для викрадення активів. Від підробки смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані та важко виявляються, але й через свій "легітимний" вигляд стають ще більш оманливими. У цій статті буде проаналізовано реальні випадки, розкриваючи, як шахраї перетворюють протоколи на засоби атаки, та надано всебічні стратегії захисту.
Один. Як легальні угоди стають інструментами шахрайства?
Блокчейн-протоколи спочатку були створені для забезпечення безпеки та довіри, але шахраї використовують їх особливості, поєднуючи з недбалістю користувачів, щоб створити різноманітні приховані методи атаки. Нижче наведені деякі поширені методи та їх технічні деталі:
(1) Зловмисна смартконтрактна авторизація
Технічні принципи:
На Блокчейн, такий як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третіх осіб на вилучення певної кількості токенів з їхнього гаманця. Ця функція широко використовується в DeFi-протоколах, але також використовується шахраями.
Спосіб роботи:
Шахраї створюють DApp, що маскуються під легальні проекти, спонукаючи користувачів підключати гаманці та надавати дозволи. На поверхні це виглядає як надання дозволу на невелику кількість токенів, але насправді це може бути безмежний ліміт. Як тільки дозвіл надано, шахраї можуть у будь-який час витягувати всі відповідні токени з гаманця користувача.
Реальний випадок:
На початку 2023 року фішинговий сайт, що маскувався під "Оновлення Uniswap V3", призвів до втрат сотень користувачів на мільйони доларів США у USDT та ETH. Ці транзакції повністю відповідали стандарту ERC-20, і жертвам було важко повернути активи через юридичні засоби.
(2) Підпис риболовлі
Технічний принцип:
Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа для підтвердження легітимності транзакції. Шахраї використовують цей процес, підробляючи запити на підпис, щоб вкрасти активи.
Спосіб роботи:
Користувач отримує повідомлення, що маскується під офіційне повідомлення, і його ведуть на шкідливий вебсайт, що вимагає підключення гаманця та підписання "перевірки транзакції". Ця транзакція насправді може безпосередньо перевести активи користувача або дозволити шахраям контролювати колекцію NFT користувача.
Справжній випадок:
Одна з відомих спільнот NFT-проєкту зазнала атаки з підробленими підписами, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених "транзакцій для отримання аеродропу". Зловмисники скористались стандартом підпису EIP-712, підробивши начебто безпечний запит.
(3) Фальшиві токени та "атака пилу"
Технічні принципи:
Публічність Блокчейн дозволяє будь-кому відправляти токени на будь-яку адресу. Шахраї використовують це, відправляючи невелику кількість криптовалюти на кілька гаманців, відстежуючи активність гаманців і асоціюючи їх з особами або компаніями.
Спосіб роботи:
Шахраї розподіляють "пил" користувачам у формі аерозольних токенів, які можуть мати спокусливі назви або метадані. Користувачі можуть спробувати обміняти ці токени, що дозволить зловмисникам отримати доступ до гаманця користувача через адресу контракту.
Реальний випадок:
В мережі Ethereum відбулася атака "пилових токенів GAS", що вплинула на тисячі гаманців. Деякі користувачі втратили ETH та токени ERC-20 через цікавість до взаємодії.
Два, чому ці шахрайства важко помітити?
Ці шахрайства успішні, в основному, тому що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їх злочинну природу. Основні причини включають:
Технічна складність: код смартконтрактів і запити на підпис для нетехнічних користувачів важко зрозуміти.
Законність на ланцюгу: всі транзакції записуються на Блокчейн, виглядають прозорими, але жертви часто усвідомлюють проблему лише після того.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Витончена маскування: Фішингові сайти можуть використовувати URL, які подібні до офіційного домену, навіть через HTTPS сертифікати для підвищення довіри.
Три, як захистити свій криптовалютний гаманець?
Стикаючись із цими шахрайствами, які поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії:
Перевірка та управління правами доступу
Використовуйте інструмент перевірки авторизації для періодичного перегляду записів авторизації гаманця.
Скасувати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.
перевірка посилання та джерела
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Переконайтеся, що вебсайт використовує правильне доменне ім'я та SSL-сертифікат.
Будьте обережні з помилками в написанні або зайвими символами в доменному імені.
Використання холодного гаманця та мультипідпису
Зберігайте більшість активів у апаратних гаманцях, підключаючи мережу лише в разі необхідності.
Використовуйте інструменти з багатопідписом для великих активів, що вимагають підтвердження транзакцій кількома ключами.
Обережно обробляйте запити на підпис
Уважно ознайомтеся з деталями угоди у вікні гаманця.
Використовуйте функцію аналізу підпису в браузері Блокчейн.
Створіть окремий гаманець для високоризикових операцій, зберігайте невелику кількість активів.
реагування на атаки пилу
Після отримання невідомих токенів не взаємодійте з ними. Позначте їх як "сміття" або приховайте.
Підтверджуйте джерело токенів через Блокчейн браузер, будьте обережні з масовими відправленнями.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Впровадження вищезазначених заходів безпеки може суттєво знизити ризик стати жертвою складних шахрайських схем. Однак справжня безпека не лише залежить від технологічного захисту, а й потребує розуміння користувачем логіки авторизації та обережності щодо поведінки в ланцюгу. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації є підтримкою власного цифрового суверенітету.
У світі Блокчейн, де код є законом, кожен клік, кожна транзакція назавжди фіксується і не може бути змінена. Тому важливо інтегрувати усвідомлення безпеки в звичку та підтримувати баланс між довірою і перевіркою, що є ключем до захисту цифрових активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
22 лайків
Нагородити
22
5
Поділіться
Прокоментувати
0/400
DaoGovernanceOfficer
· 08-03 13:27
*с sigh* емпірично кажучи, 93.7% з цих "експлуатацій" походять від основних недоліків управління...
Переглянути оригіналвідповісти на0
PanicSeller
· 08-03 00:02
Втративши багато, втік.
Переглянути оригіналвідповісти на0
ser_we_are_ngmi
· 08-01 23:35
Наситився смачного кавуна
Переглянути оригіналвідповісти на0
FlashLoanLord
· 08-01 23:35
пастка занадто глибока, чи не так?
Переглянути оригіналвідповісти на0
fren.eth
· 08-01 23:33
Кажу чесно, ще й не так добре, як сліпо зливати шиткоїн.
Розкриття шахрайства зі смартконтрактами: безпекові пастки Блокчейн та стратегії захисту
Безпекові пастки у світі Блокчейн: розкриття шахрайства зі смартконтрактами
Криптовалюти та технології Блокчейн змінюють фінансовий ландшафт, але також приносять нові загрози безпеці. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі смартконтракти Блокчейн на інструменти атаки. Вони за допомогою ретельно спланованих соціальних інженерних методів, використовуючи прозорість та незворотність Блокчейн, перетворюють довіру користувачів на засіб для викрадення активів. Від підробки смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані та важко виявляються, але й через свій "легітимний" вигляд стають ще більш оманливими. У цій статті буде проаналізовано реальні випадки, розкриваючи, як шахраї перетворюють протоколи на засоби атаки, та надано всебічні стратегії захисту.
Один. Як легальні угоди стають інструментами шахрайства?
Блокчейн-протоколи спочатку були створені для забезпечення безпеки та довіри, але шахраї використовують їх особливості, поєднуючи з недбалістю користувачів, щоб створити різноманітні приховані методи атаки. Нижче наведені деякі поширені методи та їх технічні деталі:
(1) Зловмисна смартконтрактна авторизація
Технічні принципи: На Блокчейн, такий як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третіх осіб на вилучення певної кількості токенів з їхнього гаманця. Ця функція широко використовується в DeFi-протоколах, але також використовується шахраями.
Спосіб роботи: Шахраї створюють DApp, що маскуються під легальні проекти, спонукаючи користувачів підключати гаманці та надавати дозволи. На поверхні це виглядає як надання дозволу на невелику кількість токенів, але насправді це може бути безмежний ліміт. Як тільки дозвіл надано, шахраї можуть у будь-який час витягувати всі відповідні токени з гаманця користувача.
Реальний випадок: На початку 2023 року фішинговий сайт, що маскувався під "Оновлення Uniswap V3", призвів до втрат сотень користувачів на мільйони доларів США у USDT та ETH. Ці транзакції повністю відповідали стандарту ERC-20, і жертвам було важко повернути активи через юридичні засоби.
(2) Підпис риболовлі
Технічний принцип: Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа для підтвердження легітимності транзакції. Шахраї використовують цей процес, підробляючи запити на підпис, щоб вкрасти активи.
Спосіб роботи: Користувач отримує повідомлення, що маскується під офіційне повідомлення, і його ведуть на шкідливий вебсайт, що вимагає підключення гаманця та підписання "перевірки транзакції". Ця транзакція насправді може безпосередньо перевести активи користувача або дозволити шахраям контролювати колекцію NFT користувача.
Справжній випадок: Одна з відомих спільнот NFT-проєкту зазнала атаки з підробленими підписами, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених "транзакцій для отримання аеродропу". Зловмисники скористались стандартом підпису EIP-712, підробивши начебто безпечний запит.
(3) Фальшиві токени та "атака пилу"
Технічні принципи: Публічність Блокчейн дозволяє будь-кому відправляти токени на будь-яку адресу. Шахраї використовують це, відправляючи невелику кількість криптовалюти на кілька гаманців, відстежуючи активність гаманців і асоціюючи їх з особами або компаніями.
Спосіб роботи: Шахраї розподіляють "пил" користувачам у формі аерозольних токенів, які можуть мати спокусливі назви або метадані. Користувачі можуть спробувати обміняти ці токени, що дозволить зловмисникам отримати доступ до гаманця користувача через адресу контракту.
Реальний випадок: В мережі Ethereum відбулася атака "пилових токенів GAS", що вплинула на тисячі гаманців. Деякі користувачі втратили ETH та токени ERC-20 через цікавість до взаємодії.
Два, чому ці шахрайства важко помітити?
Ці шахрайства успішні, в основному, тому що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їх злочинну природу. Основні причини включають:
Технічна складність: код смартконтрактів і запити на підпис для нетехнічних користувачів важко зрозуміти.
Законність на ланцюгу: всі транзакції записуються на Блокчейн, виглядають прозорими, але жертви часто усвідомлюють проблему лише після того.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Витончена маскування: Фішингові сайти можуть використовувати URL, які подібні до офіційного домену, навіть через HTTPS сертифікати для підвищення довіри.
Три, як захистити свій криптовалютний гаманець?
Стикаючись із цими шахрайствами, які поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії:
Перевірка та управління правами доступу
перевірка посилання та джерела
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис
реагування на атаки пилу
Висновок
Впровадження вищезазначених заходів безпеки може суттєво знизити ризик стати жертвою складних шахрайських схем. Однак справжня безпека не лише залежить від технологічного захисту, а й потребує розуміння користувачем логіки авторизації та обережності щодо поведінки в ланцюгу. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації є підтримкою власного цифрового суверенітету.
У світі Блокчейн, де код є законом, кожен клік, кожна транзакція назавжди фіксується і не може бути змінена. Тому важливо інтегрувати усвідомлення безпеки в звичку та підтримувати баланс між довірою і перевіркою, що є ключем до захисту цифрових активів.