Блокчейн шахрайства нові тенденції: протокол стає зброєю нападників
Криптовалюти та технології блокчейн перетворюють фінансову систему, але також приносять нові виклики безпеки. Шахраї більше не обмежуються використанням технологічних вразливостей, а перетворюють самі протоколи смарт-контрактів блокчейн на інструменти атак. Вони використовують ретельно сплановані соціальні інженерні пастки, поєднуючи прозорість і незворотність блокчейну, перетворюючи довіру користувачів на знаряддя для крадіжки активів. Від підроблених смарт-контрактів до маніпуляцій міжланцюговими транзакціями, ці атаки не тільки приховані та важко виявляються, але й завдяки своїй "легітимній" оболонці є ще більш оманливими. У цій статті через аналіз випадків буде розкрито, як шахраї перетворюють протоколи на засоби атаки, а також надано всеосяжні стратегії захисту.
Одне. Як легальний протокол перетворюється на інструмент шахрайства
Початкова мета протоколу Блокчейн полягає в забезпеченні безпеки та довіри, але шахраї використовують його особливості, поєднуючи з недбалістю користувачів, щоб створити різні приховані способи атаки. Ось деякі з поширених методів та їх технічні деталі:
(1) Шкідливий розумний контракт надання дозволів
Технічний принцип:
Стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третіх осіб витягувати з їхнього гаманця вказану кількість токенів. Ця функція широко використовується в протоколах DeFi, але також експлуатується шахраями.
Спосіб роботи:
Шахраї створюють DApp, що маскуються під легітимні проекти, спонукаючи користувачів підключати гаманці та надавати дозволи. На поверхні це виглядає як надання дозволу на невелику кількість токенів, але насправді це може бути безмежний ліміт. Як тільки авторизація завершена, шахраї можуть в будь-який момент витягувати всі відповідні токени з гаманця користувача.
Приклад:
На початку 2023 року фішинг-сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів у великих сумах USDT та ETH. Ці транзакції повністю відповідали стандарту ERC-20, і жертвам було важко повернути кошти через юридичні канали.
(2) Підпис риболовлі
Технічний принцип:
Блокчейн транзакції потребують від користувача створення підпису за допомогою приватного ключа. Шахраї використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб роботи:
Користувачі отримують повідомлення, що маскуються під офіційні сповіщення, їх направляють на шкідливий веб-сайт для "перевірки". Насправді вони, можливо, підписали угоду про передачу активів або надання контролю над NFT.
Приклад:
Відомий NFT проект зазнав фішингової атаки з підписами, внаслідок якої кілька користувачів втратили NFT на суму кілька мільйонів доларів через підписання підроблених транзакцій "отримання аеродропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши на вигляд безпечний запит.
(3) Фальшиві токени та "атака пилу"
Технічний принцип:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу. Шахраї використовують це, відправляючи невелику кількість криптовалюти для відстеження активності гаманців.
Спосіб роботи:
Шахраї надсилають невеликі токени на кілька адрес, ці токени можуть мати спокусливі назви. Коли користувач намагається їх обміняти, зловмисники можуть отримати доступ до гаманця. Крім того, аналізуючи подальші транзакції, шахраї можуть визначити активні адреси користувачів для здійснення більш точної афери.
Приклад:
У мережі Ethereum відбулася атака "пилом GAS-токенів", що вплинула на тисячі гаманців. Деякі користувачі, з цікавості, втратили ETH та інші токени.
Два, причини, чому ці шахрайства важко виявити
Ці схеми успішні, головним чином тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їх зловмисну природу. Ключові причини включають:
Технічна складність: код смарт-контракту та запити на підпис важко зрозуміти нефахівцям.
Законність на ланцюгу: всі транзакції записуються на Блокчейн, що виглядає прозоро, але жертви часто усвідомлюють проблему лише після того.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Майстерна маскування: Фішингові сайти можуть використовувати URL, які дуже схожі на офіційні домени, навіть додаючи сертифікати HTTPS для підвищення довіри.
Три, як захистити ваш гаманець криптовалюти
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів вимагає багатошарової стратегії:
Перевірте та керуйте авторизацією
Використовуйте професійні інструменти для перевірки записів авторизації гаманця
Регулярно скасовуйте непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
Перед кожним наданням дозволу переконайтеся, що джерело DApp є надійним
Перевірка посилань та джерел
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах
Уважно перевірте домен сайту та сертифікат SSL
Використання холодного гаманця та мультипідпису
Зберігайте більшість активів у апаратному гаманці
Використовуйте інструменти багатопідпису для великих активів, що вимагають підтвердження операції кількома ключами.
Обережно обробляйте запити на підпис
Уважно прочитайте деталі транзакції у вікні гаманця
Використовуйте професійні інструменти для аналізу вмісту підпису або зверніться до технічного експерта
Створіть окремий гаманець для високоризикових операцій, зберігайте лише невелику кількість активів
В 대응 на атаки пилу
Після отримання невідомих токенів не взаємодійте.
Підтвердьте джерело токена через Блокчейн браузер
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій
Висновок
Впровадження зазначених заходів безпеки може суттєво знизити ризик стати жертвою розширених шахрайських схем. Однак справжня безпека не залежить лише від технологій. Коли апаратні гаманці створюють фізичний бар'єр, а багатопідписні системи розподіляють ризики, саме розуміння користувачами логіки авторизації та обережне ставлення до поведінки в мережі є останнім рубежем захисту.
У майбутньому, незалежно від того, як розвиватимуться технології, основний захист завжди полягає в тому, щоб інтерналізувати усвідомлення безпеки в звичку, зберігаючи баланс між довірою та перевіркою. У світі Блокчейн кожен клік, кожна транзакція назавжди записуються і не можуть бути змінені. Тому виховання усвідомлення безпеки та хороших звичок є надзвичайно важливим.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
4
Поділіться
Прокоментувати
0/400
ForkMonger
· 08-04 01:34
лmao протоколи це просто вектори атаки, які чекають на свій час... дарвін був правий
Переглянути оригіналвідповісти на0
ShibaMillionairen't
· 08-04 01:26
Обман для дурнів ніколи не зазнає збитків.
Переглянути оригіналвідповісти на0
DataBartender
· 08-04 01:23
невдахи в полі
Переглянути оригіналвідповісти на0
IronHeadMiner
· 08-04 01:19
Блокчейн занадто складний для спілкування, правда?
Блокчейн протокол став новою зброєю шахраїв: прихований та важкий для виявлення, користувачі повинні підвищити обізнаність.
Блокчейн шахрайства нові тенденції: протокол стає зброєю нападників
Криптовалюти та технології блокчейн перетворюють фінансову систему, але також приносять нові виклики безпеки. Шахраї більше не обмежуються використанням технологічних вразливостей, а перетворюють самі протоколи смарт-контрактів блокчейн на інструменти атак. Вони використовують ретельно сплановані соціальні інженерні пастки, поєднуючи прозорість і незворотність блокчейну, перетворюючи довіру користувачів на знаряддя для крадіжки активів. Від підроблених смарт-контрактів до маніпуляцій міжланцюговими транзакціями, ці атаки не тільки приховані та важко виявляються, але й завдяки своїй "легітимній" оболонці є ще більш оманливими. У цій статті через аналіз випадків буде розкрито, як шахраї перетворюють протоколи на засоби атаки, а також надано всеосяжні стратегії захисту.
Одне. Як легальний протокол перетворюється на інструмент шахрайства
Початкова мета протоколу Блокчейн полягає в забезпеченні безпеки та довіри, але шахраї використовують його особливості, поєднуючи з недбалістю користувачів, щоб створити різні приховані способи атаки. Ось деякі з поширених методів та їх технічні деталі:
(1) Шкідливий розумний контракт надання дозволів
Технічний принцип: Стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третіх осіб витягувати з їхнього гаманця вказану кількість токенів. Ця функція широко використовується в протоколах DeFi, але також експлуатується шахраями.
Спосіб роботи: Шахраї створюють DApp, що маскуються під легітимні проекти, спонукаючи користувачів підключати гаманці та надавати дозволи. На поверхні це виглядає як надання дозволу на невелику кількість токенів, але насправді це може бути безмежний ліміт. Як тільки авторизація завершена, шахраї можуть в будь-який момент витягувати всі відповідні токени з гаманця користувача.
Приклад: На початку 2023 року фішинг-сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів у великих сумах USDT та ETH. Ці транзакції повністю відповідали стандарту ERC-20, і жертвам було важко повернути кошти через юридичні канали.
(2) Підпис риболовлі
Технічний принцип: Блокчейн транзакції потребують від користувача створення підпису за допомогою приватного ключа. Шахраї використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб роботи: Користувачі отримують повідомлення, що маскуються під офіційні сповіщення, їх направляють на шкідливий веб-сайт для "перевірки". Насправді вони, можливо, підписали угоду про передачу активів або надання контролю над NFT.
Приклад: Відомий NFT проект зазнав фішингової атаки з підписами, внаслідок якої кілька користувачів втратили NFT на суму кілька мільйонів доларів через підписання підроблених транзакцій "отримання аеродропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши на вигляд безпечний запит.
(3) Фальшиві токени та "атака пилу"
Технічний принцип: Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу. Шахраї використовують це, відправляючи невелику кількість криптовалюти для відстеження активності гаманців.
Спосіб роботи: Шахраї надсилають невеликі токени на кілька адрес, ці токени можуть мати спокусливі назви. Коли користувач намагається їх обміняти, зловмисники можуть отримати доступ до гаманця. Крім того, аналізуючи подальші транзакції, шахраї можуть визначити активні адреси користувачів для здійснення більш точної афери.
Приклад: У мережі Ethereum відбулася атака "пилом GAS-токенів", що вплинула на тисячі гаманців. Деякі користувачі, з цікавості, втратили ETH та інші токени.
Два, причини, чому ці шахрайства важко виявити
Ці схеми успішні, головним чином тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їх зловмисну природу. Ключові причини включають:
Технічна складність: код смарт-контракту та запити на підпис важко зрозуміти нефахівцям.
Законність на ланцюгу: всі транзакції записуються на Блокчейн, що виглядає прозоро, але жертви часто усвідомлюють проблему лише після того.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Майстерна маскування: Фішингові сайти можуть використовувати URL, які дуже схожі на офіційні домени, навіть додаючи сертифікати HTTPS для підвищення довіри.
Три, як захистити ваш гаманець криптовалюти
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів вимагає багатошарової стратегії:
Перевірте та керуйте авторизацією
Перевірка посилань та джерел
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис
В 대응 на атаки пилу
Висновок
Впровадження зазначених заходів безпеки може суттєво знизити ризик стати жертвою розширених шахрайських схем. Однак справжня безпека не залежить лише від технологій. Коли апаратні гаманці створюють фізичний бар'єр, а багатопідписні системи розподіляють ризики, саме розуміння користувачами логіки авторизації та обережне ставлення до поведінки в мережі є останнім рубежем захисту.
У майбутньому, незалежно від того, як розвиватимуться технології, основний захист завжди полягає в тому, щоб інтерналізувати усвідомлення безпеки в звичку, зберігаючи баланс між довірою та перевіркою. У світі Блокчейн кожен клік, кожна транзакція назавжди записуються і не можуть бути змінені. Тому виховання усвідомлення безпеки та хороших звичок є надзвичайно важливим.