Amenazas encubiertas en el mundo de la cadena de bloques: Análisis y prevención del fraude en contratos inteligentes
Las criptomonedas y la tecnología de la cadena de bloques están remodelando el sector financiero, pero con ello surge una nueva amenaza. Los estafadores ya no se limitan a explotar vulnerabilidades técnicas, sino que transforman los propios protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en un medio para el robo de activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legalizada". Este artículo analizará casos prácticos para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y ofrecerá soluciones integrales, desde la protección técnica hasta la prevención del comportamiento, para ayudar a los usuarios a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo puede un acuerdo legal convertirse en una herramienta de fraude?
El protocolo de la Cadena de bloques fue diseñado para garantizar la seguridad y la confianza, pero los estafadores han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubierto. A continuación se presentan algunos métodos comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principios técnicos:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (normalmente contratos inteligentes) a extraer una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de operar:
Los estafadores crean un DApp que se disfraza de un proyecto legítimo, a menudo promovido a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permisos para llamar en cualquier momento a la función "TransferFrom", extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real:
A principios de 2023, un sitio web de phishing disfrazado de "actualización de某DEX" causó pérdidas de millones de dólares en USDT y ETH a cientos de usuarios. Los datos en la cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas ni siquiera pueden recuperar su dinero a través de medios legales, ya que la autorización fue firmada voluntariamente.
(2) firma de phishing
Principio técnico:
Las transacciones de la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para probar la legitimidad de la transacción. Normalmente, la billetera mostrará una solicitud de firma, que el usuario confirmará, y la transacción se transmitirá a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar:
Los usuarios reciben un correo electrónico o un mensaje en redes sociales que se disfraza como una notificación oficial, como "Su airdrop de NFT está listo para ser reclamado, por favor verifique su billetera". Al hacer clic en el enlace, los usuarios son dirigidos a un sitio web malicioso que les solicita conectar su billetera y firmar una "transacción de verificación". Esta transacción en realidad puede estar llamando a la función "Transfer", transfiriendo directamente ETH o tokens de la billetera a la dirección del estafador; o puede ser una operación de "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.
Caso real:
Una conocida comunidad de proyectos NFT sufrió un ataque de phishing por firma, donde varios usuarios perdieron NFT por un valor de varios millones de dólares al firmar transacciones de "recepción de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataque de polvo"
Principio técnico:
La apertura de la Cadena de bloques permite a cualquiera enviar tokens a cualquier dirección, incluso si el destinatario no lo solicita activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla con la persona o empresa que posee la billetera.
Forma de operación:
En la mayoría de los casos, la "polvo" utilizada en los ataques de polvo se distribuye a los monederos de los usuarios en forma de airdrop, y estos tokens pueden tener nombres o metadatos (como "FREE_AIRDROP"), lo que induce a los usuarios a visitar un sitio web para consultar detalles. Los usuarios generalmente querrán canjear estos tokens, y luego los atacantes pueden acceder al monedero del usuario a través de la dirección del contrato adjunta a los tokens. Lo que es insidioso es que los ataques de polvo utilizan ingeniería social, analizando las transacciones posteriores de los usuarios, identificando las direcciones de monedero activas de los usuarios, para llevar a cabo fraudes más precisos.
Caso real:
El ataque de polvo de "tokens GAS" que ocurrió en la red Ethereum afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estos fraudes se debe en gran parte a que se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes puedan discernir su naturaleza maliciosa. A continuación, se presentan algunas razones clave:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede aparecer como datos hexadecimales como "0x095ea7b3...", y los usuarios no pueden juzgar su significado de manera intuitiva.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma después, y en ese momento los activos ya no se pueden recuperar.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la avaricia ("recibe 1000 dólares en tokens gratis"), el miedo ("se requiere verificación por actividad inusual en la cuenta") o la confianza (suplantando al servicio al cliente).
Disfraz ingenioso: los sitios de phishing pueden utilizar URL similares a las del dominio oficial e incluso aumentar la credibilidad mediante certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan elementos técnicos y psicológicos, la protección de los activos requiere una estrategia de múltiples niveles. A continuación se detallan las medidas de prevención:
Verificar y gestionar los permisos de autorización
Herramientas: utiliza el verificador de autorizaciones del explorador de bloques o herramientas de revocación especializadas para verificar el registro de autorizaciones de la billetera.
Operación: revocar regularmente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas. Antes de cada autorización, asegúrese de que el DApp provenga de una fuente confiable.
Detalles técnicos: Verifique el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Verificar enlace y fuente
Método: ingresar manualmente la URL oficial, evitando hacer clic en enlaces de redes sociales o correos electrónicos.
Verificación: Asegúrate de que el sitio web utilice el nombre de dominio correcto y el certificado SSL (icono de candado verde). Cuidado con errores de ortografía o caracteres adicionales.
Ejemplo: si recibe una variante de un sitio web legítimo (como agregar caracteres adicionales), sospeche de su autenticidad.
Usar una billetera fría y múltiples firmas
Billetera fría: almacenar la mayor parte de los activos en una billetera de hardware, conectando a la red solo cuando sea necesario.
Firma múltiple: Para activos de gran valor, utiliza herramientas de firma múltiple que requieren la confirmación de la transacción por múltiples claves, reduciendo el riesgo de error en un solo punto.
Beneficios: incluso si la billetera caliente es comprometida, los activos de almacenamiento en frío siguen siendo seguros.
Manejar las solicitudes de firma con cuidado
Pasos: Al firmar cada vez, lea atentamente los detalles de la transacción en la ventana emergente de la cartera. Algunas carteras mostrarán el campo "Datos", si incluye funciones desconocidas (como "TransferFrom"), rechace la firma.
Herramientas: use la función "Decode Input Data" del explorador de la cadena de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
Sugerencia: crea una billetera independiente para operaciones de alto riesgo y almacena una pequeña cantidad de activos.
hacer frente a ataques de polvo
Estrategia: después de recibir un token desconocido, no interactúe. Márquelo como "basura" o ocúltelo.
Verificación: a través del explorador de la cadena de bloques, confirme el origen del token, si es un envío masivo, mantenga una alta vigilancia.
Prevención: Evitar publicar la dirección de la billetera, o usar una nueva dirección para realizar operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de esquemas de fraude avanzados, pero la verdadera seguridad no es solo una victoria técnica. Cuando los monederos de hardware construyen una defensa física y las firmas múltiples distribuyen el riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última línea de defensa contra los ataques. Cada análisis de datos antes de firmar, cada revisión de permisos después de la autorización, es un juramento a su propia soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la línea de defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como una memoria muscular y establecer un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran permanentemente en el mundo de la cadena, y no se pueden modificar.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
7
Compartir
Comentar
0/400
MemecoinTrader
· 07-09 15:05
consejo alfa: explota a los explotadores, siempre ejecutando análisis de meta-juego sobre patrones de seguridad de contratos...
Ver originalesResponder0
MintMaster
· 07-07 12:31
Deja de hablar de billeteras, ¿quién me puede conseguir a el Dios de la Riqueza?
Ver originalesResponder0
Rugman_Walking
· 07-06 22:52
El despertar de los tontos
Ver originalesResponder0
RadioShackKnight
· 07-06 22:51
Perdí más de diez billeteras, ¿quién entiende?
Ver originalesResponder0
NftBankruptcyClub
· 07-06 22:33
¿Contrato? Otro tomador de tontos.
Ver originalesResponder0
down_only_larry
· 07-06 22:31
Arruinado! En el mundo Cripto, hay muchas personas que toman a la gente por tonta.
Análisis de fraudes en contratos inteligentes: amenazas ocultas a la seguridad de la cadena de bloques y estrategias de prevención
Amenazas encubiertas en el mundo de la cadena de bloques: Análisis y prevención del fraude en contratos inteligentes
Las criptomonedas y la tecnología de la cadena de bloques están remodelando el sector financiero, pero con ello surge una nueva amenaza. Los estafadores ya no se limitan a explotar vulnerabilidades técnicas, sino que transforman los propios protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en un medio para el robo de activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legalizada". Este artículo analizará casos prácticos para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y ofrecerá soluciones integrales, desde la protección técnica hasta la prevención del comportamiento, para ayudar a los usuarios a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo puede un acuerdo legal convertirse en una herramienta de fraude?
El protocolo de la Cadena de bloques fue diseñado para garantizar la seguridad y la confianza, pero los estafadores han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubierto. A continuación se presentan algunos métodos comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principios técnicos: En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (normalmente contratos inteligentes) a extraer una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de operar: Los estafadores crean un DApp que se disfraza de un proyecto legítimo, a menudo promovido a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permisos para llamar en cualquier momento a la función "TransferFrom", extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real: A principios de 2023, un sitio web de phishing disfrazado de "actualización de某DEX" causó pérdidas de millones de dólares en USDT y ETH a cientos de usuarios. Los datos en la cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas ni siquiera pueden recuperar su dinero a través de medios legales, ya que la autorización fue firmada voluntariamente.
(2) firma de phishing
Principio técnico: Las transacciones de la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para probar la legitimidad de la transacción. Normalmente, la billetera mostrará una solicitud de firma, que el usuario confirmará, y la transacción se transmitirá a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar: Los usuarios reciben un correo electrónico o un mensaje en redes sociales que se disfraza como una notificación oficial, como "Su airdrop de NFT está listo para ser reclamado, por favor verifique su billetera". Al hacer clic en el enlace, los usuarios son dirigidos a un sitio web malicioso que les solicita conectar su billetera y firmar una "transacción de verificación". Esta transacción en realidad puede estar llamando a la función "Transfer", transfiriendo directamente ETH o tokens de la billetera a la dirección del estafador; o puede ser una operación de "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.
Caso real: Una conocida comunidad de proyectos NFT sufrió un ataque de phishing por firma, donde varios usuarios perdieron NFT por un valor de varios millones de dólares al firmar transacciones de "recepción de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataque de polvo"
Principio técnico: La apertura de la Cadena de bloques permite a cualquiera enviar tokens a cualquier dirección, incluso si el destinatario no lo solicita activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla con la persona o empresa que posee la billetera.
Forma de operación: En la mayoría de los casos, la "polvo" utilizada en los ataques de polvo se distribuye a los monederos de los usuarios en forma de airdrop, y estos tokens pueden tener nombres o metadatos (como "FREE_AIRDROP"), lo que induce a los usuarios a visitar un sitio web para consultar detalles. Los usuarios generalmente querrán canjear estos tokens, y luego los atacantes pueden acceder al monedero del usuario a través de la dirección del contrato adjunta a los tokens. Lo que es insidioso es que los ataques de polvo utilizan ingeniería social, analizando las transacciones posteriores de los usuarios, identificando las direcciones de monedero activas de los usuarios, para llevar a cabo fraudes más precisos.
Caso real: El ataque de polvo de "tokens GAS" que ocurrió en la red Ethereum afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estos fraudes se debe en gran parte a que se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes puedan discernir su naturaleza maliciosa. A continuación, se presentan algunas razones clave:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede aparecer como datos hexadecimales como "0x095ea7b3...", y los usuarios no pueden juzgar su significado de manera intuitiva.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma después, y en ese momento los activos ya no se pueden recuperar.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la avaricia ("recibe 1000 dólares en tokens gratis"), el miedo ("se requiere verificación por actividad inusual en la cuenta") o la confianza (suplantando al servicio al cliente).
Disfraz ingenioso: los sitios de phishing pueden utilizar URL similares a las del dominio oficial e incluso aumentar la credibilidad mediante certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan elementos técnicos y psicológicos, la protección de los activos requiere una estrategia de múltiples niveles. A continuación se detallan las medidas de prevención:
Verificar y gestionar los permisos de autorización
Verificar enlace y fuente
Usar una billetera fría y múltiples firmas
Manejar las solicitudes de firma con cuidado
hacer frente a ataques de polvo
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de esquemas de fraude avanzados, pero la verdadera seguridad no es solo una victoria técnica. Cuando los monederos de hardware construyen una defensa física y las firmas múltiples distribuyen el riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última línea de defensa contra los ataques. Cada análisis de datos antes de firmar, cada revisión de permisos después de la autorización, es un juramento a su propia soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la línea de defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como una memoria muscular y establecer un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran permanentemente en el mundo de la cadena, y no se pueden modificar.