Menaces cachées dans le monde du Blockchain : Analyse et prévention des arnaques aux smart contracts
Les cryptomonnaies et la technologie Blockchain transforment le domaine financier, mais cela s'accompagne d'une nouvelle menace. Les fraudeurs ne se contentent plus d'exploiter des failles technologiques, mais transforment les protocoles de smart contracts de la Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain, transformant la confiance des utilisateurs en moyens de vol d'actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement dissimulées et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légalisée". Cet article analysera des exemples pour révéler comment les fraudeurs transforment les protocoles en vecteurs d'attaque et proposera des solutions complètes allant de la protection technique à la prévention comportementale, afin d'aider les utilisateurs à avancer en toute sécurité dans un monde décentralisé.
I. Comment un accord légal peut-il évoluer en outil de fraude ?
Le protocole Blockchain a été conçu pour garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques courantes et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principes techniques :
Sur des blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser les smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, des fraudeurs exploitent ce mécanisme pour concevoir des contrats malveillants.
Fonctionnement :
Les escrocs créent une DApp déguisée en projet légitime, généralement promue par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", apparemment pour autoriser une petite quantité de jetons, mais en réalité cela pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient l'autorisation d'appeler à tout moment la fonction "TransferFrom", permettant de retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing déguisé en "mise à jour de某DEX" a entraîné la perte de plusieurs millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes ne pouvaient même pas récupérer leurs pertes par des moyens légaux, car l'autorisation avait été signée volontairement.
(2) Phishing de signature
Principes techniques :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affiche généralement une demande de signature, après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et dérober des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message sur les réseaux sociaux déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de validation". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'escroc ; ou être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel :
Une communauté d'un projet NFT bien connu a subi une attaque par phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant de fausses transactions de "réception d'airdrop". Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des requêtes semblant sécurisées.
(3) Jetons frauduleux et "attaque de poussière"
Principes techniques :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas demandé activement. Les fraudeurs exploitent cela en envoyant de petites quantités de cryptomonnaies à plusieurs adresses de portefeuilles, afin de suivre les activités du portefeuille et de les relier aux personnes ou entreprises possédant le portefeuille.
Mode de fonctionnement :
Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent avoir un nom ou des métadonnées (comme "FREE_AIRDROP"), incitant les utilisateurs à visiter un site Web pour plus de détails. Les utilisateurs voudront généralement échanger ces jetons, puis les attaquants pourront accéder au portefeuille des utilisateurs via l'adresse de contrat jointe aux jetons. De manière insidieuse, les attaques de poussière utilisent l'ingénierie sociale, analysent les transactions ultérieures des utilisateurs et ciblent les adresses de portefeuille actives des utilisateurs, afin de réaliser des escroqueries plus précises.
Cas réel :
L'attaque par poussière de "jetons GAS" qui a eu lieu sur le réseau Ethereum a affecté des milliers de portefeuilles. Certains utilisateurs, par curiosité, ont perdu des ETH et des jetons ERC-20.
Deuxièmement, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces arnaques réussissent en grande partie parce qu'elles sont dissimulées dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des smart contracts et les demandes de signature peuvent être obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", et l'utilisateur ne peut pas en déduire intuitivement la signification.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent a posteriori les conséquences de l'autorisation ou de la signature, et à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale : les escrocs exploitent les faiblesses humaines telles que la cupidité (« obtenez des jetons de 1 000 $ gratuitement »), la peur (« les anomalies de compte doivent être vérifiées ») ou la confiance (déguisée en service client).
Déguisement subtil : les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces arnaques mêlant techniques et guerre psychologique, la protection des actifs nécessite une stratégie multicouche. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations.
Outils : Utilisez l'outil de vérification des autorisations du navigateur Blockchain ou un outil de révocation dédié pour vérifier les enregistrements d'autorisation du portefeuille.
Opération : révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues. Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Détails techniques : Vérifiez la valeur "Allowance", si elle est "illimitée" (comme 2^256-1), elle doit être annulée immédiatement.
Vérifiez le lien et la source
Méthode : saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Vérification : Assurez-vous que le site utilise le bon nom de domaine et le certificat SSL (icône de cadenas vert). Soyez vigilant face aux fautes d'orthographe ou aux caractères supplémentaires.
Exemple : Si vous recevez une variante d'un site Web légitime (comme des caractères supplémentaires ajoutés), doutez immédiatement de son authenticité.
Utiliser un portefeuille froid et des signatures multiples
Portefeuille froid : stocker la plupart des actifs dans un portefeuille matériel, ne se connecter au réseau que lorsque c'est nécessaire.
Multi-signature : Pour les actifs de grande valeur, utilisez un outil de multi-signature qui nécessite la confirmation de plusieurs clés pour les transactions, réduisant ainsi le risque d'erreur unique.
Avantages : même si le portefeuille chaud est compromis, les actifs en stockage froid restent sécurisés.
Traitez les demandes de signature avec prudence
Étape : Lors de chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille. Certains portefeuilles afficheront le champ "Données" ; si celui-ci contient une fonction inconnue (comme "TransferFrom"), refusez de signer.
Outil : Utilisez la fonction "Déchiffrer les données d'entrée" du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Conseils : Créez un portefeuille indépendant pour les opérations à haut risque, en y plaçant une petite quantité d'actifs.
faire face aux attaques de poussière
Stratégie : après avoir reçu des jetons inconnus, ne pas interagir. Marquez-les comme "spam" ou cachez-les.
Vérification : via un explorateur Blockchain, confirmez la source du token, si c'est un envoi en masse, restez très vigilant.
Prévention : évitez de rendre publique l'adresse de votre portefeuille ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité susmentionnées, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés, mais la véritable sécurité n'est jamais une victoire unilatérale sur le plan technique. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple répartit l'exposition au risque, la compréhension par les utilisateurs de la logique d'autorisation et la prudence dans leurs comportements sur la chaîne sont le dernier bastion contre les attaques. Chaque analyse des données avant la signature, chaque examen des autorisations après une autorisation, est un serment de souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la défense la plus fondamentale réside toujours dans : intérioriser la conscience de la sécurité en mémoire musculaire, établir un équilibre éternel entre confiance et vérification. Après tout, dans un monde blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente dans le monde de la chaîne, et ne peuvent être modifiés.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
7
Partager
Commentaire
0/400
MemecoinTrader
· 07-09 15:05
alpha tip : exploitez les exploiteurs, effectuez toujours des analyses de méta-jeu sur les modèles de sécurité des contrats...
Voir l'originalRépondre0
MintMaster
· 07-07 12:31
Ne parle pas de portefeuille, qui peut me trouver un Dieu de la richesse?
Voir l'originalRépondre0
Rugman_Walking
· 07-06 22:52
Réveil des pigeons
Voir l'originalRépondre0
RadioShackKnight
· 07-06 22:51
J'ai perdu une dizaine de vieux portefeuilles, qui comprend ça ?
Voir l'originalRépondre0
NftBankruptcyClub
· 07-06 22:33
Contrat ? Encore un prend les gens pour des idiots.
Voir l'originalRépondre0
down_only_larry
· 07-06 22:31
Rekt ! Il y a énormément de gens qui se font prendre pour des cons dans l'univers de la cryptomonnaie.
Analyse des escroqueries liées aux smart contracts : menaces cachées à la sécurité du Blockchain et stratégies de prévention
Menaces cachées dans le monde du Blockchain : Analyse et prévention des arnaques aux smart contracts
Les cryptomonnaies et la technologie Blockchain transforment le domaine financier, mais cela s'accompagne d'une nouvelle menace. Les fraudeurs ne se contentent plus d'exploiter des failles technologiques, mais transforment les protocoles de smart contracts de la Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain, transformant la confiance des utilisateurs en moyens de vol d'actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement dissimulées et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légalisée". Cet article analysera des exemples pour révéler comment les fraudeurs transforment les protocoles en vecteurs d'attaque et proposera des solutions complètes allant de la protection technique à la prévention comportementale, afin d'aider les utilisateurs à avancer en toute sécurité dans un monde décentralisé.
I. Comment un accord légal peut-il évoluer en outil de fraude ?
Le protocole Blockchain a été conçu pour garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques courantes et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principes techniques : Sur des blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser les smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, des fraudeurs exploitent ce mécanisme pour concevoir des contrats malveillants.
Fonctionnement : Les escrocs créent une DApp déguisée en projet légitime, généralement promue par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", apparemment pour autoriser une petite quantité de jetons, mais en réalité cela pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient l'autorisation d'appeler à tout moment la fonction "TransferFrom", permettant de retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel : Début 2023, un site de phishing déguisé en "mise à jour de某DEX" a entraîné la perte de plusieurs millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes ne pouvaient même pas récupérer leurs pertes par des moyens légaux, car l'autorisation avait été signée volontairement.
(2) Phishing de signature
Principes techniques : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affiche généralement une demande de signature, après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et dérober des actifs.
Mode de fonctionnement : L'utilisateur reçoit un e-mail ou un message sur les réseaux sociaux déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de validation". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'escroc ; ou être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel : Une communauté d'un projet NFT bien connu a subi une attaque par phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant de fausses transactions de "réception d'airdrop". Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des requêtes semblant sécurisées.
(3) Jetons frauduleux et "attaque de poussière"
Principes techniques : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas demandé activement. Les fraudeurs exploitent cela en envoyant de petites quantités de cryptomonnaies à plusieurs adresses de portefeuilles, afin de suivre les activités du portefeuille et de les relier aux personnes ou entreprises possédant le portefeuille.
Mode de fonctionnement : Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent avoir un nom ou des métadonnées (comme "FREE_AIRDROP"), incitant les utilisateurs à visiter un site Web pour plus de détails. Les utilisateurs voudront généralement échanger ces jetons, puis les attaquants pourront accéder au portefeuille des utilisateurs via l'adresse de contrat jointe aux jetons. De manière insidieuse, les attaques de poussière utilisent l'ingénierie sociale, analysent les transactions ultérieures des utilisateurs et ciblent les adresses de portefeuille actives des utilisateurs, afin de réaliser des escroqueries plus précises.
Cas réel : L'attaque par poussière de "jetons GAS" qui a eu lieu sur le réseau Ethereum a affecté des milliers de portefeuilles. Certains utilisateurs, par curiosité, ont perdu des ETH et des jetons ERC-20.
Deuxièmement, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces arnaques réussissent en grande partie parce qu'elles sont dissimulées dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des smart contracts et les demandes de signature peuvent être obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", et l'utilisateur ne peut pas en déduire intuitivement la signification.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent a posteriori les conséquences de l'autorisation ou de la signature, et à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale : les escrocs exploitent les faiblesses humaines telles que la cupidité (« obtenez des jetons de 1 000 $ gratuitement »), la peur (« les anomalies de compte doivent être vérifiées ») ou la confiance (déguisée en service client).
Déguisement subtil : les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces arnaques mêlant techniques et guerre psychologique, la protection des actifs nécessite une stratégie multicouche. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations.
Vérifiez le lien et la source
Utiliser un portefeuille froid et des signatures multiples
Traitez les demandes de signature avec prudence
faire face aux attaques de poussière
Conclusion
En mettant en œuvre les mesures de sécurité susmentionnées, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés, mais la véritable sécurité n'est jamais une victoire unilatérale sur le plan technique. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple répartit l'exposition au risque, la compréhension par les utilisateurs de la logique d'autorisation et la prudence dans leurs comportements sur la chaîne sont le dernier bastion contre les attaques. Chaque analyse des données avant la signature, chaque examen des autorisations après une autorisation, est un serment de souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la défense la plus fondamentale réside toujours dans : intérioriser la conscience de la sécurité en mémoire musculaire, établir un équilibre éternel entre confiance et vérification. Après tout, dans un monde blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente dans le monde de la chaîne, et ne peuvent être modifiés.