Novas ameaças no mundo Blockchain: quando os contratos inteligentes se tornam ferramentas de fraude
As criptomoedas e a tecnologia Blockchain estão a reconfigurar o panorama financeiro, mas esta revolução também trouxe novos desafios de segurança. Os golpistas já não se limitam a explorar vulnerabilidades técnicas, mas transformam os próprios protocolos de contratos inteligentes do Blockchain em meios de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles aproveitam a transparência e a irreversibilidade do Blockchain, convertendo a confiança dos usuários em ferramentas de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não são apenas furtivos e difíceis de detectar, mas também são mais enganosos devido à sua aparência "legítima". Este artigo analisará exemplos para revelar como os golpistas transformam protocolos em veículos de ataque e fornecerá soluções abrangentes, desde a proteção técnica até a prevenção comportamental, ajudando-o a navegar com segurança num mundo descentralizado.
I. Como os contratos legais se tornam ferramentas de fraude?
O objetivo do design do protocolo Blockchain é garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque oculto. Abaixo estão algumas técnicas e suas explicações técnicas:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos:
Em blockchains como a Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, os golpistas aproveitam este mecanismo para projetar contratos maliciosos.
Modo de operação:
Os golpistas criam um DApp disfarçado de projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que à primeira vista parece ser a autorização de uma quantidade limitada de tokens, mas na realidade pode ser um limite infinito (valor uint256.max). Assim que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom", podendo retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Caso real:
No início de 2023, um site de phishing disfarçado de "atualização Uniswap V3" levou à perda de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na blockchain mostram que essas transações estão totalmente em conformidade com o padrão ERC-20, e as vítimas nem conseguem recuperar os fundos através de meios legais, pois a autorização foi assinada voluntariamente.
(2) Assinatura de Phishing
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas para provar a legalidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é divulgada na rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento:
O usuário recebe um e-mail ou mensagem disfarçados de notificação oficial, como "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a carteira". Ao clicar no link, o usuário é direcionado para um site malicioso, solicitando a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, ser uma chamada à função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Caso real:
Uma comunidade de um conhecido projeto NFT sofreu um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares devido à assinatura de transações "de recebimento de airdrop" falsificadas. Os atacantes exploraram o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.
(3) Tokens falsos e "ataque de poeira"
Princípios técnicos:
A abertura do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas se aproveitam disso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e vinculá-la à pessoa ou empresa que possui a carteira.
Funcionamento:
Os atacantes enviam pequenas quantidades de criptomoedas para diferentes endereços e tentam descobrir quais pertencem à mesma carteira. Esses "pó" geralmente são distribuídos na forma de airdrops para as carteiras dos usuários, podendo ter nomes ou metadados atraentes. Os usuários podem querer converter esses tokens, acessando o site fornecido pelos atacantes. Os atacantes podem então acessar a carteira dos usuários através do endereço do contrato associado aos tokens, ou através da análise das transações subsequentes dos usuários, identificando endereços de carteiras ativas e implementando golpes mais precisos.
Caso real:
No passado, os ataques de poeira de "tokens GAS" que surgiram na rede Ethereum afetaram milhares de carteiras. Alguns usuários, devido à curiosidade, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes são bem-sucedidas em grande parte porque estão escondidas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernir sua verdadeira natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica: O código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais como "0x095ea7b3...", e os usuários não conseguem avaliar intuitivamente seu significado.
Legitimidade na cadeia: todas as transações são registradas na Blockchain, parecem transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois do fato, quando os ativos já não podem ser recuperados.
Engenharia social: os golpistas exploram as fraquezas da natureza humana, como a ganância ("receba 1000 dólares em tokens gratuitamente"), o medo ("verificação necessária devido a atividade anormal na conta") ou a confiança (disfarçando-se como atendimento ao cliente).
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao domínio oficial, ou até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante desses esquemas que combinam batalhas técnicas e psicológicas, proteger os ativos requer uma estratégia em múltiplas camadas. Abaixo estão as medidas de precaução detalhadas:
Verificar e gerir permissões de autorização
Utilize a ferramenta de verificação de autorização do explorador de Blockchain para verificar os registros de autorização da carteira.
Revogue regularmente as autorizações desnecessárias, especialmente as autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Verifique o valor de "Allowance"; se for "ilimitado" (como 2^256-1), deve ser revogado imediatamente.
Verifique o link e a origem
Introduza manualmente a URL oficial, evitando clicar em links nas redes sociais ou em e-mails.
Certifique-se de que o site utiliza o domínio e o certificado SSL corretos (ícone de cadeado verde).
Cuidado com erros de ortografia ou caracteres extras.
Se receber variantes de domínios suspeitos, suspeite imediatamente de sua autenticidade.
Usar carteira fria e múltiplas assinaturas
Armazenar a maior parte dos ativos em carteiras de hardware, conectando à rede apenas quando necessário.
Para ativos de grande valor, utilize ferramentas de múltiplas assinaturas, exigindo a confirmação de transações por várias chaves, reduzindo o risco de erro de ponto único.
Mesmo que a carteira quente seja comprometida, os ativos em armazenamento frio permanecem seguros.
Trate os pedidos de assinatura com cautela
Leia atentamente os detalhes da transação na janela pop-up da carteira a cada assinatura.
Preste atenção ao campo "dados", se contiver funções desconhecidas (como "TransferFrom"), recuse a assinatura.
Use a funcionalidade "Decode Input Data" do explorador de Blockchain para analisar o conteúdo da assinatura, ou consulte um especialista técnico.
Criar carteiras independentes para operações de alto risco, armazenando pequenos valores de ativos.
responder a ataques de poeira
Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
Através da plataforma do explorador de Blockchain, confirme a origem do token; se for um envio em massa, esteja em alta alerta.
Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima, os usuários comuns podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude sofisticados, mas a verdadeira segurança não é uma vitória unilateral da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a assinatura múltipla dispersa a exposição ao risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são o último bastião contra os ataques. Cada análise de dados antes da assinatura e cada revisão de permissões após a autorização são uma declaração de soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais crucial sempre reside em: internalizar a consciência de segurança como um hábito, estabelecendo um equilíbrio eterno entre confiança e verificação. Afinal, no mundo da blockchain onde código é lei, cada clique, cada transação é permanentemente registrado no mundo da cadeia, impossível de ser alterado.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
7 Curtidas
Recompensa
7
6
Compartilhar
Comentário
0/400
SmartContractRebel
· 12h atrás
Tomar a posição inversa retirou a autorização, ainda quer roubar a minha moeda, como é?
Ver originalResponder0
LiquidityWizard
· 12h atrás
teoricamente falando, 99,7% desses "hacks" são apenas erro do usuário smh
Blockchain protocolo tornou-se uma nova ferramenta de fraude Como proteger os seus encriptação ativos
Novas ameaças no mundo Blockchain: quando os contratos inteligentes se tornam ferramentas de fraude
As criptomoedas e a tecnologia Blockchain estão a reconfigurar o panorama financeiro, mas esta revolução também trouxe novos desafios de segurança. Os golpistas já não se limitam a explorar vulnerabilidades técnicas, mas transformam os próprios protocolos de contratos inteligentes do Blockchain em meios de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles aproveitam a transparência e a irreversibilidade do Blockchain, convertendo a confiança dos usuários em ferramentas de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não são apenas furtivos e difíceis de detectar, mas também são mais enganosos devido à sua aparência "legítima". Este artigo analisará exemplos para revelar como os golpistas transformam protocolos em veículos de ataque e fornecerá soluções abrangentes, desde a proteção técnica até a prevenção comportamental, ajudando-o a navegar com segurança num mundo descentralizado.
I. Como os contratos legais se tornam ferramentas de fraude?
O objetivo do design do protocolo Blockchain é garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque oculto. Abaixo estão algumas técnicas e suas explicações técnicas:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos: Em blockchains como a Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, os golpistas aproveitam este mecanismo para projetar contratos maliciosos.
Modo de operação: Os golpistas criam um DApp disfarçado de projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que à primeira vista parece ser a autorização de uma quantidade limitada de tokens, mas na realidade pode ser um limite infinito (valor uint256.max). Assim que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom", podendo retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Caso real: No início de 2023, um site de phishing disfarçado de "atualização Uniswap V3" levou à perda de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na blockchain mostram que essas transações estão totalmente em conformidade com o padrão ERC-20, e as vítimas nem conseguem recuperar os fundos através de meios legais, pois a autorização foi assinada voluntariamente.
(2) Assinatura de Phishing
Princípios técnicos: As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas para provar a legalidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é divulgada na rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento: O usuário recebe um e-mail ou mensagem disfarçados de notificação oficial, como "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a carteira". Ao clicar no link, o usuário é direcionado para um site malicioso, solicitando a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, ser uma chamada à função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Caso real: Uma comunidade de um conhecido projeto NFT sofreu um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares devido à assinatura de transações "de recebimento de airdrop" falsificadas. Os atacantes exploraram o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.
(3) Tokens falsos e "ataque de poeira"
Princípios técnicos: A abertura do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas se aproveitam disso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e vinculá-la à pessoa ou empresa que possui a carteira.
Funcionamento: Os atacantes enviam pequenas quantidades de criptomoedas para diferentes endereços e tentam descobrir quais pertencem à mesma carteira. Esses "pó" geralmente são distribuídos na forma de airdrops para as carteiras dos usuários, podendo ter nomes ou metadados atraentes. Os usuários podem querer converter esses tokens, acessando o site fornecido pelos atacantes. Os atacantes podem então acessar a carteira dos usuários através do endereço do contrato associado aos tokens, ou através da análise das transações subsequentes dos usuários, identificando endereços de carteiras ativas e implementando golpes mais precisos.
Caso real: No passado, os ataques de poeira de "tokens GAS" que surgiram na rede Ethereum afetaram milhares de carteiras. Alguns usuários, devido à curiosidade, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes são bem-sucedidas em grande parte porque estão escondidas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernir sua verdadeira natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica: O código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais como "0x095ea7b3...", e os usuários não conseguem avaliar intuitivamente seu significado.
Legitimidade na cadeia: todas as transações são registradas na Blockchain, parecem transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois do fato, quando os ativos já não podem ser recuperados.
Engenharia social: os golpistas exploram as fraquezas da natureza humana, como a ganância ("receba 1000 dólares em tokens gratuitamente"), o medo ("verificação necessária devido a atividade anormal na conta") ou a confiança (disfarçando-se como atendimento ao cliente).
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao domínio oficial, ou até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante desses esquemas que combinam batalhas técnicas e psicológicas, proteger os ativos requer uma estratégia em múltiplas camadas. Abaixo estão as medidas de precaução detalhadas:
Verificar e gerir permissões de autorização
Verifique o link e a origem
Usar carteira fria e múltiplas assinaturas
Trate os pedidos de assinatura com cautela
responder a ataques de poeira
Conclusão
Ao implementar as medidas de segurança acima, os usuários comuns podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude sofisticados, mas a verdadeira segurança não é uma vitória unilateral da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a assinatura múltipla dispersa a exposição ao risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são o último bastião contra os ataques. Cada análise de dados antes da assinatura e cada revisão de permissões após a autorização são uma declaração de soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais crucial sempre reside em: internalizar a consciência de segurança como um hábito, estabelecendo um equilíbrio eterno entre confiança e verificação. Afinal, no mundo da blockchain onde código é lei, cada clique, cada transação é permanentemente registrado no mundo da cadeia, impossível de ser alterado.