Скрытые угрозы в мире Блокчейн: анализ и предотвращение мошенничества со смарт-контрактами
Криптовалюты и технологии блокчейн меняют финансовую сферу, но с этим приходит новый тип угрозы. Мошенники больше не ограничиваются использованием уязвимостей технологий, а превращают протоколы смарт-контрактов блокчейна в инструменты атаки. С помощью тщательно разработанных ловушек социальной инженерии они используют прозрачность и необратимость блокчейна, превращая доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кроссчейн-транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и обладают большей обманчивостью из-за своего "легитимного" внешнего вида. В этой статье через примеры будет показано, как мошенники превращают протоколы в носители атак, а также предложены всесторонние решения, от технической защиты до поведенческих мер, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как легальный договор превращается в инструмент мошенничества?
Блокчейн-протоколы изначально разрабатывались для обеспечения безопасности и доверия, однако мошенники используют их особенности, сочетая с небрежностью пользователей, чтобы создать различные скрытые способы атаки. Ниже приведены некоторые распространенные приемы и их технические детали:
(1) злонамеренные смарт-контракты
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьих лиц (обычно смарт-контракты) извлекать определенное количество токенов из их кошельков. Эта функция широко используется в протоколах DeFi, пользователи должны уполномочить смарт-контракты для завершения сделок, стейкинга или ликвидного майнинга. Тем не менее, мошенники используют этот механизм для разработки злонамеренных контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают свои кошельки и их подводят к нажатию "Approve", что на первый взгляд выглядит как разрешение на небольшое количество токенов, в действительности же это может быть неограниченный лимит (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, замаскировавшийся под "обновление какого-то DEX", привел к потерям миллионов долларов в USDT и ETH у сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через законные средства, так как авторизация была подписана добровольно.
(2) Подпись Фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошельки обычно отображают запрос на подпись, и после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы:
Пользователь получает письмо или сообщение в социальной сети, замаскированное под официальное уведомление, например, "Ваш NFT-airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, который требует подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", дающая мошенникам контроль над NFT коллекцией пользователя.
Реальный случай:
Некоторые известные сообщества NFT проектов подверглись атаке фишинга с использованием подписей, в результате чего несколько пользователей потеряли NFT стоимостью в несколько миллионов долларов из-за подписания поддельных транзакций "получения аирдропа". Нападающие использовали стандарт подписи EIP-712, подделывая запросы, которые выглядели безопасно.
(3) Ложные токены и "атака пыли"
Технические принципы:
Открытость Блокчейн позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивает это активно. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошелька и связывать ее с личностями или компаниями, владеющими кошельком.
Способ работы:
В большинстве случаев "пыль", используемая в атаках с пылью, распределяется в виде аирдропа на кошельки пользователей, при этом эти токены могут содержать название или метаданные (например, "FREE_AIRDROP"), что побуждает пользователей посетить определенный веб-сайт для получения подробной информации. Пользователи обычно хотят обменять эти токены, и тогда злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прикрепленный к токенам. Скрытое заключается в том, что атака с пылью будет использовать социальную инженерию, анализируя последующие транзакции пользователей, чтобы определить активные адреса кошельков, на которые можно будет осуществить более точное мошенничество.
Реальный случай:
На сети Эфириума произошла атака "пылевыми токенами" GAS, которая затронула тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытного взаимодействия.
Два, почему эти мошенничества трудно распознать?
Эти мошеннические схемы успешны в значительной степени потому, что они скрыты в законных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть трудны для понимания непрофессиональными пользователями. Например, запрос "Approve" может отображаться как шестнадцатеричные данные типа "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.
Законность на блокчейне: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы зачастую осознают последствия авторизации или подписи лишь позже, когда активы уже невозможно вернуть.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необычная активность в аккаунте, необходимо подтвердить") или доверие (маскируются под службу поддержки).
Замаскированный изящество: Фишинговые сайты могут использовать URL, похожие на официальные домены, а также увеличивать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, в которых сочетаются технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями
Инструменты: используйте проверщик авторизации блокчейн-эксплоратора или специализированные инструменты для отмены, чтобы проверить записи авторизации кошелька.
Операция: регулярно отменяйте ненужные разрешения, особенно на неограниченные разрешения для неизвестных адресов. Перед каждым разрешением убедитесь, что DApp поступает из надежного источника.
Технические детали: проверьте значение "Allowance"; если оно равно "бессрочно" (например, 2^256-1), его следует немедленно отозвать.
Проверка ссылки и источника
Метод: введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый значок замка). Будьте осторожны с опечатками или лишними символами.
Пример: если вы получите модификацию с законного сайта (например, с добавлением дополнительных символов), немедленно подозревайте в ее подлинности.
Используйте холодный кошелек и мультиподпись
Холодный кошелек: хранение большей части активов в аппаратном кошельке, подключение к сети только при необходимости.
Мультиподпись: для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакций несколькими ключами, что снижает риск ошибок в единой точке.
Преимущества: даже если горячий кошелек будет взломан, активы холодного хранения останутся в безопасности.
Будьте осторожны с запросами на подпись
Шаги: При каждом подписании внимательно читайте детали транзакции в всплывающем окне кошелька. Некоторые кошельки будут отображать поле "Данные", если оно содержит неизвестные функции (например, "TransferFrom"), откажитесь от подписания.
Инструменты: используйте функцию "Decode Input Data" блокчейн-обозревателя для анализа содержимого подписи или проконсультируйтесь с техническим специалистом.
Рекомендация: создайте отдельный кошелек для операций с высоким риском и храните в нем небольшое количество активов.
В ответ на атаки с пылью
Стратегия: после получения неизвестного токена не взаимодействуйте. Отметьте его как "спам" или скройте.
Проверка: с помощью Блокчейн-обозревателя подтвердите источник токена, если это массовая отправка, будьте особенно осторожны.
Профилактика: избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Реализовав вышеупомянутые меры безопасности, обычные пользователи могут значительно снизить риск стать жертвой высококлассных мошеннических схем, но настоящая безопасность — это не просто победа на техническом фронте. Когда аппаратные кошельки создают физическую линию защиты, а многоподписи распределяют риски, понимание пользователями логики авторизации и осторожность в действиях на блокчейне становятся последней крепостью против атак. Каждое предварительное разъяснение данных перед подписанием, каждая проверка прав после авторизации — это клятва в защиту собственной цифровой суверенности.
В будущем, независимо от того, как технологии будут эволюционировать, самым важным защитным барьером всегда будет: инкорпорировать осознание безопасности в мышечную память и установить вечный баланс между доверием и проверкой. В конце концов, в мире Блокчейн, где код является законом, каждое нажатие кнопки, каждая транзакция навсегда записываются в цепочке и не могут быть изменены.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
7
Поделиться
комментарий
0/400
MemecoinTrader
· 07-09 15:05
альфа совет: эксплуатируйте эксплуататоров, всегда проводите мета-игровую аналитику на паттернах безопасности контрактов...
Посмотреть ОригиналОтветить0
MintMaster
· 07-07 12:31
Не надо кошелька, кто мне найдет财神爷?
Посмотреть ОригиналОтветить0
Rugman_Walking
· 07-06 22:52
неудачников的觉醒
Посмотреть ОригиналОтветить0
RadioShackKnight
· 07-06 22:51
Старый кошелек потерялся десятки раз, кто поймет?
Посмотреть ОригиналОтветить0
NftBankruptcyClub
· 07-06 22:33
Контракт? Ещё один неудачников разыгрывайте людей как лохов.
Анализ мошенничества со смарт-контрактами: скрытые угрозы безопасности Блокчейн и стратегии предотвращения
Скрытые угрозы в мире Блокчейн: анализ и предотвращение мошенничества со смарт-контрактами
Криптовалюты и технологии блокчейн меняют финансовую сферу, но с этим приходит новый тип угрозы. Мошенники больше не ограничиваются использованием уязвимостей технологий, а превращают протоколы смарт-контрактов блокчейна в инструменты атаки. С помощью тщательно разработанных ловушек социальной инженерии они используют прозрачность и необратимость блокчейна, превращая доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кроссчейн-транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и обладают большей обманчивостью из-за своего "легитимного" внешнего вида. В этой статье через примеры будет показано, как мошенники превращают протоколы в носители атак, а также предложены всесторонние решения, от технической защиты до поведенческих мер, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как легальный договор превращается в инструмент мошенничества?
Блокчейн-протоколы изначально разрабатывались для обеспечения безопасности и доверия, однако мошенники используют их особенности, сочетая с небрежностью пользователей, чтобы создать различные скрытые способы атаки. Ниже приведены некоторые распространенные приемы и их технические детали:
(1) злонамеренные смарт-контракты
Технический принцип: На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьих лиц (обычно смарт-контракты) извлекать определенное количество токенов из их кошельков. Эта функция широко используется в протоколах DeFi, пользователи должны уполномочить смарт-контракты для завершения сделок, стейкинга или ликвидного майнинга. Тем не менее, мошенники используют этот механизм для разработки злонамеренных контрактов.
Способ работы: Мошенники создают DApp, маскирующийся под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают свои кошельки и их подводят к нажатию "Approve", что на первый взгляд выглядит как разрешение на небольшое количество токенов, в действительности же это может быть неограниченный лимит (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай: В начале 2023 года фишинговый сайт, замаскировавшийся под "обновление какого-то DEX", привел к потерям миллионов долларов в USDT и ETH у сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через законные средства, так как авторизация была подписана добровольно.
(2) Подпись Фишинг
Технический принцип: Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошельки обычно отображают запрос на подпись, и после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы: Пользователь получает письмо или сообщение в социальной сети, замаскированное под официальное уведомление, например, "Ваш NFT-airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, который требует подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", дающая мошенникам контроль над NFT коллекцией пользователя.
Реальный случай: Некоторые известные сообщества NFT проектов подверглись атаке фишинга с использованием подписей, в результате чего несколько пользователей потеряли NFT стоимостью в несколько миллионов долларов из-за подписания поддельных транзакций "получения аирдропа". Нападающие использовали стандарт подписи EIP-712, подделывая запросы, которые выглядели безопасно.
(3) Ложные токены и "атака пыли"
Технические принципы: Открытость Блокчейн позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивает это активно. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошелька и связывать ее с личностями или компаниями, владеющими кошельком.
Способ работы: В большинстве случаев "пыль", используемая в атаках с пылью, распределяется в виде аирдропа на кошельки пользователей, при этом эти токены могут содержать название или метаданные (например, "FREE_AIRDROP"), что побуждает пользователей посетить определенный веб-сайт для получения подробной информации. Пользователи обычно хотят обменять эти токены, и тогда злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прикрепленный к токенам. Скрытое заключается в том, что атака с пылью будет использовать социальную инженерию, анализируя последующие транзакции пользователей, чтобы определить активные адреса кошельков, на которые можно будет осуществить более точное мошенничество.
Реальный случай: На сети Эфириума произошла атака "пылевыми токенами" GAS, которая затронула тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытного взаимодействия.
Два, почему эти мошенничества трудно распознать?
Эти мошеннические схемы успешны в значительной степени потому, что они скрыты в законных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть трудны для понимания непрофессиональными пользователями. Например, запрос "Approve" может отображаться как шестнадцатеричные данные типа "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.
Законность на блокчейне: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы зачастую осознают последствия авторизации или подписи лишь позже, когда активы уже невозможно вернуть.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необычная активность в аккаунте, необходимо подтвердить") или доверие (маскируются под службу поддержки).
Замаскированный изящество: Фишинговые сайты могут использовать URL, похожие на официальные домены, а также увеличивать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, в которых сочетаются технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями
Проверка ссылки и источника
Используйте холодный кошелек и мультиподпись
Будьте осторожны с запросами на подпись
В ответ на атаки с пылью
Заключение
Реализовав вышеупомянутые меры безопасности, обычные пользователи могут значительно снизить риск стать жертвой высококлассных мошеннических схем, но настоящая безопасность — это не просто победа на техническом фронте. Когда аппаратные кошельки создают физическую линию защиты, а многоподписи распределяют риски, понимание пользователями логики авторизации и осторожность в действиях на блокчейне становятся последней крепостью против атак. Каждое предварительное разъяснение данных перед подписанием, каждая проверка прав после авторизации — это клятва в защиту собственной цифровой суверенности.
В будущем, независимо от того, как технологии будут эволюционировать, самым важным защитным барьером всегда будет: инкорпорировать осознание безопасности в мышечную память и установить вечный баланс между доверием и проверкой. В конце концов, в мире Блокчейн, где код является законом, каждое нажатие кнопки, каждая транзакция навсегда записываются в цепочке и не могут быть изменены.