Blok Zinciri dünyasındaki gizli tehditler: akıllı sözleşmeler dolandırıcılığı analizi ve önleme
Kripto para ve blok zinciri teknolojisi finans alanını yeniden şekillendiriyor, ancak bununla birlikte yeni bir tehdit türü ortaya çıkıyor. Dolandırıcılar artık sadece teknolojik açıkları kullanmakla sınırlı kalmıyor, aynı zamanda blok zinciri akıllı sözleşme protokollerini saldırı aracı haline getiriyorlar. İyi tasarlanmış sosyal mühendislik tuzakları aracılığıyla, blok zincirinin şeffaflığını ve geri alınamazlığını kullanarak, kullanıcı güvenini varlık hırsızlığının bir aracına dönüştürüyorlar. Sahte akıllı sözleşmelerden zincirler arası işlemleri manipüle etmeye kadar, bu saldırılar yalnızca gizli ve zor tespit edilmekle kalmıyor, aynı zamanda "meşru" görünüşleri nedeniyle daha güçlü bir aldatıcılık sergiliyor. Bu makale, dolandırıcıların protokolleri nasıl saldırı taşıyıcısına dönüştürdüğünü örneklerle analiz edecek ve teknik korumadan davranış önlemeye kadar kapsamlı çözümler sunarak, kullanıcıların merkeziyetsiz dünyada güvenli bir şekilde ilerlemelerine yardımcı olacaktır.
Bir, yasal sözleşmeler nasıl dolandırıcılık aracına dönüşür?
Blok Zinciri protokolleri, güvenliği ve güveni sağlamak için tasarlanmıştır, ancak dolandırıcılar bu özellikleri kullanarak, kullanıcıların dikkatsizliği ile bir araya getirerek, çeşitli gizli saldırı yöntemleri yaratmışlardır. İşte bazı yaygın teknikler ve teknik detayları:
(1) Kötü niyetli akıllı sözleşmeler yetkilendirme
Teknik Prensip:
Ethereum gibi Blok Zincirlerinde, ERC-20 token standardı kullanıcıların "Approve" fonksiyonu aracılığıyla üçüncü taraflara (genellikle akıllı sözleşmelere) cüzdanlarından belirli miktarda token çekmelerine izin vermektedir. Bu işlev, DeFi protokollerinde yaygın olarak kullanılmakta olup, kullanıcıların işlemleri, stake etmeyi veya likidite madenciliğini tamamlamak için akıllı sözleşmelere yetki vermeleri gerekmektedir. Ancak, dolandırıcılar bu mekanizmayı kötü niyetli sözleşmeler tasarlamak için kullanmaktadır.
Çalışma Şekli:
Dolandırıcılar, genellikle sahte web siteleri veya sosyal medya aracılığıyla tanıtılan, yasal bir projeye benzer bir DApp oluşturur. Kullanıcı cüzdanını bağlar ve "Approve" butonuna tıklamaya ikna edilir; bu, görünüşte az miktarda token yetkilendirmesi yapmaktadır, ancak aslında sonsuz bir limit (uint256.max değeri) olabilir. Yetkilendirme tamamlandığında, dolandırıcının sözleşme adresi erişim elde eder ve istediği zaman "TransferFrom" fonksiyonunu çağırarak kullanıcının cüzdanından tüm ilgili tokenleri çekebilir.
Gerçek vaka:
2023 yılının başında, "bir DEX güncellemesi" kılığında ortaya çıkan sahte web sitesi yüzlerce kullanıcının milyonlarca dolar değerindeki USDT ve ETH kaybetmesine neden oldu. Zincir üzerindeki veriler, bu işlemlerin tamamen ERC-20 standardına uygun olduğunu gösteriyor ve mağdurlar yasal yollarla geri alamıyor çünkü yetkilendirme gönüllü olarak imzalanmış.
(2) imza phishing
Teknik Prensip:
Blok Zinciri işlemleri, kullanıcıların işlemin geçerliliğini kanıtlamak için özel anahtar aracılığıyla imza oluşturmasını gerektirir. Cüzdan genellikle imza talebini görüntüler, kullanıcı onayladıktan sonra işlem ağa iletilir. Dolandırıcılar bu süreci kullanarak imza taleplerini sahte bir şekilde oluşturarak varlıkları çalmaktadır.
Çalışma şekli:
Kullanıcı, "NFT airdrop'unuzu almak için lütfen cüzdanınızı doğrulayın" gibi resmi bir bildirim olarak gizlenmiş bir e-posta veya sosyal medya mesajı alır. Bağlantıya tıkladıktan sonra, kullanıcı kötü amaçlı bir web sitesine yönlendirilir ve cüzdanını bağlaması ve "doğrulama işlemi" için bir işlem imzalaması istenir. Bu işlem aslında, cüzdandaki ETH veya token'ları dolandırıcı adresine doğrudan transfer eden "Transfer" fonksiyonunu çağırıyor olabilir; ya da dolandırıcının kullanıcının NFT koleksiyonunu kontrol etmesine izin veren bir "SetApprovalForAll" işlemi olabilir.
Gerçek örnek:
Bir ünlü NFT projesinin topluluğu, imza phishing saldırısına maruz kaldı. Çok sayıda kullanıcı, sahte "airdropped alma" işlemini imzalayarak milyonlarca dolarlık NFT kaybetti. Saldırganlar, EIP-712 imza standardını kullanarak görünüşte güvenli bir isteği sahte olarak oluşturdu.
(3) Sahte tokenler ve "toz saldırısı"
Teknik Prensip:
Blok Zinciri'nin açıklığı, herhangi birinin herhangi bir adrese token göndermesine izin verir; bu, alıcının aktif olarak talep etmemiş olsa bile. Dolandırıcılar bunu kullanarak, birden fazla cüzdan adresine az miktarda kripto para gönderirler, böylece cüzdanın etkinliğini takip eder ve cüzdanın sahibi olan kişi veya şirketle ilişkilendirirler.
Çalışma Şekli:
Çoğu durumda, toz saldırılarında kullanılan "toz" kullanıcı cüzdanlarına airdrop şeklinde dağıtılmaktadır. Bu tokenler, kullanıcıları belirli bir web sitesine yönlendirmek için ad veya meta veri (örneğin, "FREE_AIRDROP") içerebilir. Kullanıcılar genellikle bu tokenleri nakde çevirmek isterler, ardından saldırgan token ile birlikte gelen sözleşme adresi aracılığıyla kullanıcı cüzdanına erişebilir. Gizli olarak, toz saldırıları sosyal mühendislik yoluyla, kullanıcıların sonraki işlemlerini analiz ederek kullanıcıların aktif cüzdan adreslerini hedef alır ve böylece daha hassas dolandırıcılık gerçekleştirir.
Gerçek vakalar:
Ethereum ağı üzerinde ortaya çıkan "GAS token" toz saldırısı binlerce cüzdanı etkiledi. Bazı kullanıcılar merak nedeniyle etkileşime geçerek ETH ve ERC-20 tokenları kaybetti.
İki, bu dolandırıcılıkların neden tespit edilmesi zor?
Bu dolandırıcılıkların başarılı olmasının başlıca nedenlerinden biri, Blok Zinciri'nin meşru mekanizmaları içinde gizlenmiş olmalarıdır; sıradan kullanıcıların kötü niyetli doğasını ayırt etmesi zordur. İşte birkaç ana neden:
Teknik karmaşıklık: Akıllı sözleşmeler kodları ve imza talepleri teknik olmayan kullanıcılar için karmaşık ve anlaşılmazdır. Örneğin, bir "Approve" talebi "0x095ea7b3..." gibi onaltılık veriler olarak görünebilir ve kullanıcılar bunun ne anlama geldiğini doğrudan anlayamaz.
Zincir üzerindeki yasallık: Tüm işlemler Blok Zinciri üzerinde kaydedilir, görünüşte şeffaftır, ancak mağdurlar genellikle yetkilendirme veya imzanın sonuçlarını sonradan fark ederler ve bu noktada varlık geri alınamaz.
Sosyal mühendislik: Dolandırıcılar insan doğasının zayıf noktalarını kullanır, örneğin açgözlülük ("1000 dolar değerinde tokeni ücretsiz al"), korku ("Hesap anormal, doğrulama gerekli") veya güven (müşteri hizmetleri gibi davranarak).
Kandırma ustalıkla: Phishing siteleri, resmi alan adıyla benzer URL'ler kullanabilir ve hatta güvenilirliği artırmak için HTTPS sertifikası alabilir.
Üç, Kripto Para Cüzdanınızı Nasıl Korursunuz?
Bu teknik ve psikolojik savaşın bir arada olduğu dolandırıcılıklara karşı varlıkları korumak için çok katmanlı bir strateji gereklidir. Aşağıda detaylı önleme tedbirleri yer almaktadır:
Yetki izinlerini kontrol et ve yönet
Araçlar: Cüzdanın yetkilendirme kayıtlarını kontrol etmek için blok zinciri tarayıcısının yetkilendirme denetleyicisini veya özel iptal araçlarını kullanın.
İşlem: Gereksiz yetkilendirmeleri düzenli olarak iptal edin, özellikle bilinmeyen adreslere verilen sınırsız yetkilendirmeleri. Her yetkilendirmeden önce, DApp'in güvenilir bir kaynaktan geldiğinden emin olun.
Teknik detaylar: "Allowance" değerini kontrol edin, eğer "sonsuz" (örneğin 2^256-1) ise, derhal iptal edilmelidir.
Bağlantıyı ve kaynağı doğrula
Yöntem: Resmi URL'yi manuel olarak girin, sosyal medya veya e-postalardaki bağlantılara tıklamaktan kaçının.
Kontrol: Web sitesinin doğru alan adını ve SSL sertifikasını (yeşil kilit simgesi) kullandığından emin olun. Yazım hatalarına veya gereksiz karakterlere dikkat edin.
Örnek: Eğer resmi bir web sitesinin bir varyasyonu (örneğin, ek karakterler eklenmiş) alırsanız, hemen güvenilirliğinden şüphelenin.
Soğuk cüzdan ve çoklu imza kullanımı
Soğuk Cüzdan: Varlıkların büyük kısmını donanım cüzdanında saklamak, yalnızca gerektiğinde ağa bağlanmak.
Çoklu İmza: Büyük miktardaki varlıklar için çoklu imza aracını kullanarak, birden fazla anahtarın işlemi onaylamasını talep ederek, tek nokta hatası riskini azaltın.
Avantaj: Sıcak cüzdan kırılmasına rağmen, soğuk depolama varlıkları hala güvende.
İmza taleplerini dikkatli işleyin
Adım: Her imzalamada, cüzdan penceresinde yer alan işlem detaylarını dikkatlice okuyun. Bazı cüzdanlar "veri" alanını gösterir, eğer belirsiz bir fonksiyon (örneğin "TransferFrom") içeriyorsa, imzalamayı reddedin.
Araçlar: Blok Zinciri tarayıcısının "Giriş Verisini Çöz" işlevini kullanarak imza içeriğini çözebilir veya bir teknik uzmana danışabilirsiniz.
Öneri: Yüksek riskli işlemler için bağımsız bir cüzdan oluşturun ve az miktarda varlık bulundurun.
Toz saldırısına karşı
Strateji: Belirsiz tokenler alındığında etkileşime girmeyin. Bunları "çöp" olarak işaretleyin veya gizleyin.
Kontrol: Blok Zinciri tarayıcısı aracılığıyla, token kaynağını doğrulayın, eğer toplu gönderim ise, yüksek dikkat gösterin.
Önleme: Cüzdan adresinizi kamuya açık hale getirmekten kaçının veya hassas işlemler için yeni bir adres kullanın.
Sonuç
Yukarıda belirtilen güvenlik önlemlerini uygulayarak, sıradan kullanıcılar yüksek düzeyde dolandırıcılık programlarının kurbanı olma riskini önemli ölçüde azaltabilir, ancak gerçek güvenlik asla yalnızca teknik bir zafer değildir. Donanım cüzdanları fiziksel bir savunma hattı oluşturduğunda ve çoklu imzalar risk maruziyetini dağıttığında, kullanıcıların yetkilendirme mantığını anlama yetenekleri ve zincir üzerindeki davranışlarına dikkat etmeleri, saldırılara karşı son savunma hattı olur. Her imza öncesindeki veri analizi, her yetkilendirme sonrası yetki denetimi, dijital egemenliklerine olan bir yemin niteliğindedir.
Gelecekte, teknoloji ne kadar evrim geçirirse geçirsin, en temel savunma hattı her zaman şurada yatmaktadır: güvenlik bilincini kas hafızasına içselleştirmek ve güven ile doğrulama arasında kalıcı bir denge kurmak. Sonuçta, kodun yasalar olduğu Blok Zinciri dünyasında, her tıklama, her işlem kalıcı olarak zincir üzerinde kaydedilir ve değiştirilemez.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Likes
Reward
14
7
Share
Comment
0/400
MemecoinTrader
· 07-09 15:05
alpha ipucu: sömürücüleri sömürü, her zaman sözleşme güvenlik kalıpları üzerinde meta-oyun analitikleri çalıştır...
View OriginalReply0
MintMaster
· 07-07 12:31
Cüzdanı bırak, bana para tanrısını kim bulacak?
View OriginalReply0
Rugman_Walking
· 07-06 22:52
enayilerin uyanışı
View OriginalReply0
RadioShackKnight
· 07-06 22:51
Eski cüzdanım ondan fazla kayboldu, kim anlar ki?
View OriginalReply0
NftBankruptcyClub
· 07-06 22:33
Sözleşme? Yine bir enayi biçme makinesi.
View OriginalReply0
down_only_larry
· 07-06 22:31
Rekt! Kripto dünyasında emiciler tarafından oyuna getirilmek isteyen çok insan var.
akıllı sözleşmeler dolandırıcılığı analizi: Blok Zinciri güvenliğinin gizli tehditleri ve önleme stratejileri
Blok Zinciri dünyasındaki gizli tehditler: akıllı sözleşmeler dolandırıcılığı analizi ve önleme
Kripto para ve blok zinciri teknolojisi finans alanını yeniden şekillendiriyor, ancak bununla birlikte yeni bir tehdit türü ortaya çıkıyor. Dolandırıcılar artık sadece teknolojik açıkları kullanmakla sınırlı kalmıyor, aynı zamanda blok zinciri akıllı sözleşme protokollerini saldırı aracı haline getiriyorlar. İyi tasarlanmış sosyal mühendislik tuzakları aracılığıyla, blok zincirinin şeffaflığını ve geri alınamazlığını kullanarak, kullanıcı güvenini varlık hırsızlığının bir aracına dönüştürüyorlar. Sahte akıllı sözleşmelerden zincirler arası işlemleri manipüle etmeye kadar, bu saldırılar yalnızca gizli ve zor tespit edilmekle kalmıyor, aynı zamanda "meşru" görünüşleri nedeniyle daha güçlü bir aldatıcılık sergiliyor. Bu makale, dolandırıcıların protokolleri nasıl saldırı taşıyıcısına dönüştürdüğünü örneklerle analiz edecek ve teknik korumadan davranış önlemeye kadar kapsamlı çözümler sunarak, kullanıcıların merkeziyetsiz dünyada güvenli bir şekilde ilerlemelerine yardımcı olacaktır.
Bir, yasal sözleşmeler nasıl dolandırıcılık aracına dönüşür?
Blok Zinciri protokolleri, güvenliği ve güveni sağlamak için tasarlanmıştır, ancak dolandırıcılar bu özellikleri kullanarak, kullanıcıların dikkatsizliği ile bir araya getirerek, çeşitli gizli saldırı yöntemleri yaratmışlardır. İşte bazı yaygın teknikler ve teknik detayları:
(1) Kötü niyetli akıllı sözleşmeler yetkilendirme
Teknik Prensip: Ethereum gibi Blok Zincirlerinde, ERC-20 token standardı kullanıcıların "Approve" fonksiyonu aracılığıyla üçüncü taraflara (genellikle akıllı sözleşmelere) cüzdanlarından belirli miktarda token çekmelerine izin vermektedir. Bu işlev, DeFi protokollerinde yaygın olarak kullanılmakta olup, kullanıcıların işlemleri, stake etmeyi veya likidite madenciliğini tamamlamak için akıllı sözleşmelere yetki vermeleri gerekmektedir. Ancak, dolandırıcılar bu mekanizmayı kötü niyetli sözleşmeler tasarlamak için kullanmaktadır.
Çalışma Şekli: Dolandırıcılar, genellikle sahte web siteleri veya sosyal medya aracılığıyla tanıtılan, yasal bir projeye benzer bir DApp oluşturur. Kullanıcı cüzdanını bağlar ve "Approve" butonuna tıklamaya ikna edilir; bu, görünüşte az miktarda token yetkilendirmesi yapmaktadır, ancak aslında sonsuz bir limit (uint256.max değeri) olabilir. Yetkilendirme tamamlandığında, dolandırıcının sözleşme adresi erişim elde eder ve istediği zaman "TransferFrom" fonksiyonunu çağırarak kullanıcının cüzdanından tüm ilgili tokenleri çekebilir.
Gerçek vaka: 2023 yılının başında, "bir DEX güncellemesi" kılığında ortaya çıkan sahte web sitesi yüzlerce kullanıcının milyonlarca dolar değerindeki USDT ve ETH kaybetmesine neden oldu. Zincir üzerindeki veriler, bu işlemlerin tamamen ERC-20 standardına uygun olduğunu gösteriyor ve mağdurlar yasal yollarla geri alamıyor çünkü yetkilendirme gönüllü olarak imzalanmış.
(2) imza phishing
Teknik Prensip: Blok Zinciri işlemleri, kullanıcıların işlemin geçerliliğini kanıtlamak için özel anahtar aracılığıyla imza oluşturmasını gerektirir. Cüzdan genellikle imza talebini görüntüler, kullanıcı onayladıktan sonra işlem ağa iletilir. Dolandırıcılar bu süreci kullanarak imza taleplerini sahte bir şekilde oluşturarak varlıkları çalmaktadır.
Çalışma şekli: Kullanıcı, "NFT airdrop'unuzu almak için lütfen cüzdanınızı doğrulayın" gibi resmi bir bildirim olarak gizlenmiş bir e-posta veya sosyal medya mesajı alır. Bağlantıya tıkladıktan sonra, kullanıcı kötü amaçlı bir web sitesine yönlendirilir ve cüzdanını bağlaması ve "doğrulama işlemi" için bir işlem imzalaması istenir. Bu işlem aslında, cüzdandaki ETH veya token'ları dolandırıcı adresine doğrudan transfer eden "Transfer" fonksiyonunu çağırıyor olabilir; ya da dolandırıcının kullanıcının NFT koleksiyonunu kontrol etmesine izin veren bir "SetApprovalForAll" işlemi olabilir.
Gerçek örnek: Bir ünlü NFT projesinin topluluğu, imza phishing saldırısına maruz kaldı. Çok sayıda kullanıcı, sahte "airdropped alma" işlemini imzalayarak milyonlarca dolarlık NFT kaybetti. Saldırganlar, EIP-712 imza standardını kullanarak görünüşte güvenli bir isteği sahte olarak oluşturdu.
(3) Sahte tokenler ve "toz saldırısı"
Teknik Prensip: Blok Zinciri'nin açıklığı, herhangi birinin herhangi bir adrese token göndermesine izin verir; bu, alıcının aktif olarak talep etmemiş olsa bile. Dolandırıcılar bunu kullanarak, birden fazla cüzdan adresine az miktarda kripto para gönderirler, böylece cüzdanın etkinliğini takip eder ve cüzdanın sahibi olan kişi veya şirketle ilişkilendirirler.
Çalışma Şekli: Çoğu durumda, toz saldırılarında kullanılan "toz" kullanıcı cüzdanlarına airdrop şeklinde dağıtılmaktadır. Bu tokenler, kullanıcıları belirli bir web sitesine yönlendirmek için ad veya meta veri (örneğin, "FREE_AIRDROP") içerebilir. Kullanıcılar genellikle bu tokenleri nakde çevirmek isterler, ardından saldırgan token ile birlikte gelen sözleşme adresi aracılığıyla kullanıcı cüzdanına erişebilir. Gizli olarak, toz saldırıları sosyal mühendislik yoluyla, kullanıcıların sonraki işlemlerini analiz ederek kullanıcıların aktif cüzdan adreslerini hedef alır ve böylece daha hassas dolandırıcılık gerçekleştirir.
Gerçek vakalar: Ethereum ağı üzerinde ortaya çıkan "GAS token" toz saldırısı binlerce cüzdanı etkiledi. Bazı kullanıcılar merak nedeniyle etkileşime geçerek ETH ve ERC-20 tokenları kaybetti.
İki, bu dolandırıcılıkların neden tespit edilmesi zor?
Bu dolandırıcılıkların başarılı olmasının başlıca nedenlerinden biri, Blok Zinciri'nin meşru mekanizmaları içinde gizlenmiş olmalarıdır; sıradan kullanıcıların kötü niyetli doğasını ayırt etmesi zordur. İşte birkaç ana neden:
Teknik karmaşıklık: Akıllı sözleşmeler kodları ve imza talepleri teknik olmayan kullanıcılar için karmaşık ve anlaşılmazdır. Örneğin, bir "Approve" talebi "0x095ea7b3..." gibi onaltılık veriler olarak görünebilir ve kullanıcılar bunun ne anlama geldiğini doğrudan anlayamaz.
Zincir üzerindeki yasallık: Tüm işlemler Blok Zinciri üzerinde kaydedilir, görünüşte şeffaftır, ancak mağdurlar genellikle yetkilendirme veya imzanın sonuçlarını sonradan fark ederler ve bu noktada varlık geri alınamaz.
Sosyal mühendislik: Dolandırıcılar insan doğasının zayıf noktalarını kullanır, örneğin açgözlülük ("1000 dolar değerinde tokeni ücretsiz al"), korku ("Hesap anormal, doğrulama gerekli") veya güven (müşteri hizmetleri gibi davranarak).
Kandırma ustalıkla: Phishing siteleri, resmi alan adıyla benzer URL'ler kullanabilir ve hatta güvenilirliği artırmak için HTTPS sertifikası alabilir.
Üç, Kripto Para Cüzdanınızı Nasıl Korursunuz?
Bu teknik ve psikolojik savaşın bir arada olduğu dolandırıcılıklara karşı varlıkları korumak için çok katmanlı bir strateji gereklidir. Aşağıda detaylı önleme tedbirleri yer almaktadır:
Yetki izinlerini kontrol et ve yönet
Bağlantıyı ve kaynağı doğrula
Soğuk cüzdan ve çoklu imza kullanımı
İmza taleplerini dikkatli işleyin
Toz saldırısına karşı
Sonuç
Yukarıda belirtilen güvenlik önlemlerini uygulayarak, sıradan kullanıcılar yüksek düzeyde dolandırıcılık programlarının kurbanı olma riskini önemli ölçüde azaltabilir, ancak gerçek güvenlik asla yalnızca teknik bir zafer değildir. Donanım cüzdanları fiziksel bir savunma hattı oluşturduğunda ve çoklu imzalar risk maruziyetini dağıttığında, kullanıcıların yetkilendirme mantığını anlama yetenekleri ve zincir üzerindeki davranışlarına dikkat etmeleri, saldırılara karşı son savunma hattı olur. Her imza öncesindeki veri analizi, her yetkilendirme sonrası yetki denetimi, dijital egemenliklerine olan bir yemin niteliğindedir.
Gelecekte, teknoloji ne kadar evrim geçirirse geçirsin, en temel savunma hattı her zaman şurada yatmaktadır: güvenlik bilincini kas hafızasına içselleştirmek ve güven ile doğrulama arasında kalıcı bir denge kurmak. Sonuçta, kodun yasalar olduğu Blok Zinciri dünyasında, her tıklama, her işlem kalıcı olarak zincir üzerinde kaydedilir ve değiştirilemez.