Les pièges cachés du monde de la Blockchain : comment les smart contracts peuvent devenir des outils de vol d'actifs
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution a également apporté de nouveaux défis en matière de sécurité. Les fraudeurs ne se contentent plus d'exploiter les vulnérabilités techniques, mais transforment les protocoles de contrats intelligents Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain, transformant la confiance des utilisateurs en moyens de vol d'actifs. Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à retracer, mais elles sont également très trompeuses en raison de leur apparence "légitimée".
I. Comment un contrat légal peut-il devenir un outil de fraude ?
Les protocoles Blockchain devraient garantir la sécurité et la confiance, mais les fraudeurs exploitent habilement ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques courantes et leurs détails techniques :
(1) Autorisation de smart contracts malveillants
Principes techniques :
Sur des blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, du staking ou du mining de liquidités. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les escrocs créent un DApp déguisé en projet légitime, généralement promu via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble être une autorisation de quelques jetons, mais en réalité cela pourrait être un montant illimité. Une fois l'autorisation terminée, l'adresse de contrat des escrocs obtient la permission de retirer tous les jetons correspondants du portefeuille de l'utilisateur à tout moment.
Cas réel :
Début 2023, un site de phishing déguisé en "mise à jour de某DEX" a causé la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes ne pouvaient même pas récupérer leurs fonds par des moyens légaux, car l'autorisation était signée volontairement.
(2) Signature phishing
Principe technique :
Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via leur clé privée pour prouver la légitimité de la transaction. Les portefeuilles affichent généralement une demande de signature, et une fois que l'utilisateur confirme, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message sur les réseaux sociaux déguisé en notification officielle, par exemple "Votre airdrop NFT est en attente de réception, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'escroc ; ou il pourrait s'agir d'une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'acquisition d'airdrop" falsifiées. Les attaquants ont exploité la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Faux jetons et "attaque de poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille pour suivre l'activité des portefeuilles et les relier aux individus ou entreprises qui possèdent les portefeuilles.
Mode de fonctionnement :
Dans la plupart des cas, la "poussière" utilisée dans les attaques par poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent avoir des noms ou des métadonnées attrayants, incitant les utilisateurs à visiter un site Web pour plus de détails. Les utilisateurs peuvent essayer de convertir ces jetons, ce qui permet aux attaquants d'accéder au portefeuille de l'utilisateur via l'adresse du contrat jointe aux jetons. Plus subtilement, les attaquants utilisent l'ingénierie sociale pour analyser les transactions ultérieures des utilisateurs, verrouillant ainsi les adresses de portefeuille actives des utilisateurs afin de mener des escroqueries plus ciblées.
Cas d'usage réel :
Autrefois, une attaque par "token de carburant" sur le réseau Ethereum a affecté des milliers de portefeuilles. Certains utilisateurs ont perdu des ETH et des tokens ERC-20 en interagissant par curiosité.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent derrière les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : le code des smart contracts et les demandes de signature peuvent être obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous forme de données hexadécimales complexes, rendant difficile pour l'utilisateur de comprendre intuitivement sa signification.
Légalité on-chain : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes prennent souvent conscience des conséquences de l'autorisation ou de la signature après coup, moment où les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, telles que la cupidité ("obtenez des jetons gratuits"), la peur ("vérification nécessaire en cas d'anomalie de compte") ou la confiance (en se faisant passer pour le service client).
Déguisement subtil : les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de crypto-monnaie ?
Face à ces arnaques mêlant techniques et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Utilisez l'outil de vérification des autorisations du navigateur Blockchain pour vérifier les enregistrements d'autorisation du portefeuille.
Révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Avant chaque autorisation, assurez-vous que le DApp provient d'une source de confiance.
Vérifiez la valeur "Allowance". Si elle est "illimitée" (comme 2^256-1), elle doit être immédiatement annulée.
Vérifiez le lien et la source
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les médias sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL (icône de cadenas vert).
Faites attention aux fautes d'orthographe ou aux caractères superflus.
utiliser un portefeuille froid et une signature multiple
Stockez la majeure partie de vos actifs dans un portefeuille matériel et ne connectez le réseau que lorsque c'est nécessaire.
Pour les actifs de grande valeur, utilisez des outils de signature multi-sig, exigeant la confirmation de la transaction par plusieurs clés, réduisant ainsi le risque d'erreur unique.
Traitez les demandes de signature avec prudence
Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille à chaque signature.
Utilisez la fonction "décoder les données d'entrée" du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Créer un portefeuille indépendant pour des opérations à haut risque et y placer une petite quantité d'actifs.
faire face aux attaques de poussière
Après avoir reçu des jetons inconnus, n'interagissez pas. Marquez-les comme "spam" ou cachez-les.
Confirmez la source du jeton via le Blockchain, si c'est un envoi en masse, restez très vigilant.
Évitez de rendre publique l'adresse de votre portefeuille, ou utilisez une nouvelle adresse pour effectuer des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas uniquement sur des moyens techniques. Lorsque les portefeuilles matériels établissent une barrière physique et que les signatures multiples répartissent les risques, la compréhension par les utilisateurs de la logique d'autorisation et leur prudence vis-à-vis des actions sur la Blockchain constituent le dernier rempart contre les attaques.
Chaque analyse de données avant la signature, chaque examen des autorisations après une autorisation, est un maintien de sa propre souveraineté numérique. À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle reste : internaliser la conscience de la sécurité en tant qu'habitude, maintenir un équilibre entre confiance et vérification. Dans le monde du Blockchain, chaque clic, chaque transaction est enregistrée de manière permanente et ne peut être modifiée. Par conséquent, cultiver une attitude prudente et une compréhension approfondie sera la clé pour garantir la sécurité des actifs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
9
Reposter
Partager
Commentaire
0/400
BridgeJumper
· 07-08 02:25
Qui oserait encore signer des smart contracts ?
Voir l'originalRépondre0
Rekt_Recovery
· 07-06 10:45
j'ai perdu toutes mes économies à cause du levier... mais je suis ici pour aider les autres à éviter mes erreurs lmao
Voir l'originalRépondre0
OvertimeSquid
· 07-05 05:06
C'est vraiment un apprentissage sans fin, les escrocs deviennent de plus en plus rusés.
Voir l'originalRépondre0
LayoffMiner
· 07-05 05:06
Les pigeons ont probablement tous suivi ce cours, n'est-ce pas ?
Voir l'originalRépondre0
DeadTrades_Walking
· 07-05 04:55
Les anciens projets ont tous été fondés sur la tromperie.
Voir l'originalRépondre0
BrokeBeans
· 07-05 04:45
Signer et il n'y a plus d'argent. J'ai peur, j'ai peur.
Blockchain smart contracts devenus des outils de vol d'actifs : guide complet pour prévenir les techniques de fraude avancées
Les pièges cachés du monde de la Blockchain : comment les smart contracts peuvent devenir des outils de vol d'actifs
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution a également apporté de nouveaux défis en matière de sécurité. Les fraudeurs ne se contentent plus d'exploiter les vulnérabilités techniques, mais transforment les protocoles de contrats intelligents Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain, transformant la confiance des utilisateurs en moyens de vol d'actifs. Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à retracer, mais elles sont également très trompeuses en raison de leur apparence "légitimée".
I. Comment un contrat légal peut-il devenir un outil de fraude ?
Les protocoles Blockchain devraient garantir la sécurité et la confiance, mais les fraudeurs exploitent habilement ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques courantes et leurs détails techniques :
(1) Autorisation de smart contracts malveillants
Principes techniques : Sur des blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, du staking ou du mining de liquidités. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement : Les escrocs créent un DApp déguisé en projet légitime, généralement promu via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble être une autorisation de quelques jetons, mais en réalité cela pourrait être un montant illimité. Une fois l'autorisation terminée, l'adresse de contrat des escrocs obtient la permission de retirer tous les jetons correspondants du portefeuille de l'utilisateur à tout moment.
Cas réel : Début 2023, un site de phishing déguisé en "mise à jour de某DEX" a causé la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes ne pouvaient même pas récupérer leurs fonds par des moyens légaux, car l'autorisation était signée volontairement.
(2) Signature phishing
Principe technique : Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via leur clé privée pour prouver la légitimité de la transaction. Les portefeuilles affichent généralement une demande de signature, et une fois que l'utilisateur confirme, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : L'utilisateur reçoit un e-mail ou un message sur les réseaux sociaux déguisé en notification officielle, par exemple "Votre airdrop NFT est en attente de réception, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'escroc ; ou il pourrait s'agir d'une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'acquisition d'airdrop" falsifiées. Les attaquants ont exploité la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Faux jetons et "attaque de poussière"
Principe technique : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille pour suivre l'activité des portefeuilles et les relier aux individus ou entreprises qui possèdent les portefeuilles.
Mode de fonctionnement : Dans la plupart des cas, la "poussière" utilisée dans les attaques par poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent avoir des noms ou des métadonnées attrayants, incitant les utilisateurs à visiter un site Web pour plus de détails. Les utilisateurs peuvent essayer de convertir ces jetons, ce qui permet aux attaquants d'accéder au portefeuille de l'utilisateur via l'adresse du contrat jointe aux jetons. Plus subtilement, les attaquants utilisent l'ingénierie sociale pour analyser les transactions ultérieures des utilisateurs, verrouillant ainsi les adresses de portefeuille actives des utilisateurs afin de mener des escroqueries plus ciblées.
Cas d'usage réel : Autrefois, une attaque par "token de carburant" sur le réseau Ethereum a affecté des milliers de portefeuilles. Certains utilisateurs ont perdu des ETH et des tokens ERC-20 en interagissant par curiosité.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent derrière les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : le code des smart contracts et les demandes de signature peuvent être obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous forme de données hexadécimales complexes, rendant difficile pour l'utilisateur de comprendre intuitivement sa signification.
Légalité on-chain : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes prennent souvent conscience des conséquences de l'autorisation ou de la signature après coup, moment où les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, telles que la cupidité ("obtenez des jetons gratuits"), la peur ("vérification nécessaire en cas d'anomalie de compte") ou la confiance (en se faisant passer pour le service client).
Déguisement subtil : les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de crypto-monnaie ?
Face à ces arnaques mêlant techniques et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Vérifiez le lien et la source
utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
faire face aux attaques de poussière
Conclusion
En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas uniquement sur des moyens techniques. Lorsque les portefeuilles matériels établissent une barrière physique et que les signatures multiples répartissent les risques, la compréhension par les utilisateurs de la logique d'autorisation et leur prudence vis-à-vis des actions sur la Blockchain constituent le dernier rempart contre les attaques.
Chaque analyse de données avant la signature, chaque examen des autorisations après une autorisation, est un maintien de sa propre souveraineté numérique. À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle reste : internaliser la conscience de la sécurité en tant qu'habitude, maintenir un équilibre entre confiance et vérification. Dans le monde du Blockchain, chaque clic, chaque transaction est enregistrée de manière permanente et ne peut être modifiée. Par conséquent, cultiver une attitude prudente et une compréhension approfondie sera la clé pour garantir la sécurité des actifs.