Скрытые ловушки мира Блокчейн: как смарт-контракты становятся инструментом кражи активов
Криптовалюты и технологии Блокчейн переосмысляют концепцию финансовой свободы, но эта революция также принесла новые проблемы безопасности. Мошенники больше не ограничиваются использованием технических уязвимостей, а превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно спроектированных ловушек социальной инженерии они используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в средства кражи активов. От подделки смарт-контрактов до манипуляции кроссчейн-транзакциями, эти атаки не только скрытны и трудны для отслеживания, но и обладают высокой степенью обмана благодаря своему "легитимному" виду.
Один. Как законные соглашения становятся инструментами мошенничества?
Блокчейн-протоколы должны обеспечивать безопасность и доверие, но мошенники ловко используют их особенности, сочетая с небрежностью пользователей, создавая разнообразные скрытые методы атак. Ниже приведены некоторые распространенные приемы и их технические детали:
(1) Зловредные смарт-контракты
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочивать третьи стороны извлекать определенное количество токенов из их кошелька. Эта функция широко используется в протоколах DeFi, где пользователям необходимо уполномочить смарт-контракты для выполнения сделок, стейкинга или ликвидного майнинга. Тем не менее, мошенники используют этот механизм для создания злонамеренных контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под законный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошельки и их склоняют к нажатию "Approve", что на первый взгляд является разрешением на небольшое количество токенов, но на самом деле может быть неограниченным лимитом. Как только авторизация завершена, адрес контракта мошенников получает разрешение и может в любое время изымать все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, маскирующийся под "обновление какого-то DEX", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Данные блокчейна показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические средства, так как авторизация была подписана добровольно.
(2) Подпись фишинга
Технический принцип:
Блокчейн-транзакции требуют от пользователя создания подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция транслируется в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает письмо или сообщение в социальных сетях, замаскированное под официальное уведомление, например, "Ваш NFT airdrop доступен для получения, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию проверки". Эта транзакция на самом деле может вызывать функцию "Transfer", напрямую переводя ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", разрешающая мошеннику контролировать коллекцию NFT пользователя.
Реальный случай:
Некоторые известные сообщества NFT-проектов подверглись атаке фишинга с использованием подписей, и многие пользователи потеряли NFT на сумму в миллионы долларов из-за подписания поддельных транзакций "получения аirdrop". Атакующие воспользовались стандартом подписей EIP-712, подделав казалось бы безопасный запрос.
(3) Ложные токены и "атака пыли"
Технические принципы:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивает этого. Мошенники используют это, отправляя небольшие количества криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками.
Способ работы:
В большинстве случаев "пыль", используемая в атаках с пылью, распределяется в виде аирдропа на кошельки пользователей. Эти токены могут иметь заманчивые названия или метаданные, что побуждает пользователей посетить определенный веб-сайт для получения подробной информации. Пользователи могут попытаться обналичить эти токены, что позволяет злоумышленникам получить доступ к кошельку пользователя через адрес контракта, сопутствующий токенам. Более скрытно, злоумышленники используют социальную инженерию, анализируя последующие транзакции пользователей, чтобы определить активные адреса кошельков пользователей, что позволяет проводить более точные мошеннические действия.
Реальный случай:
Когда-то на сети Эфириума произошла атака "пыльных токенов", которая затронула тысячи кошельков. Некоторые пользователи, будучи любопытными и взаимодействуя, потеряли ETH и токены ERC-20.
Два, почему эти мошенничества трудно обнаружить?
Эти схемы успешно работают в значительной степени потому, что они скрываются в легитимных механизмах Блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контракта и запросы на подпись могут быть трудными для понимания непрофессиональными пользователями. Например, запрос "Approve" может отображаться как сложные шестнадцатеричные данные, и пользователи не могут интуитивно определить его значение.
Законность на цепочке: все транзакции фиксируются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, когда активы уже невозможно вернуть.
Социальная инженерия: мошенники используют слабости человеческой природы, такие как жадность ("получить токены бесплатно"), страх ("необычная активность аккаунта требует проверки") или доверие (маскируясь под службу поддержки).
Тонкая маскировка: Фишинговые сайты могут использовать URL, похожие на официальный домен, и даже увеличивать доверие с помощью сертификата HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, сочетающими в себе технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями на авторизацию
Используйте инструмент проверки авторизации блокчейн-браузера для проверки записей авторизации кошелька.
Регулярно отменяйте ненужные полномочия, особенно безлимитные полномочия для неизвестных адресов.
Перед каждым разрешением убедитесь, что DApp поступает из надежного источника.
Проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно аннулировать.
Подтвердите ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
Убедитесь, что сайт использует правильное имя домена и SSL-сертификат (иконка зеленого замка).
Будьте осторожны с орфографическими ошибками или лишними символами.
Используйте холодные кошельки и мультиподпись
Храните большую часть активов в аппаратных кошельках и подключайте сеть только при необходимости.
Для крупных активов используйте инструменты мультиподписей, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск ошибок в одной точке.
Будьте осторожны с запросами на подпись
Внимательно читайте детали транзакции в всплывающем окне кошелька при каждом подписании.
Используйте функцию "Декодировать входные данные" в блокчейн-браузере для расшифровки содержимого подписи или проконсультируйтесь с техническим экспертом.
Создайте отдельный кошелек для высокорискованных операций, храните небольшое количество активов.
Противодействие атаке пыли
Не взаимодействуйте с неизвестными токенами. Отметьте их как "спам" или скройте.
Подтвердите источник токена через Блокчейн браузер, если это массовая рассылка, будьте на чеку.
Избегайте раскрытия адреса кошелька или используйте новый адрес для проведения чувствительных операций.
Заключение
Путем реализации вышеупомянутых мер безопасности пользователи могут значительно снизить риск стать жертвами сложных мошеннических схем. Однако настоящая безопасность не зависит только от технических средств. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и его осторожность в цепочечных действиях становятся последней крепостью против атак.
Каждый раз при анализе данных перед подписанием, каждую проверку прав после авторизации — это защита собственного цифрового суверенитета. В будущем, независимо от того, как технологии будут развиваться, самая важная линия защиты всегда будет заключаться в том, чтобы внутренняя безопасность стала привычкой, сохраняя баланс между доверием и проверкой. В мире Блокчейн каждое нажатие, каждая транзакция навсегда записываются и не могут быть изменены. Поэтому выработка осторожного отношения и глубокого понимания станет ключом к обеспечению безопасности активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
9
Репост
Поделиться
комментарий
0/400
BridgeJumper
· 07-08 02:25
Кто еще осмелится подписывать смарт-контракты?
Посмотреть ОригиналОтветить0
Rekt_Recovery
· 07-06 10:45
потерял все свои сбережения из-за кредитного плеча... но здесь, чтобы помочь другим избежать моих ошибок лол
Посмотреть ОригиналОтветить0
OvertimeSquid
· 07-05 05:06
Учение не имеет конца, а мошенники становятся все более изощренными.
Блокчейн смарт-контракты стали инструментом кражи активов: Полное руководство по предотвращению высококлассных мошеннических приемов
Скрытые ловушки мира Блокчейн: как смарт-контракты становятся инструментом кражи активов
Криптовалюты и технологии Блокчейн переосмысляют концепцию финансовой свободы, но эта революция также принесла новые проблемы безопасности. Мошенники больше не ограничиваются использованием технических уязвимостей, а превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно спроектированных ловушек социальной инженерии они используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в средства кражи активов. От подделки смарт-контрактов до манипуляции кроссчейн-транзакциями, эти атаки не только скрытны и трудны для отслеживания, но и обладают высокой степенью обмана благодаря своему "легитимному" виду.
Один. Как законные соглашения становятся инструментами мошенничества?
Блокчейн-протоколы должны обеспечивать безопасность и доверие, но мошенники ловко используют их особенности, сочетая с небрежностью пользователей, создавая разнообразные скрытые методы атак. Ниже приведены некоторые распространенные приемы и их технические детали:
(1) Зловредные смарт-контракты
Технический принцип: На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочивать третьи стороны извлекать определенное количество токенов из их кошелька. Эта функция широко используется в протоколах DeFi, где пользователям необходимо уполномочить смарт-контракты для выполнения сделок, стейкинга или ликвидного майнинга. Тем не менее, мошенники используют этот механизм для создания злонамеренных контрактов.
Способ работы: Мошенники создают DApp, маскирующийся под законный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошельки и их склоняют к нажатию "Approve", что на первый взгляд является разрешением на небольшое количество токенов, но на самом деле может быть неограниченным лимитом. Как только авторизация завершена, адрес контракта мошенников получает разрешение и может в любое время изымать все соответствующие токены из кошелька пользователя.
Реальный случай: В начале 2023 года фишинговый сайт, маскирующийся под "обновление какого-то DEX", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Данные блокчейна показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические средства, так как авторизация была подписана добровольно.
(2) Подпись фишинга
Технический принцип: Блокчейн-транзакции требуют от пользователя создания подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция транслируется в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы: Пользователь получает письмо или сообщение в социальных сетях, замаскированное под официальное уведомление, например, "Ваш NFT airdrop доступен для получения, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию проверки". Эта транзакция на самом деле может вызывать функцию "Transfer", напрямую переводя ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", разрешающая мошеннику контролировать коллекцию NFT пользователя.
Реальный случай: Некоторые известные сообщества NFT-проектов подверглись атаке фишинга с использованием подписей, и многие пользователи потеряли NFT на сумму в миллионы долларов из-за подписания поддельных транзакций "получения аirdrop". Атакующие воспользовались стандартом подписей EIP-712, подделав казалось бы безопасный запрос.
(3) Ложные токены и "атака пыли"
Технические принципы: Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивает этого. Мошенники используют это, отправляя небольшие количества криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками.
Способ работы: В большинстве случаев "пыль", используемая в атаках с пылью, распределяется в виде аирдропа на кошельки пользователей. Эти токены могут иметь заманчивые названия или метаданные, что побуждает пользователей посетить определенный веб-сайт для получения подробной информации. Пользователи могут попытаться обналичить эти токены, что позволяет злоумышленникам получить доступ к кошельку пользователя через адрес контракта, сопутствующий токенам. Более скрытно, злоумышленники используют социальную инженерию, анализируя последующие транзакции пользователей, чтобы определить активные адреса кошельков пользователей, что позволяет проводить более точные мошеннические действия.
Реальный случай: Когда-то на сети Эфириума произошла атака "пыльных токенов", которая затронула тысячи кошельков. Некоторые пользователи, будучи любопытными и взаимодействуя, потеряли ETH и токены ERC-20.
Два, почему эти мошенничества трудно обнаружить?
Эти схемы успешно работают в значительной степени потому, что они скрываются в легитимных механизмах Блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контракта и запросы на подпись могут быть трудными для понимания непрофессиональными пользователями. Например, запрос "Approve" может отображаться как сложные шестнадцатеричные данные, и пользователи не могут интуитивно определить его значение.
Законность на цепочке: все транзакции фиксируются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, когда активы уже невозможно вернуть.
Социальная инженерия: мошенники используют слабости человеческой природы, такие как жадность ("получить токены бесплатно"), страх ("необычная активность аккаунта требует проверки") или доверие (маскируясь под службу поддержки).
Тонкая маскировка: Фишинговые сайты могут использовать URL, похожие на официальный домен, и даже увеличивать доверие с помощью сертификата HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, сочетающими в себе технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями на авторизацию
Подтвердите ссылку и источник
Используйте холодные кошельки и мультиподпись
Будьте осторожны с запросами на подпись
Противодействие атаке пыли
Заключение
Путем реализации вышеупомянутых мер безопасности пользователи могут значительно снизить риск стать жертвами сложных мошеннических схем. Однако настоящая безопасность не зависит только от технических средств. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и его осторожность в цепочечных действиях становятся последней крепостью против атак.
Каждый раз при анализе данных перед подписанием, каждую проверку прав после авторизации — это защита собственного цифрового суверенитета. В будущем, независимо от того, как технологии будут развиваться, самая важная линия защиты всегда будет заключаться в том, чтобы внутренняя безопасность стала привычкой, сохраняя баланс между доверием и проверкой. В мире Блокчейн каждое нажатие, каждая транзакция навсегда записываются и не могут быть изменены. Поэтому выработка осторожного отношения и глубокого понимания станет ключом к обеспечению безопасности активов.