Nuevas tendencias de fraude en la cadena de bloques: los contratos inteligentes se convierten en armas de ataque
Las criptomonedas y la tecnología de la cadena de bloques están remodelando el panorama financiero, pero también han dado lugar a una nueva amenaza. Los estafadores ya no dependen únicamente de las vulnerabilidades técnicas, sino que han convertido los protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para transformar la confianza del usuario en un arma para el robo de activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques son no solo encubiertos y difíciles de rastrear, sino que son aún más engañosos debido a su disfraz de "legalidad".
Uno, ¿cómo se convierte un contrato inteligente en una herramienta de fraude?
El protocolo de la cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico:
El estándar de token ERC-20 permite a los usuarios autorizar a terceros a extraer una cantidad específica de tokens de su billetera a través de la función "Approve". Los estafadores utilizan este mecanismo para diseñar contratos inteligentes maliciosos.
Forma de operar:
Los estafadores crean DApps que se hacen pasar por proyectos legítimos, induciendo a los usuarios a otorgar autorización. Superficialmente, se trata de autorizar una pequeña cantidad de tokens, pero en realidad podría ser un límite ilimitado. Una vez completada la autorización, los estafadores pueden extraer todos los tokens correspondientes de la billetera del usuario en cualquier momento.
Caso:
A principios de 2023, un sitio web de phishing disfrazado de una actualización de cierto DEX llevó a que cientos de usuarios perdieran millones de dólares en USDT y ETH. Estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas encontraron difícil recuperar sus activos.
(2) firma de phishing
Principio técnico:
Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar:
El usuario recibe un mensaje disfrazado de notificación oficial y es dirigido a un sitio web malicioso para firmar "verificar transacción". Esta transacción podría, en realidad, transferir directamente los activos del usuario o autorizar a los estafadores a controlar el NFT del usuario.
Caso:
Una comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, y varios usuarios perdieron NFT por un valor de millones de dólares debido a la firma de transacciones "de recepción de airdrop" falsificadas.
(3) Tokens falsos y "ataques de polvo"
Principio técnico:
Los estafadores aprovechan la transparencia de la cadena de bloques para enviar pequeñas cantidades de criptomonedas a múltiples direcciones de billetera, con el fin de rastrear la actividad de la billetera y asociar información personal.
Método de operación:
Los estafadores distribuyen tokens de "polvo" en forma de airdrop, induciendo a los usuarios a visitar un sitio web para consultar detalles. Al analizar las transacciones posteriores de los usuarios, identifican las direcciones de billeteras activas y llevan a cabo estafas más precisas.
Caso:
En la red de Ethereum, se produjo un ataque de polvo de "tokens de GAS", que afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué es difícil detectar estas estafas?
Estos fraudes tienen éxito principalmente porque se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes distingan su naturaleza maliciosa. Las principales razones incluyen:
Complejidad técnica: el código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o la firma solo después.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza.
Camuflaje ingenioso: los sitios web de phishing pueden usar URL similares al nombre de dominio oficial e incluso aumentar su credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan aspectos técnicos y psicológicos, proteger los activos requiere estrategias de múltiples niveles:
Revisar y gestionar permisos de autorización
Utilice la herramienta de verificación de autorización del explorador de bloques para revisar regularmente los registros de autorización de la billetera.
Revocar autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Antes de cada autorización, asegúrate de que la fuente de DApp sea confiable.
Verificar enlace y origen
Introduzca manualmente la URL oficial, evite hacer clic en los enlaces de redes sociales o correos electrónicos.
Asegúrate de que el sitio web utilice el nombre de dominio y el certificado SSL correctos.
Ten cuidado con los nombres de dominio que contengan errores ortográficos o caracteres de más.
uso de billetera fría y firma múltiple
Almacene la mayoría de los activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
Para activos de gran valor, utiliza herramientas de firma múltiple, requiriendo la confirmación de la transacción por múltiples claves.
Maneje con cuidado las solicitudes de firma
Cada vez que firmes, lee atentamente los detalles de la transacción en la ventana emergente de la billetera.
Utilizar la función de decodificación del explorador de cadenas de bloques para analizar el contenido de la firma.
Crear una billetera independiente para operaciones de alto riesgo, almacenando una pequeña cantidad de activos.
afrontando ataques de polvo
Después de recibir tokens desconocidos, no interactúe. Márquelos como "basura" o escóndalos.
Confirma el origen del token a través del explorador de la cadena de bloques, ten cuidado con el envío masivo.
Evita hacer público tu dirección de billetera o utiliza una nueva dirección para realizar operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de esquemas de fraude avanzados. Sin embargo, la verdadera seguridad no solo depende de la protección tecnológica, sino que también requiere que los usuarios comprendan la lógica de autorización y sean cautelosos en su comportamiento en la cadena. Cada análisis de datos antes de firmar, cada revisión de permisos después de la autorización, es un juramento a su propia soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la línea de defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como un hábito, manteniendo un equilibrio entre la confianza y la verificación. En el mundo de la cadena de bloques, cada clic y cada transacción se registra de forma permanente e inmutable. Por lo tanto, es crucial cultivar la conciencia de seguridad y hábitos de operación cautelosos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
10
Republicar
Compartir
Comentar
0/400
GmGmNoGn
· 08-15 16:13
La vulnerabilidad del contrato debe prevenirse con anticipación
Ver originalesResponder0
GateUser-a180694b
· 08-15 08:02
La trampa ha evolucionado y se ha vuelto más compleja.
Ver originalesResponder0
BlockDetective
· 08-12 22:49
Defensas contra la trampa
Ver originalesResponder0
SchroedingersFrontrun
· 08-12 18:17
La autorización puede ser una gran trampa, amigos.
Ver originalesResponder0
RugPullAlarm
· 08-12 18:13
El uso de la autorización debe ser cuidadoso.
Ver originalesResponder0
DegenWhisperer
· 08-12 18:06
La trampa está enterrada en el contrato.
Ver originalesResponder0
DAOplomacy
· 08-12 17:57
Solo es una trampa renovada.
Ver originalesResponder0
liquiditea_sipper
· 08-12 17:52
Los avances tecnológicos tienen ventajas y desventajas.
Nuevas tendencias en estafas de contratos inteligentes: trampas de seguridad en la Cadena de bloques y estrategias de prevención
Nuevas tendencias de fraude en la cadena de bloques: los contratos inteligentes se convierten en armas de ataque
Las criptomonedas y la tecnología de la cadena de bloques están remodelando el panorama financiero, pero también han dado lugar a una nueva amenaza. Los estafadores ya no dependen únicamente de las vulnerabilidades técnicas, sino que han convertido los protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para transformar la confianza del usuario en un arma para el robo de activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques son no solo encubiertos y difíciles de rastrear, sino que son aún más engañosos debido a su disfraz de "legalidad".
Uno, ¿cómo se convierte un contrato inteligente en una herramienta de fraude?
El protocolo de la cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico: El estándar de token ERC-20 permite a los usuarios autorizar a terceros a extraer una cantidad específica de tokens de su billetera a través de la función "Approve". Los estafadores utilizan este mecanismo para diseñar contratos inteligentes maliciosos.
Forma de operar: Los estafadores crean DApps que se hacen pasar por proyectos legítimos, induciendo a los usuarios a otorgar autorización. Superficialmente, se trata de autorizar una pequeña cantidad de tokens, pero en realidad podría ser un límite ilimitado. Una vez completada la autorización, los estafadores pueden extraer todos los tokens correspondientes de la billetera del usuario en cualquier momento.
Caso: A principios de 2023, un sitio web de phishing disfrazado de una actualización de cierto DEX llevó a que cientos de usuarios perdieran millones de dólares en USDT y ETH. Estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas encontraron difícil recuperar sus activos.
(2) firma de phishing
Principio técnico: Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar: El usuario recibe un mensaje disfrazado de notificación oficial y es dirigido a un sitio web malicioso para firmar "verificar transacción". Esta transacción podría, en realidad, transferir directamente los activos del usuario o autorizar a los estafadores a controlar el NFT del usuario.
Caso: Una comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, y varios usuarios perdieron NFT por un valor de millones de dólares debido a la firma de transacciones "de recepción de airdrop" falsificadas.
(3) Tokens falsos y "ataques de polvo"
Principio técnico: Los estafadores aprovechan la transparencia de la cadena de bloques para enviar pequeñas cantidades de criptomonedas a múltiples direcciones de billetera, con el fin de rastrear la actividad de la billetera y asociar información personal.
Método de operación: Los estafadores distribuyen tokens de "polvo" en forma de airdrop, induciendo a los usuarios a visitar un sitio web para consultar detalles. Al analizar las transacciones posteriores de los usuarios, identifican las direcciones de billeteras activas y llevan a cabo estafas más precisas.
Caso: En la red de Ethereum, se produjo un ataque de polvo de "tokens de GAS", que afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué es difícil detectar estas estafas?
Estos fraudes tienen éxito principalmente porque se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes distingan su naturaleza maliciosa. Las principales razones incluyen:
Complejidad técnica: el código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o la firma solo después.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza.
Camuflaje ingenioso: los sitios web de phishing pueden usar URL similares al nombre de dominio oficial e incluso aumentar su credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan aspectos técnicos y psicológicos, proteger los activos requiere estrategias de múltiples niveles:
Revisar y gestionar permisos de autorización
Verificar enlace y origen
uso de billetera fría y firma múltiple
Maneje con cuidado las solicitudes de firma
afrontando ataques de polvo
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de esquemas de fraude avanzados. Sin embargo, la verdadera seguridad no solo depende de la protección tecnológica, sino que también requiere que los usuarios comprendan la lógica de autorización y sean cautelosos en su comportamiento en la cadena. Cada análisis de datos antes de firmar, cada revisión de permisos después de la autorización, es un juramento a su propia soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la línea de defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como un hábito, manteniendo un equilibrio entre la confianza y la verificación. En el mundo de la cadena de bloques, cada clic y cada transacción se registra de forma permanente e inmutable. Por lo tanto, es crucial cultivar la conciencia de seguridad y hábitos de operación cautelosos.