Blockchain : nouvelles tendances de la fraude : les smart contracts deviennent des armes d'attaque
Les crypto-monnaies et la technologie Blockchain redéfinissent le paysage financier, mais elles engendrent également une nouvelle forme de menace. Les fraudeurs ne s'appuient plus uniquement sur des failles techniques, mais transforment les protocoles de smart contracts de la Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges de ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en un outil de vol d'actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à retracer, mais elles sont également plus trompeuses en raison de leur apparence « légitimée ».
I. Comment les smart contracts sont-ils devenus des outils de fraude ?
Les protocoles Blockchain sont censés garantir la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque secrètes. Voici quelques techniques courantes et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principes techniques :
La norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Les escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les escrocs créent des DApps déguisés en projets légitimes pour inciter les utilisateurs à autoriser. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela peut être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer tous les jetons correspondants du portefeuille de l'utilisateur à tout moment.
Exemple :
Début 2023, un site de phishing déguisé en mise à jour d'un certain DEX a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Ces transactions étaient entièrement conformes à la norme ERC-20, rendant difficile pour les victimes de récupérer leurs actifs.
(2) Phishing par signature
Principes techniques :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée. Les escrocs exploitent ce processus pour falsifier des demandes de signature afin de voler des actifs.
Fonctionnement :
Les utilisateurs reçoivent des messages déguisés en notifications officielles, les guidant vers des sites malveillants pour signer "vérifier la transaction". Cette transaction pourrait en réalité transférer directement les actifs de l'utilisateur ou autoriser les escrocs à contrôler les NFT de l'utilisateur.
Exemple :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "pour le retrait d'airdrop" falsifiées.
(3) Tokens frauduleux et "attaque par poussière"
Principes techniques :
Les escrocs exploitent la transparence de la Blockchain pour envoyer de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre les activités des portefeuilles et d'associer des informations personnelles.
Mode de fonctionnement :
Les escrocs distribuent des jetons "poussière" sous forme d'airdrop, incitant les utilisateurs à visiter un site web pour plus de détails. En analysant les transactions ultérieures des utilisateurs, ils identifient les adresses de portefeuilles actifs et mettent en œuvre des escroqueries plus ciblées.
Exemple :
Une attaque de poussière de "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 en interagissant par curiosité.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent principalement parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, ce qui rend difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Complexité technique : le code des smart contracts et les demandes de signature sont obscurs et difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent après coup les conséquences de l'autorisation ou de la signature.
Ingénierie sociale : les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Camouflage subtil : Les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire ajouter une crédibilité grâce à un certificat HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces escroqueries qui mêlent techniques et guerre psychologique, protéger ses actifs nécessite une stratégie à plusieurs niveaux :
Vérifiez et gérez les autorisations d'autorisation
Utilisez l'outil de vérification des autorisations du navigateur Blockchain pour vérifier régulièrement les enregistrements d'autorisation de votre portefeuille.
Révoquez les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Avant chaque autorisation, assurez-vous que la source de DApp est fiable.
Vérifiez le lien et la source
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site Web utilise le bon nom de domaine et un certificat SSL.
Méfiez-vous des fautes d'orthographe ou des caractères superflus dans les noms de domaine.
Utiliser un portefeuille froid et une signature multiple
Stockez la majeure partie des actifs dans un portefeuille matériel et ne connectez le réseau que lorsque cela est nécessaire.
Pour les actifs de grande valeur, utilisez des outils de signature multiple, exigeant la confirmation de la transaction par plusieurs clés.
Traitez les demandes de signature avec prudence
Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille à chaque signature.
Utiliser la fonction de décodage de l'explorateur de Blockchain pour analyser le contenu de la signature.
Créez un portefeuille indépendant pour les opérations à haut risque et stockez une petite quantité d'actifs.
faire face aux attaques de poussière
Après avoir reçu des jetons inconnus, n'interagissez pas. Marquez-les comme "spam" ou cachez-les.
Confirmez l'origine des tokens via le Blockchain explorer, restez vigilant face aux envois en masse.
Évitez de rendre publique l'adresse de votre portefeuille, ou utilisez une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité mentionnées ci-dessus, les utilisateurs peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas seulement sur la protection technique, mais nécessite également la compréhension par les utilisateurs de la logique d'autorisation et une prudence quant aux comportements sur la Blockchain. Chaque analyse de données avant la signature, chaque révision des droits après l'autorisation, est un serment à la souveraineté numérique de soi-même.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus fondamentale réside toujours dans : internaliser la sensibilisation à la sécurité comme une habitude, maintenir un équilibre entre confiance et vérification. Dans le monde de la Blockchain, chaque clic, chaque transaction est enregistré de manière permanente et ne peut être modifié. Ainsi, il est essentiel de cultiver une sensibilisation à la sécurité et des habitudes de prudence.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
10
Reposter
Partager
Commentaire
0/400
GmGmNoGn
· 08-15 16:13
Les vulnérabilités des contrats doivent être prévenues à l'avance
Voir l'originalRépondre0
GateUser-a180694b
· 08-15 08:02
Le piège s'est complexifié.
Voir l'originalRépondre0
BlockDetective
· 08-12 22:49
piège insaisissable
Voir l'originalRépondre0
SchroedingersFrontrun
· 08-12 18:17
L'autorisation, c'est un grand piège, les frères.
Voir l'originalRépondre0
RugPullAlarm
· 08-12 18:13
L'autorisation doit être utilisée avec prudence.
Voir l'originalRépondre0
DegenWhisperer
· 08-12 18:06
Le piège est enterré dans le contrat.
Voir l'originalRépondre0
DAOplomacy
· 08-12 17:57
C'est juste un piège réinventé.
Voir l'originalRépondre0
liquiditea_sipper
· 08-12 17:52
Les progrès technologiques ont des avantages et des inconvénients.
Nouvelles tendances de fraude aux smart contracts : pièges de sécurité Blockchain et stratégies de prévention
Blockchain : nouvelles tendances de la fraude : les smart contracts deviennent des armes d'attaque
Les crypto-monnaies et la technologie Blockchain redéfinissent le paysage financier, mais elles engendrent également une nouvelle forme de menace. Les fraudeurs ne s'appuient plus uniquement sur des failles techniques, mais transforment les protocoles de smart contracts de la Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges de ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en un outil de vol d'actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à retracer, mais elles sont également plus trompeuses en raison de leur apparence « légitimée ».
I. Comment les smart contracts sont-ils devenus des outils de fraude ?
Les protocoles Blockchain sont censés garantir la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque secrètes. Voici quelques techniques courantes et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principes techniques : La norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Les escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement : Les escrocs créent des DApps déguisés en projets légitimes pour inciter les utilisateurs à autoriser. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela peut être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer tous les jetons correspondants du portefeuille de l'utilisateur à tout moment.
Exemple : Début 2023, un site de phishing déguisé en mise à jour d'un certain DEX a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Ces transactions étaient entièrement conformes à la norme ERC-20, rendant difficile pour les victimes de récupérer leurs actifs.
(2) Phishing par signature
Principes techniques : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée. Les escrocs exploitent ce processus pour falsifier des demandes de signature afin de voler des actifs.
Fonctionnement : Les utilisateurs reçoivent des messages déguisés en notifications officielles, les guidant vers des sites malveillants pour signer "vérifier la transaction". Cette transaction pourrait en réalité transférer directement les actifs de l'utilisateur ou autoriser les escrocs à contrôler les NFT de l'utilisateur.
Exemple : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "pour le retrait d'airdrop" falsifiées.
(3) Tokens frauduleux et "attaque par poussière"
Principes techniques : Les escrocs exploitent la transparence de la Blockchain pour envoyer de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre les activités des portefeuilles et d'associer des informations personnelles.
Mode de fonctionnement : Les escrocs distribuent des jetons "poussière" sous forme d'airdrop, incitant les utilisateurs à visiter un site web pour plus de détails. En analysant les transactions ultérieures des utilisateurs, ils identifient les adresses de portefeuilles actifs et mettent en œuvre des escroqueries plus ciblées.
Exemple : Une attaque de poussière de "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 en interagissant par curiosité.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent principalement parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, ce qui rend difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Complexité technique : le code des smart contracts et les demandes de signature sont obscurs et difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent après coup les conséquences de l'autorisation ou de la signature.
Ingénierie sociale : les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Camouflage subtil : Les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire ajouter une crédibilité grâce à un certificat HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces escroqueries qui mêlent techniques et guerre psychologique, protéger ses actifs nécessite une stratégie à plusieurs niveaux :
Vérifiez et gérez les autorisations d'autorisation
Vérifiez le lien et la source
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
faire face aux attaques de poussière
Conclusion
En mettant en œuvre les mesures de sécurité mentionnées ci-dessus, les utilisateurs peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas seulement sur la protection technique, mais nécessite également la compréhension par les utilisateurs de la logique d'autorisation et une prudence quant aux comportements sur la Blockchain. Chaque analyse de données avant la signature, chaque révision des droits après l'autorisation, est un serment à la souveraineté numérique de soi-même.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus fondamentale réside toujours dans : internaliser la sensibilisation à la sécurité comme une habitude, maintenir un équilibre entre confiance et vérification. Dans le monde de la Blockchain, chaque clic, chaque transaction est enregistré de manière permanente et ne peut être modifié. Ainsi, il est essentiel de cultiver une sensibilisation à la sécurité et des habitudes de prudence.