Новая тенденция мошенничества в Блокчейн: смарт-контракты становятся орудием атаки
Криптовалюты и технологии Блокчейн меняют финансовый ландшафт, но также порождают новый тип угрозы. Мошенники больше не полагаются только на уязвимости технологий, а превращают протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно разработанных социальных инженерных ловушек они используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в орудие похищения активов. От подделки смарт-контрактов до манипуляций с кроссчейн-транзакциями, эти атаки не только скрытны и трудны для отслеживания, но и благодаря своей «легитимной» оболочке становятся еще более обманчивыми.
Один. Как смарт-контракты стали инструментом для мошенничества?
Блокчейн-протоколы должны обеспечивать безопасность и доверие, но мошенники используют их особенности, сочетая с неосторожностью пользователей, чтобы создать различные скрытые способы атак. Вот некоторые распространенные приемы и их технические детали:
(1) Злоумышленное разрешение смарт-контрактов
Технический принцип:
Стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону извлекать из их кошелька указанное количество токенов. Мошенники используют этот механизм для разработки вредоносных смарт-контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под легитимный проект, чтобы заманить пользователей в предоставление разрешений. На поверхности это кажется разрешением на небольшое количество токенов, но на самом деле это может быть неограниченный лимит. Как только разрешение будет предоставлено, мошенники могут в любое время извлекать все соответствующие токены из кошелька пользователя.
Пример:
В начале 2023 года фишинговый сайт, замаскированный под обновление одного из DEX, привел к потере миллионов долларов в USDT и ETH для сотен пользователей. Эти транзакции полностью соответствовали стандарту ERC-20, и жертвам было трудно вернуть свои активы.
(2) Подпись Фишинг
Технологический принцип:
Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает сообщение, замаскированное под официальное уведомление, и оказывается на вредоносном сайте для подписания "подтверждения транзакции". Эта транзакция на самом деле может напрямую перевести активы пользователя или дать мошенникам контроль над NFT пользователя.
Пример:
Сообщество известного NFT проекта подверглось атаке фишинга с использованием подписей, несколько пользователей потеряли NFT стоимостью несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа".
(3) Ложные токены и "атака пылью"
Технический принцип:
Мошенники используют открытость Блокчейн для отправки небольших объемов криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать личную информацию.
Способ работы:
Мошенники раздают токены "пыли" в виде аирдропа, заманивая пользователей посетить определенный веб-сайт для получения подробной информации. Анализируя последующие транзакции пользователей, они определяют активные адреса кошельков и осуществляют более точное мошенничество.
Пример:
В сети Эфириум произошла атака пылью "GAS токенов", затронувшая тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и токены ERC-20.
2. Почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны в основном потому, что они скрыты в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:
Техническая сложность: код смарт-контрактов и запросы на подпись трудны для понимания не техническими пользователями.
Законность в блокчейне: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи лишь позже.
Социальная инженерия: мошенники используют слабости человеческой природы, такие как жадность, страх или доверие.
Искусное маскирование: Фишинговые сайты могут использовать URL, похожие на официальные домены, даже увеличивая доверие с помощью HTTPS-сертификатов.
Три, как защитить ваш криптовалютный кошелек?
Перед лицом этих афер технической и психологической войны защита активов требует многоуровневой стратегии:
Проверьте и управляйте правами доступа
Регулярно проверяйте записи авторизации кошелька с помощью инструмента проверки авторизации блокчейн-браузера.
Отмените ненужные разрешения, особенно безлимитные разрешения для неизвестных адресов.
Перед каждым авторизацией убедитесь, что источник DApp надежен.
Проверка ссылки и источника
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или письмах.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат.
Будьте осторожны с опечатками или лишними символами в доменных именах.
Использование холодного кошелька и мультиподписей
Храните большую часть активов в аппаратных кошельках и подключайте сеть только при необходимости.
Для крупных активов используйте инструменты многоподписей, требующие подтверждения транзакции несколькими ключами.
Осторожно обрабатывайте запросы на подпись
Внимательно читайте детали транзакции в всплывающем окне кошелька при каждой подписи.
Используйте функцию декодирования блокчейн-браузера для анализа содержимого подписи.
Создайте отдельный кошелек для высокорискованных операций и храните небольшое количество активов.
Ответ на атаки пыли
После получения неизвестных токенов не взаимодействуйте с ними. Отметьте их как "спам" или скрыть.
Подтвердите источник токенов через Блокчейн-браузер, будьте осторожны с массовой отправкой.
Избегайте публичного раскрытия адреса кошелька или использования нового адреса для выполнения чувствительных операций.
Заключение
Внедряя вышеупомянутые меры безопасности, пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем. Однако настоящая безопасность зависит не только от технической защиты, но и от понимания пользователем логики авторизации и осмотрительности в отношении действий на блокчейне. Каждый раз, когда данные анализируются перед подписанием, и каждый раз, когда проверяются права после авторизации, это является клятвой в защиту своей цифровой суверенности.
В будущем, независимо от того, как технологии будут эволюционировать, самой важной защитной линией всегда будет: внутреннее усвоение безопасности как привычки и поддержание баланса между доверием и проверкой. В мире Блокчейн каждое нажатие и каждая транзакция навсегда записываются и не могут быть изменены. Поэтому развитие безопасности и осторожности в действиях имеет решающее значение.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
10
Репост
Поделиться
комментарий
0/400
GmGmNoGn
· 08-15 16:13
Уязвимости в контрактах нужно предотвращать заранее
Посмотреть ОригиналОтветить0
GateUser-a180694b
· 08-15 08:02
ловушка升级了搞复杂
Посмотреть ОригиналОтветить0
BlockDetective
· 08-12 22:49
防不胜防的 ловушка
Посмотреть ОригиналОтветить0
SchroedingersFrontrun
· 08-12 18:17
Авторизация - это большая западня, братцы.
Посмотреть ОригиналОтветить0
RugPullAlarm
· 08-12 18:13
Используйте авторизацию с осторожностью
Посмотреть ОригиналОтветить0
DegenWhisperer
· 08-12 18:06
Яма зарыта в контракте.
Посмотреть ОригиналОтветить0
DAOplomacy
· 08-12 17:57
Просто старая ловушка в новом исполнении
Посмотреть ОригиналОтветить0
liquiditea_sipper
· 08-12 17:52
Технологический прогресс имеет свои плюсы и минусы
Новые тенденции мошенничества со смарт-контрактами: ловушки безопасности Блокчейн и стратегии предотвращения
Новая тенденция мошенничества в Блокчейн: смарт-контракты становятся орудием атаки
Криптовалюты и технологии Блокчейн меняют финансовый ландшафт, но также порождают новый тип угрозы. Мошенники больше не полагаются только на уязвимости технологий, а превращают протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно разработанных социальных инженерных ловушек они используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в орудие похищения активов. От подделки смарт-контрактов до манипуляций с кроссчейн-транзакциями, эти атаки не только скрытны и трудны для отслеживания, но и благодаря своей «легитимной» оболочке становятся еще более обманчивыми.
Один. Как смарт-контракты стали инструментом для мошенничества?
Блокчейн-протоколы должны обеспечивать безопасность и доверие, но мошенники используют их особенности, сочетая с неосторожностью пользователей, чтобы создать различные скрытые способы атак. Вот некоторые распространенные приемы и их технические детали:
(1) Злоумышленное разрешение смарт-контрактов
Технический принцип: Стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону извлекать из их кошелька указанное количество токенов. Мошенники используют этот механизм для разработки вредоносных смарт-контрактов.
Способ работы: Мошенники создают DApp, маскирующийся под легитимный проект, чтобы заманить пользователей в предоставление разрешений. На поверхности это кажется разрешением на небольшое количество токенов, но на самом деле это может быть неограниченный лимит. Как только разрешение будет предоставлено, мошенники могут в любое время извлекать все соответствующие токены из кошелька пользователя.
Пример: В начале 2023 года фишинговый сайт, замаскированный под обновление одного из DEX, привел к потере миллионов долларов в USDT и ETH для сотен пользователей. Эти транзакции полностью соответствовали стандарту ERC-20, и жертвам было трудно вернуть свои активы.
(2) Подпись Фишинг
Технологический принцип: Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы: Пользователь получает сообщение, замаскированное под официальное уведомление, и оказывается на вредоносном сайте для подписания "подтверждения транзакции". Эта транзакция на самом деле может напрямую перевести активы пользователя или дать мошенникам контроль над NFT пользователя.
Пример: Сообщество известного NFT проекта подверглось атаке фишинга с использованием подписей, несколько пользователей потеряли NFT стоимостью несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа".
(3) Ложные токены и "атака пылью"
Технический принцип: Мошенники используют открытость Блокчейн для отправки небольших объемов криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать личную информацию.
Способ работы: Мошенники раздают токены "пыли" в виде аирдропа, заманивая пользователей посетить определенный веб-сайт для получения подробной информации. Анализируя последующие транзакции пользователей, они определяют активные адреса кошельков и осуществляют более точное мошенничество.
Пример: В сети Эфириум произошла атака пылью "GAS токенов", затронувшая тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и токены ERC-20.
2. Почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны в основном потому, что они скрыты в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:
Техническая сложность: код смарт-контрактов и запросы на подпись трудны для понимания не техническими пользователями.
Законность в блокчейне: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи лишь позже.
Социальная инженерия: мошенники используют слабости человеческой природы, такие как жадность, страх или доверие.
Искусное маскирование: Фишинговые сайты могут использовать URL, похожие на официальные домены, даже увеличивая доверие с помощью HTTPS-сертификатов.
Три, как защитить ваш криптовалютный кошелек?
Перед лицом этих афер технической и психологической войны защита активов требует многоуровневой стратегии:
Проверьте и управляйте правами доступа
Проверка ссылки и источника
Использование холодного кошелька и мультиподписей
Осторожно обрабатывайте запросы на подпись
Ответ на атаки пыли
Заключение
Внедряя вышеупомянутые меры безопасности, пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем. Однако настоящая безопасность зависит не только от технической защиты, но и от понимания пользователем логики авторизации и осмотрительности в отношении действий на блокчейне. Каждый раз, когда данные анализируются перед подписанием, и каждый раз, когда проверяются права после авторизации, это является клятвой в защиту своей цифровой суверенности.
В будущем, независимо от того, как технологии будут эволюционировать, самой важной защитной линией всегда будет: внутреннее усвоение безопасности как привычки и поддержание баланса между доверием и проверкой. В мире Блокчейн каждое нажатие и каждая транзакция навсегда записываются и не могут быть изменены. Поэтому развитие безопасности и осторожности в действиях имеет решающее значение.