Блокчейн шахрайства нові тенденції: смартконтракти стають знаряддям атаки
Криптовалюта та технологія Блокчейн змінюють фінансовий ландшафт, але також породжують новий тип загрози. Шахраї більше не покладаються лише на технічні вразливості, а перетворюють самі протоколи смартконтрактів Блокчейн на інструменти атак. За допомогою ретельно спроектованих соціальних інженерних пасток вони використовують прозорість та незворотність Блокчейн для перетворення довіри користувачів на знаряддя крадіжки активів. Від підробки смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані і важкі для відстеження, але й через свою «легітимізовану» оболонку є ще більш оманливими.
Один. Як смартконтракти стали інструментом шахрайства?
Блокчейн протоколи мали б забезпечити безпеку та довіру, але шахраї використовують їх особливості, поєднуючи з необережністю користувачів, щоб створити різні приховані способи атак. Нижче наведено деякі поширені методи та їх технічні деталі:
(1) Зловмисні смартконтракти
Технічний принцип:
Стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третю сторону на вилучення з його гаманця вказаної кількості токенів. Шахраї використовують цей механізм для розробки шкідливих смартконтрактів.
Спосіб роботи:
Шахраї створюють DApp, що маскується під законний проект, спокушаючи користувачів надати дозвіл. На поверхні це виглядає як надання дозволу на невелику кількість токенів, але насправді це може бути безмежний ліміт. Як тільки дозвіл надано, шахраї можуть у будь-який момент вилучити з гаманця користувача всі відповідні токени.
Приклад:
На початку 2023 року фішинговий сайт, що маскувався під оновлення певного DEX, призвів до втрат сотень користувачів на мільйони доларів США у USDT та ETH. Ці транзакції повністю відповідали стандарту ERC-20, і потерпілим було важко повернути активи.
(2) Підпис риболовля
Технічний принцип:
Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа. Шахраї використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб роботи:
Користувач отримує повідомлення, що маскується під офіційне повідомлення, і його спрямовують на шкідливий вебсайт для підписання "перевірки транзакції". Ця транзакція насправді може безпосередньо перевести активи користувача або надати шахраям контроль над NFT користувача.
Приклад:
Відомий NFT проект зазнав фішингової атаки через підписання, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених операцій "отримання аірдропу".
(3) Фальшиві токени та "атака пилу"
Технічний принцип:
Шахраї використовують відкритість Блокчейн для відправки невеликої кількості криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців та пов'язувати особисту інформацію.
Спосіб роботи:
Шахраї роздають "пилові" токени у формі аірдропу, спонукаючи користувачів перейти на певний вебсайт для отримання деталей. Аналізуючи подальші транзакції користувачів, вони визначають активні адреси гаманців і здійснюють більш точні шахрайства.
Приклад:
На мережі Ethereum сталася атака "пилу GAS токенів", що вплинула на тисячі гаманців. Частина користувачів через цікавість втратила ETH та ERC-20 токени.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні переважно тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їх злонамірну природу. Основні причини включають:
Технічна складність: код смартконтрактів та запити на підпис для нетехнічних користувачів є незрозумілими.
Законність на ланцюзі: всі транзакції записуються в Блокчейн, що виглядає прозоро, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Майстерність маскування: Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть через HTTPS сертифікати для підвищення довіри.
Три, як захистити свій криптовалютний гаманець?
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії:
Перевірка та управління правами доступу
Регулярно перевіряйте записи авторизації гаманця за допомогою інструменту перевірки авторизації блокчейн-браузера.
Скасувати непотрібні дозволи, особливо на безлімітні дозволи для невідомих адрес.
Перед кожним авторизацією переконайтеся, що джерело DApp є надійним.
перевірте посилання та джерело
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Забезпечте, щоб веб-сайт використовував правильне доменне ім'я та SSL-сертифікат.
Будьте обережні з помилками в написанні або зайвими символами в доменних іменах.
Використання холодного гаманця та мультипідпису
Зберігайте більшу частину активів у апаратних гаманцях, підключаючи мережу лише за необхідності.
Для великих активів використовуйте інструменти багатопідпису, що вимагають підтвердження транзакції кількома ключами.
Обережно обробляйте запити на підпис
Уважно читайте деталі транзакції у спливаючому вікні гаманця під час кожного підписання.
Використовуйте функцію декодування блокчейн-браузера для аналізу вмісту підпису.
Створіть незалежний гаманець для високих ризиків, зберігайте невелику кількість активів.
реагування на атаки пилу
Після отримання невідомих токенів не взаємодійте з ними. Позначте їх як "сміття" або приховайте.
Підтверджуйте джерело токенів через Блокчейн браузер, будьте обережні з масовими відправленнями.
Уникайте публікації адреси гаманця або використовуйте нову адресу для проведення чутливих операцій.
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, користувачі можуть значно знизити ризик стати жертвами розширених шахрайських схем. Однак, справжня безпека залежить не лише від технологічного захисту, але й від розуміння користувачем логіки авторизації та обережності щодо поведінки в ланцюзі. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації – це клятва на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології будуть еволюціонувати, найосновніша лінія оборони завжди полягатиме в тому: щоб внутрішнє усвідомлення безпеки стало звичкою, підтримуючи баланс між довірою та перевіркою. У світі Блокчейн кожен клік, кожна транзакція назавжди фіксуються, і їх неможливо змінити. Тому виховання усвідомлення безпеки та обережних звичок є надзвичайно важливим.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
10
Репост
Поділіться
Прокоментувати
0/400
GmGmNoGn
· 08-15 16:13
Слід заздалегідь запобігти вразливостям контракту
Переглянути оригіналвідповісти на0
GateUser-a180694b
· 08-15 08:02
пастка оновилася, стала складнішою
Переглянути оригіналвідповісти на0
BlockDetective
· 08-12 22:49
防不胜防的 пастка
Переглянути оригіналвідповісти на0
SchroedingersFrontrun
· 08-12 18:17
Дозволи - це велика пастка, браття.
Переглянути оригіналвідповісти на0
RugPullAlarm
· 08-12 18:13
Дозволи слід використовувати обережно
Переглянути оригіналвідповісти на0
DegenWhisperer
· 08-12 18:06
Яма закопана в контракті
Переглянути оригіналвідповісти на0
DAOplomacy
· 08-12 17:57
Просто оновлення старої пастки
Переглянути оригіналвідповісти на0
liquiditea_sipper
· 08-12 17:52
Технологічний прогрес має свої переваги та недоліки
Нові тенденції шахрайства зі смартконтрактами: пастки безпеки Блокчейн та стратегії запобігання
Блокчейн шахрайства нові тенденції: смартконтракти стають знаряддям атаки
Криптовалюта та технологія Блокчейн змінюють фінансовий ландшафт, але також породжують новий тип загрози. Шахраї більше не покладаються лише на технічні вразливості, а перетворюють самі протоколи смартконтрактів Блокчейн на інструменти атак. За допомогою ретельно спроектованих соціальних інженерних пасток вони використовують прозорість та незворотність Блокчейн для перетворення довіри користувачів на знаряддя крадіжки активів. Від підробки смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані і важкі для відстеження, але й через свою «легітимізовану» оболонку є ще більш оманливими.
Один. Як смартконтракти стали інструментом шахрайства?
Блокчейн протоколи мали б забезпечити безпеку та довіру, але шахраї використовують їх особливості, поєднуючи з необережністю користувачів, щоб створити різні приховані способи атак. Нижче наведено деякі поширені методи та їх технічні деталі:
(1) Зловмисні смартконтракти
Технічний принцип: Стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третю сторону на вилучення з його гаманця вказаної кількості токенів. Шахраї використовують цей механізм для розробки шкідливих смартконтрактів.
Спосіб роботи: Шахраї створюють DApp, що маскується під законний проект, спокушаючи користувачів надати дозвіл. На поверхні це виглядає як надання дозволу на невелику кількість токенів, але насправді це може бути безмежний ліміт. Як тільки дозвіл надано, шахраї можуть у будь-який момент вилучити з гаманця користувача всі відповідні токени.
Приклад: На початку 2023 року фішинговий сайт, що маскувався під оновлення певного DEX, призвів до втрат сотень користувачів на мільйони доларів США у USDT та ETH. Ці транзакції повністю відповідали стандарту ERC-20, і потерпілим було важко повернути активи.
(2) Підпис риболовля
Технічний принцип: Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа. Шахраї використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб роботи: Користувач отримує повідомлення, що маскується під офіційне повідомлення, і його спрямовують на шкідливий вебсайт для підписання "перевірки транзакції". Ця транзакція насправді може безпосередньо перевести активи користувача або надати шахраям контроль над NFT користувача.
Приклад: Відомий NFT проект зазнав фішингової атаки через підписання, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених операцій "отримання аірдропу".
(3) Фальшиві токени та "атака пилу"
Технічний принцип: Шахраї використовують відкритість Блокчейн для відправки невеликої кількості криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців та пов'язувати особисту інформацію.
Спосіб роботи: Шахраї роздають "пилові" токени у формі аірдропу, спонукаючи користувачів перейти на певний вебсайт для отримання деталей. Аналізуючи подальші транзакції користувачів, вони визначають активні адреси гаманців і здійснюють більш точні шахрайства.
Приклад: На мережі Ethereum сталася атака "пилу GAS токенів", що вплинула на тисячі гаманців. Частина користувачів через цікавість втратила ETH та ERC-20 токени.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні переважно тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їх злонамірну природу. Основні причини включають:
Технічна складність: код смартконтрактів та запити на підпис для нетехнічних користувачів є незрозумілими.
Законність на ланцюзі: всі транзакції записуються в Блокчейн, що виглядає прозоро, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Майстерність маскування: Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть через HTTPS сертифікати для підвищення довіри.
Три, як захистити свій криптовалютний гаманець?
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії:
Перевірка та управління правами доступу
перевірте посилання та джерело
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис
реагування на атаки пилу
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, користувачі можуть значно знизити ризик стати жертвами розширених шахрайських схем. Однак, справжня безпека залежить не лише від технологічного захисту, але й від розуміння користувачем логіки авторизації та обережності щодо поведінки в ланцюзі. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації – це клятва на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології будуть еволюціонувати, найосновніша лінія оборони завжди полягатиме в тому: щоб внутрішнє усвідомлення безпеки стало звичкою, підтримуючи баланс між довірою та перевіркою. У світі Блокчейн кожен клік, кожна транзакція назавжди фіксуються, і їх неможливо змінити. Тому виховання усвідомлення безпеки та обережних звичок є надзвичайно важливим.