Новые угрозы в мире Блокчейн: когда смарт-контракты становятся инструментом мошенничества
Криптовалюты и технологии Блокчейн кардинально меняют финансовый ландшафт, но эта революция также привела к новым вызовам в области безопасности. Мошенники уже не ограничиваются использованием технических уязвимостей, а превращают сами протоколы смарт-контрактов Блокчейн в средства атаки. С помощью тщательно разработанных ловушек социальной инженерии они используют прозрачность и необратимость Блокчейн, чтобы превратить доверие пользователей в инструменты кражи активов. От подделки смарт-контрактов до манипуляции кросс-чейн транзакциями, эти атаки не только скрытны и труднодоступны для расследования, но и более обманчивы из-за их "законного" внешнего вида. В этой статье будут проанализированы примеры, чтобы показать, как мошенники превращают протоколы в средства атаки, и будут предложены всесторонние решения — от технической защиты до поведенческой профилактики, чтобы помочь вам безопасно продвигаться в децентрализованном мире.
Один. Как законные соглашения становятся инструментами мошенничества?
Дизайн протоколов Блокчейн изначально направлен на обеспечение безопасности и доверия, но мошенники используют его особенности, сочетая их с небрежностью пользователей, создавая различные скрытые способы атаки. Вот некоторые методы и их технические детали:
(1) Злоумышленная авторизация смарт-контрактов
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" разрешать третьим лицам (обычно смарт-контрактам) извлекать из их кошельков указанное количество токенов. Эта функция широко используется в DeFi-протоколах, пользователи должны разрешить смарт-контрактам завершать сделки, ставить или заниматься ликвидностью. Однако мошенники используют этот механизм для создания вредоносных контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают свои кошельки и их побуждают нажать "Approve", что на первый взгляд выглядит как авторизация на небольшое количество токенов, но на самом деле может быть неограниченным лимитом (значение uint256.max). Как только авторизация завершена, адрес контракта мошенников получает разрешение и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, замаскированный под "Обновление Uniswap V3", привел к тому, что сотни пользователей потеряли миллионы долларов в USDT и ETH. Данные в блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства законными методами, так как авторизация была подписана добровольно.
(2) Подпись фишинга
Технический принцип:
Блокчейн-транзакции требуют от пользователя создания подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователя транзакция транслируется в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы:
Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT-эйрдроп ожидает получения, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователя перенаправляют на вредоносный сайт, где требуется подключить кошелек и подписать "транзакцию верификации". Эта транзакция на самом деле может вызывать функцию "Transfer", которая непосредственно переводит ETH или токены из кошелька на адрес мошенника; или же это может быть операция "SetApprovalForAll", дающая мошеннику контроль над коллекцией NFT пользователя.
Реальные примеры:
Некоторые известные сообщества NFT проектов стали жертвами атак фишинга с использованием подписей, в результате чего несколько пользователей потеряли NFTs стоимостью несколько миллионов долларов, подписав поддельные сделки на "получение аирдропа". Нападающие использовали стандарт подписи EIP-712, подделав запросы, которые казались безопасными.
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это активно. Мошенники используют это, отправляя небольшие суммы криптовалюты на множество адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, которые владеют кошельками.
Способ работы:
Атакующие отправляют небольшие суммы криптовалюты на разные адреса, пытаясь выяснить, какие из них принадлежат одному и тому же кошельку. Эти "пыльцы" обычно распределяются в форме аэродропов в кошельки пользователей и могут иметь привлекательные названия или метаданные. Пользователи могут захотеть обналичить эти токены, чтобы получить доступ к сайтам, предоставленным атакующими. Затем атакующие могут получить доступ к кошельку пользователя через адрес контракта, прилагаемого к токенам, или, анализируя последующие транзакции пользователя, зафиксировать активные адреса кошельков и осуществить более точный обман.
Реальный случай:
В прошлом "GAS токены" на сети Эфириума подвергли атакам с использованием пыли тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытного взаимодействия.
Два, почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны во многом потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям сложно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть трудны для понимания не техническим пользователям. Например, запрос "Approve" может отображаться как шестнадцатеричные данные "0x095ea7b3...", и пользователи не могут интуитивно определить его значение.
Законность на блокчейне: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы зачастую осознают последствия авторизации или подписи только позже, в то время как активы уже невозможно вернуть.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необходимо подтвердить аномалию в аккаунте") или доверие (маскируясь под службу поддержки).
Замаскированный мастерски: Фишинговые сайты могут использовать URL, похожие на официальные доменные имена, даже увеличивая доверие с помощью сертификатов HTTPS.
Три. Как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, которые сочетают в себе технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте правами доступа
Используйте инструмент проверки авторизации блокчейн-браузера для проверки записей авторизации кошелька.
Регулярно отзывайте ненужные разрешения, особенно на неограниченные разрешения для неизвестных адресов.
Перед каждой авторизацией убедитесь, что DApp поступает из надежного источника.
Проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отменить.
Проверьте ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый значок замка).
Будьте осторожны с орфографическими ошибками или лишними символами.
Если вы получили подозрительный вариант домена, немедленно сомневайтесь в его подлинности.
Используйте холодные кошельки и мультиподпись.
Храните большую часть активов в аппаратном кошельке и подключайте к сети только при необходимости.
Для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск ошибок в одной точке.
Даже если горячий кошелек будет взломан, активы в холодном хранилище останутся в безопасности.
Осторожно обрабатывайте запросы на подпись
Внимательно читайте детали транзакции в всплывающем окне кошелька при каждой подписи.
Обратите внимание на поле "данные". Если оно содержит неизвестные функции (например, "TransferFrom"), откажите в подписи.
Используйте функцию "Decode Input Data" блокчейн-обозревателя для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Создайте отдельный кошелек для операций с высоким риском и храните небольшое количество активов.
Ответ на атаку пылью
После получения неизвестных токенов не взаимодействуйте с ними. Отметьте их как "спам" или скрыть.
С помощью платформы Блокчейн-обозревателя подтвердите источник токена, если это массовая отправка, будьте крайне осторожны.
Избегайте раскрытия адреса кошелька или используйте новый адрес для проведения чувствительных операций.
Заключение
Реализуя вышеупомянутые меры безопасности, обычные пользователи могут существенно снизить риск стать жертвой сложных мошеннических схем, но настоящая безопасность — это не только победа технологий. Когда аппаратные кошельки создают физическую защиту, а мультиподпись распределяет риски, понимание пользователем логики авторизации и осторожность в действиях на блокчейне становятся последней крепостью против атак. Каждый анализ данных перед подписанием, каждая проверка прав после авторизации — это клятва собственной цифровой суверенности.
В будущем, независимо от того, как технологии будут меняться, самая важная защита всегда будет заключаться в том, чтобы превратить осознание безопасности в привычку и установить вечный баланс между доверием и проверкой. В конце концов, в мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда записываются в Блокчейн и не могут быть изменены.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
6
Поделиться
комментарий
0/400
SmartContractRebel
· 14ч назад
занять противоположную позицию отменил авторизацию, а ты всё ещё хочешь украсть мой токен?
Посмотреть ОригиналОтветить0
LiquidityWizard
· 14ч назад
теоретически говоря, 99.7% из этих "взломов" - это просто ошибка пользователя smh
Блокчейн Протокол沦为诈骗新工具 如何保护你的 шифрование资产
Новые угрозы в мире Блокчейн: когда смарт-контракты становятся инструментом мошенничества
Криптовалюты и технологии Блокчейн кардинально меняют финансовый ландшафт, но эта революция также привела к новым вызовам в области безопасности. Мошенники уже не ограничиваются использованием технических уязвимостей, а превращают сами протоколы смарт-контрактов Блокчейн в средства атаки. С помощью тщательно разработанных ловушек социальной инженерии они используют прозрачность и необратимость Блокчейн, чтобы превратить доверие пользователей в инструменты кражи активов. От подделки смарт-контрактов до манипуляции кросс-чейн транзакциями, эти атаки не только скрытны и труднодоступны для расследования, но и более обманчивы из-за их "законного" внешнего вида. В этой статье будут проанализированы примеры, чтобы показать, как мошенники превращают протоколы в средства атаки, и будут предложены всесторонние решения — от технической защиты до поведенческой профилактики, чтобы помочь вам безопасно продвигаться в децентрализованном мире.
Один. Как законные соглашения становятся инструментами мошенничества?
Дизайн протоколов Блокчейн изначально направлен на обеспечение безопасности и доверия, но мошенники используют его особенности, сочетая их с небрежностью пользователей, создавая различные скрытые способы атаки. Вот некоторые методы и их технические детали:
(1) Злоумышленная авторизация смарт-контрактов
Технический принцип: На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" разрешать третьим лицам (обычно смарт-контрактам) извлекать из их кошельков указанное количество токенов. Эта функция широко используется в DeFi-протоколах, пользователи должны разрешить смарт-контрактам завершать сделки, ставить или заниматься ликвидностью. Однако мошенники используют этот механизм для создания вредоносных контрактов.
Способ работы: Мошенники создают DApp, маскирующийся под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают свои кошельки и их побуждают нажать "Approve", что на первый взгляд выглядит как авторизация на небольшое количество токенов, но на самом деле может быть неограниченным лимитом (значение uint256.max). Как только авторизация завершена, адрес контракта мошенников получает разрешение и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай: В начале 2023 года фишинговый сайт, замаскированный под "Обновление Uniswap V3", привел к тому, что сотни пользователей потеряли миллионы долларов в USDT и ETH. Данные в блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства законными методами, так как авторизация была подписана добровольно.
(2) Подпись фишинга
Технический принцип: Блокчейн-транзакции требуют от пользователя создания подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователя транзакция транслируется в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы: Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT-эйрдроп ожидает получения, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователя перенаправляют на вредоносный сайт, где требуется подключить кошелек и подписать "транзакцию верификации". Эта транзакция на самом деле может вызывать функцию "Transfer", которая непосредственно переводит ETH или токены из кошелька на адрес мошенника; или же это может быть операция "SetApprovalForAll", дающая мошеннику контроль над коллекцией NFT пользователя.
Реальные примеры: Некоторые известные сообщества NFT проектов стали жертвами атак фишинга с использованием подписей, в результате чего несколько пользователей потеряли NFTs стоимостью несколько миллионов долларов, подписав поддельные сделки на "получение аирдропа". Нападающие использовали стандарт подписи EIP-712, подделав запросы, которые казались безопасными.
(3) Ложные токены и "атака пыли"
Технический принцип: Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это активно. Мошенники используют это, отправляя небольшие суммы криптовалюты на множество адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, которые владеют кошельками.
Способ работы: Атакующие отправляют небольшие суммы криптовалюты на разные адреса, пытаясь выяснить, какие из них принадлежат одному и тому же кошельку. Эти "пыльцы" обычно распределяются в форме аэродропов в кошельки пользователей и могут иметь привлекательные названия или метаданные. Пользователи могут захотеть обналичить эти токены, чтобы получить доступ к сайтам, предоставленным атакующими. Затем атакующие могут получить доступ к кошельку пользователя через адрес контракта, прилагаемого к токенам, или, анализируя последующие транзакции пользователя, зафиксировать активные адреса кошельков и осуществить более точный обман.
Реальный случай: В прошлом "GAS токены" на сети Эфириума подвергли атакам с использованием пыли тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытного взаимодействия.
Два, почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны во многом потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям сложно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть трудны для понимания не техническим пользователям. Например, запрос "Approve" может отображаться как шестнадцатеричные данные "0x095ea7b3...", и пользователи не могут интуитивно определить его значение.
Законность на блокчейне: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы зачастую осознают последствия авторизации или подписи только позже, в то время как активы уже невозможно вернуть.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необходимо подтвердить аномалию в аккаунте") или доверие (маскируясь под службу поддержки).
Замаскированный мастерски: Фишинговые сайты могут использовать URL, похожие на официальные доменные имена, даже увеличивая доверие с помощью сертификатов HTTPS.
Три. Как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, которые сочетают в себе технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте правами доступа
Проверьте ссылку и источник
Используйте холодные кошельки и мультиподпись.
Осторожно обрабатывайте запросы на подпись
Ответ на атаку пылью
Заключение
Реализуя вышеупомянутые меры безопасности, обычные пользователи могут существенно снизить риск стать жертвой сложных мошеннических схем, но настоящая безопасность — это не только победа технологий. Когда аппаратные кошельки создают физическую защиту, а мультиподпись распределяет риски, понимание пользователем логики авторизации и осторожность в действиях на блокчейне становятся последней крепостью против атак. Каждый анализ данных перед подписанием, каждая проверка прав после авторизации — это клятва собственной цифровой суверенности.
В будущем, независимо от того, как технологии будут меняться, самая важная защита всегда будет заключаться в том, чтобы превратить осознание безопасности в привычку и установить вечный баланс между доверием и проверкой. В конце концов, в мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда записываются в Блокчейн и не могут быть изменены.