Peligros de seguridad en el mundo de la cadena de bloques: nuevas formas de fraude con contratos inteligentes
Las criptomonedas y la tecnología de la cadena de bloques están remodelando el concepto de libertad financiera, pero al mismo tiempo han traído nuevos desafíos de seguridad. Los estafadores ya no se limitan a explotar vulnerabilidades técnicas, sino que convierten los contratos inteligentes de la cadena de bloques en herramientas de ataque. Aprovechan ingeniosamente la transparencia e irreversibilidad de la cadena de bloques, a través de trampas de ingeniería social cuidadosamente diseñadas, transformando la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que son más engañosos por su apariencia "legalizada". Este artículo analizará casos prácticos, revelando cómo los estafadores convierten los protocolos en vehículos de ataque y ofrecerá soluciones completas que van desde la protección técnica hasta la prevención del comportamiento, ayudando a los usuarios a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo evoluciona un acuerdo legal en una herramienta de fraude?
El protocolo de la Cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos (Approve Scam)
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a extraer una cantidad específica de tokens de su billetera a través de la función "Approve". Esta funcionalidad se utiliza ampliamente en protocolos DeFi, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.
Modo de operación:
Los estafadores crean una DApp que se disfraza como un proyecto legítimo, a menudo promocionándola a través de sitios web de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que superficialmente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permiso para llamar a la función "TransferFrom" en cualquier momento, extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real:
A principios de 2023, un sitio web de phishing disfrazado como "actualización de某DEX V3" provocó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en la cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas ni siquiera pueden recuperar su dinero a través de medios legales, ya que la autorización fue firmada de forma voluntaria.
(2) firma de phishing (Phishing Signature)
Principio técnico:
Las transacciones en la Cadena de bloques requieren que los usuarios generen una firma mediante una clave privada para demostrar la legalidad de la transacción. Normalmente, la billetera mostrará una solicitud de firma, y una vez que el usuario la confirme, la transacción se transmitirá a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar:
El usuario recibe un correo o mensaje disfrazado de notificación oficial, como "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso, que solicita conectar la billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación de "SetApprovalForAll", que autoriza al estafador a controlar la colección de NFT del usuario.
Caso real:
La comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, y varios usuarios perdieron NFT por un valor de varios millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes utilizaron el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) Tokens falsos y "ataque de polvo" (Dust Attack)
Principio técnico:
La publicabilidad de la cadena de bloques permite que cualquier persona envíe tokens a cualquier dirección, incluso si el destinatario no ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y vincularlas con las personas o empresas que poseen las billeteras. Los atacantes intentan averiguar qué direcciones pertenecen a la misma billetera y luego utilizan esta información para lanzar ataques de phishing o amenazas a las víctimas.
Forma de operar:
En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye a las billeteras de los usuarios en forma de airdrop, y estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para consultar los detalles. Los usuarios pueden querer canjear estos tokens, y entonces los atacantes pueden acceder a la billetera del usuario a través de la dirección del contrato que acompaña al token. Más sutilmente, los ataques de polvo pueden utilizar ingeniería social, analizando las transacciones posteriores del usuario, para identificar la dirección de la billetera activa del usuario y llevar a cabo estafas más precisas.
Caso real:
En el pasado, un ataque de "tokens gratuitos" en la red de Ethereum afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estas estafas se debe en gran medida a que se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes distingan su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica:
El código de contratos inteligentes y las solicitudes de firma son confusas y difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que dificulta que el usuario entienda su significado de manera intuitiva.
Legalidad en la cadena:
Todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma solo después, y en ese momento los activos ya no se pueden recuperar.
Ingeniería social:
Los estafadores aprovechan las debilidades humanas, como la codicia ("recibe gratis 1000 dólares en tokens"), el miedo ("se requiere verificación de cuenta anormal") o la confianza (suplantando a servicio al cliente).
Disfraz ingenioso:
Los sitios web de phishing pueden utilizar URLs que son similares a los nombres de dominio oficiales, e incluso aumentar su credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estas estafas que combinan técnicas y guerra psicológica, proteger los activos requiere estrategias de múltiples niveles. A continuación se detallan las medidas preventivas:
Verificar y gestionar los permisos de autorización
Herramienta: Utiliza la función Approval Checker del explorador de la cadena de bloques para verificar el registro de autorizaciones de la billetera.
Operación: Revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas. Antes de cada autorización, asegúrese de que el DApp provenga de una fuente confiable.
Detalles técnicos: Verifica el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Verificar enlaces y fuentes
Método: ingrese manualmente la URL oficial, evite hacer clic en los enlaces de redes sociales o correos electrónicos.
Revisar: Asegúrese de que el sitio web utilice el nombre de dominio y el certificado SSL correctos (icono de candado verde). Esté atento a errores tipográficos o caracteres adicionales.
Ejemplo: Si se recibe una variante de una plataforma conocida (como si la URL contiene caracteres adicionales), sospeche inmediatamente de su autenticidad.
Utilizar billetera fría y firma múltiple
Cartera fría: almacenar la mayor parte de los activos en una cartera de hardware, conectando a la red solo cuando sea necesario.
Multifirma: Para activos de gran valor, utiliza herramientas de multifirma que requieran la confirmación de múltiples claves para las transacciones, reduciendo el riesgo de errores de un solo punto.
Beneficios: incluso si la billetera caliente es vulnerada, los activos en almacenamiento en frío siguen siendo seguros.
Maneje con cuidado las solicitudes de firma
Pasos: Cada vez que firmes, lee cuidadosamente los detalles de la transacción en la ventana emergente de la billetera. Presta atención al campo "Datos", si contiene funciones desconocidas (como "TransferFrom"), rechaza la firma.
Herramientas: Utilice la función "Decode Input Data" del explorador de cadenas de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
Sugerencia: crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
Responder a ataques de polvo
Estrategia: después de recibir un token desconocido, no interactúe. Márquelo como "spam" o escóndalo.
Verifique: a través del explorador de la cadena de bloques, confirme la procedencia del token; si es un envío masivo, mantenga una alta vigilancia.
Prevención: evita hacer público tu dirección de billetera, o utiliza una nueva dirección para operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de programas de fraude avanzados, pero la verdadera seguridad no es simplemente una victoria técnica unilateral. Cuando los monederos de hardware construyen una defensa física y la firma múltiple dispersa la exposición al riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última fortaleza contra los ataques. Cada análisis de datos antes de la firma, cada revisión de permisos después de la autorización, es un juramento a su propia soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como memoria muscular, estableciendo un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic, cada transacción se registra de manera permanente en el mundo de la cadena, y no se puede modificar.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
21 me gusta
Recompensa
21
4
Compartir
Comentar
0/400
GhostChainLoyalist
· 07-29 18:12
Demasiado malo, un poco nervioso.
Ver originalesResponder0
Degen4Breakfast
· 07-28 22:11
Ser engañados por una nueva trampa~
Ver originalesResponder0
StableGenius
· 07-28 22:07
predeciblemente otro vector de ataque de ingeniería social... espero que hayan aprendido la lección sobre la firma ciega
Ver originalesResponder0
RamenDeFiSurvivor
· 07-28 21:58
¡Siempre hay que ser estafado una vez para aprender la lección!
Nuevas tácticas de fraude en la cadena de bloques: los contratos inteligentes se convierten en armas de ataque
Peligros de seguridad en el mundo de la cadena de bloques: nuevas formas de fraude con contratos inteligentes
Las criptomonedas y la tecnología de la cadena de bloques están remodelando el concepto de libertad financiera, pero al mismo tiempo han traído nuevos desafíos de seguridad. Los estafadores ya no se limitan a explotar vulnerabilidades técnicas, sino que convierten los contratos inteligentes de la cadena de bloques en herramientas de ataque. Aprovechan ingeniosamente la transparencia e irreversibilidad de la cadena de bloques, a través de trampas de ingeniería social cuidadosamente diseñadas, transformando la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que son más engañosos por su apariencia "legalizada". Este artículo analizará casos prácticos, revelando cómo los estafadores convierten los protocolos en vehículos de ataque y ofrecerá soluciones completas que van desde la protección técnica hasta la prevención del comportamiento, ayudando a los usuarios a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo evoluciona un acuerdo legal en una herramienta de fraude?
El protocolo de la Cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos (Approve Scam)
Principio técnico: En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a extraer una cantidad específica de tokens de su billetera a través de la función "Approve". Esta funcionalidad se utiliza ampliamente en protocolos DeFi, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.
Modo de operación: Los estafadores crean una DApp que se disfraza como un proyecto legítimo, a menudo promocionándola a través de sitios web de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que superficialmente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permiso para llamar a la función "TransferFrom" en cualquier momento, extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real: A principios de 2023, un sitio web de phishing disfrazado como "actualización de某DEX V3" provocó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en la cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas ni siquiera pueden recuperar su dinero a través de medios legales, ya que la autorización fue firmada de forma voluntaria.
(2) firma de phishing (Phishing Signature)
Principio técnico: Las transacciones en la Cadena de bloques requieren que los usuarios generen una firma mediante una clave privada para demostrar la legalidad de la transacción. Normalmente, la billetera mostrará una solicitud de firma, y una vez que el usuario la confirme, la transacción se transmitirá a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar: El usuario recibe un correo o mensaje disfrazado de notificación oficial, como "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso, que solicita conectar la billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación de "SetApprovalForAll", que autoriza al estafador a controlar la colección de NFT del usuario.
Caso real: La comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, y varios usuarios perdieron NFT por un valor de varios millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes utilizaron el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) Tokens falsos y "ataque de polvo" (Dust Attack)
Principio técnico: La publicabilidad de la cadena de bloques permite que cualquier persona envíe tokens a cualquier dirección, incluso si el destinatario no ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y vincularlas con las personas o empresas que poseen las billeteras. Los atacantes intentan averiguar qué direcciones pertenecen a la misma billetera y luego utilizan esta información para lanzar ataques de phishing o amenazas a las víctimas.
Forma de operar: En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye a las billeteras de los usuarios en forma de airdrop, y estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para consultar los detalles. Los usuarios pueden querer canjear estos tokens, y entonces los atacantes pueden acceder a la billetera del usuario a través de la dirección del contrato que acompaña al token. Más sutilmente, los ataques de polvo pueden utilizar ingeniería social, analizando las transacciones posteriores del usuario, para identificar la dirección de la billetera activa del usuario y llevar a cabo estafas más precisas.
Caso real: En el pasado, un ataque de "tokens gratuitos" en la red de Ethereum afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estas estafas se debe en gran medida a que se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes distingan su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son confusas y difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que dificulta que el usuario entienda su significado de manera intuitiva.
Legalidad en la cadena: Todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma solo después, y en ese momento los activos ya no se pueden recuperar.
Ingeniería social: Los estafadores aprovechan las debilidades humanas, como la codicia ("recibe gratis 1000 dólares en tokens"), el miedo ("se requiere verificación de cuenta anormal") o la confianza (suplantando a servicio al cliente).
Disfraz ingenioso: Los sitios web de phishing pueden utilizar URLs que son similares a los nombres de dominio oficiales, e incluso aumentar su credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estas estafas que combinan técnicas y guerra psicológica, proteger los activos requiere estrategias de múltiples niveles. A continuación se detallan las medidas preventivas:
Herramienta: Utiliza la función Approval Checker del explorador de la cadena de bloques para verificar el registro de autorizaciones de la billetera.
Operación: Revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas. Antes de cada autorización, asegúrese de que el DApp provenga de una fuente confiable.
Detalles técnicos: Verifica el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Método: ingrese manualmente la URL oficial, evite hacer clic en los enlaces de redes sociales o correos electrónicos.
Revisar: Asegúrese de que el sitio web utilice el nombre de dominio y el certificado SSL correctos (icono de candado verde). Esté atento a errores tipográficos o caracteres adicionales.
Ejemplo: Si se recibe una variante de una plataforma conocida (como si la URL contiene caracteres adicionales), sospeche inmediatamente de su autenticidad.
Cartera fría: almacenar la mayor parte de los activos en una cartera de hardware, conectando a la red solo cuando sea necesario.
Multifirma: Para activos de gran valor, utiliza herramientas de multifirma que requieran la confirmación de múltiples claves para las transacciones, reduciendo el riesgo de errores de un solo punto.
Beneficios: incluso si la billetera caliente es vulnerada, los activos en almacenamiento en frío siguen siendo seguros.
Pasos: Cada vez que firmes, lee cuidadosamente los detalles de la transacción en la ventana emergente de la billetera. Presta atención al campo "Datos", si contiene funciones desconocidas (como "TransferFrom"), rechaza la firma.
Herramientas: Utilice la función "Decode Input Data" del explorador de cadenas de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
Sugerencia: crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
Estrategia: después de recibir un token desconocido, no interactúe. Márquelo como "spam" o escóndalo.
Verifique: a través del explorador de la cadena de bloques, confirme la procedencia del token; si es un envío masivo, mantenga una alta vigilancia.
Prevención: evita hacer público tu dirección de billetera, o utiliza una nueva dirección para operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de programas de fraude avanzados, pero la verdadera seguridad no es simplemente una victoria técnica unilateral. Cuando los monederos de hardware construyen una defensa física y la firma múltiple dispersa la exposición al riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última fortaleza contra los ataques. Cada análisis de datos antes de la firma, cada revisión de permisos después de la autorización, es un juramento a su propia soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como memoria muscular, estableciendo un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic, cada transacción se registra de manera permanente en el mundo de la cadena, y no se puede modificar.