Cadena de bloques contratos inteligentes protocolo se ha convertido en una nueva herramienta de fraude: análisis y prevención
Las criptomonedas y la tecnología de cadena de bloques están remodelando el concepto de libertad financiera, sin embargo, esta revolución también ha dado lugar a una nueva amenaza. Los estafadores ya no solo aprovechan las vulnerabilidades técnicas, sino que han convertido el propio protocolo de contratos inteligentes de la cadena de bloques en una herramienta de ataque. A través de trampas de ingeniería social meticulosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques, transformando la confianza del usuario en un arma para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son encubiertos y difíciles de rastrear, sino que, debido a su disfraz de "legalidad", son aún más engañosos. Este artículo analizará casos reales para revelar cómo los estafadores convierten el propio protocolo en un vehículo de ataque y ofrecerá un conjunto de soluciones integrales que van desde la protección técnica hasta la prevención conductual, ayudándole a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo puede un protocolo legal convertirse en una herramienta de fraude?
El diseño original del protocolo de la cadena de bloques es garantizar la seguridad y la confianza, pero los estafadores han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear múltiples formas de ataques encubiertos. A continuación se presentan algunos métodos y ejemplos de sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos (Approve Scam)
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de token ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a extraer una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, como algún DEX o alguna plataforma de préstamos, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de operación:
Los estafadores crean un DApp que se disfraza de un proyecto legítimo, a menudo promovido a través de sitios web de phishing o redes sociales (como una página falsa de algún DEX conocido). Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que superficialmente parece autorizar una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez completada la autorización, la dirección del contrato del estafador obtiene permiso para llamar en cualquier momento a la función "TransferFrom", extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real:
A principios de 2023, un sitio web de phishing disfrazado de "actualización de某DEX V3" causó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en la cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas ni siquiera pudieron recuperar su dinero a través de medios legales, ya que la autorización fue firmada voluntariamente.
(2) firma de phishing (Phishing Signature)
Principio técnico:
Las transacciones de la cadena de bloques requieren que los usuarios generen firmas a través de claves privadas para demostrar la legitimidad de la transacción. Las billeteras generalmente mostrarán una solicitud de firma, que el usuario confirma, y luego la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Modo de funcionamiento:
El usuario recibe un correo electrónico o un mensaje en una plataforma social disfrazado como una notificación oficial, por ejemplo, "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que pide conectar la billetera y firmar una "transacción de verificación". Esta transacción podría ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación "SetApprovalForAll" que autoriza al estafador a controlar la colección de NFT del usuario.
Caso real:
Una conocida comunidad de proyectos NFT ha sido víctima de un ataque de phishing de firma, donde varios usuarios perdieron NFT valorados en varios millones de dólares al firmar transacciones falsas de "recepción de airdrop". Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) Tokens falsos y "ataque de polvo" (Dust Attack)
Principio técnico:
La apertura de la cadena de bloques permite que cualquiera envíe tokens a cualquier dirección, incluso si el receptor no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y conectarlas con las personas o empresas que poseen las billeteras. Comienza con el envío de "polvo" - enviando pequeñas cantidades de criptomonedas a diferentes direcciones, luego el atacante intenta descubrir cuál pertenece a la misma billetera. Luego, el atacante utiliza esta información para llevar a cabo ataques de phishing o amenazas contra la víctima.
Modo de operación:
En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye en forma de airdrop a las billeteras de los usuarios, y estos tokens pueden llevar un nombre o metadatos (como "FREE_AIRDROP"), lo que induce a los usuarios a visitar un sitio web para consultar detalles. Los usuarios generalmente estarán encantados de querer canjear estos tokens, y luego los atacantes pueden acceder a la billetera del usuario a través de la dirección del contrato acompañada del token. De manera encubierta, los ataques de polvo utilizan ingeniería social, analizando las transacciones posteriores del usuario, para identificar la dirección de la billetera activa del usuario, lo que les permite llevar a cabo fraudes más precisos.
Caso real:
En el pasado, los ataques de "tokens GAS" en la red de Ethereum afectaron a miles de carteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
Estos engaños tienen éxito en gran medida porque se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica:
El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que impide que el usuario determine su significado de manera intuitiva.
**Legalidad en la cadena: **
Todas las transacciones se registran en la cadena de bloques, parecen transparentes, pero las víctimas a menudo solo se dan cuenta de las consecuencias de la autorización o firma después, momento en el cual los activos ya no se pueden recuperar.
Ingeniería social:
Los estafadores aprovechan las debilidades humanas, como la codicia ("recibe 1000 dólares en tokens gratis"), el miedo ("se necesita verificar la anomalía de la cuenta") o la confianza (haciéndose pasar por el servicio al cliente de la billetera).
Disfraz ingenioso:
Los sitios web de phishing pueden usar URL similares a los nombres de dominio oficiales (por ejemplo, "metamask.io" se convierte en "metamaskk.io"), e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
La seguridad de la cadena de bloques frente a estos fraudes que combinan aspectos técnicos y psicológicos requiere estrategias de múltiples niveles para proteger los activos. A continuación se detallan las medidas de prevención:
Revisar y gestionar permisos de autorización
Herramientas: Utilice herramientas como el Verificador de Aprobación del explorador de cadena de bloques para verificar los registros de autorización de la billetera.
Operación: revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas. Antes de cada autorización, asegúrese de que la DApp provenga de una fuente confiable.
Detalles técnicos: Verificar el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Verificar enlaces y fuentes
Método: introduce manualmente la URL oficial, evita hacer clic en enlaces en redes sociales o correos electrónicos.
Verificación: Asegúrese de que el sitio web use el nombre de dominio y el certificado SSL correctos (icono de candado verde). Esté atento a errores de ortografía o caracteres adicionales.
Ejemplo: Si recibe una URL de variación de una conocida plataforma de intercambio de NFT (como "opensea.io-login"), sospeche inmediatamente de su autenticidad.
Uso de billetera fría y múltiples firmas
Cartera fría: almacenar la mayor parte de los activos en una cartera de hardware, conectando a la red solo cuando sea necesario.
Múltiples firmas: para activos de gran valor, utilice herramientas de múltiples firmas que requieran la confirmación de la transacción por múltiples claves, reduciendo el riesgo de errores de un solo punto.
Beneficios: incluso si la billetera caliente es comprometida, los activos de almacenamiento en frío siguen siendo seguros.
Manejar con precaución las solicitudes de firma
Pasos: Cada vez que firme, lea atentamente los detalles de la transacción en la ventana emergente del monedero. Algunos monederos mostrarán el campo "Datos", si contiene funciones desconocidas (como "TransferFrom"), rechace la firma.
Herramientas: Utilice la función "Decodificar datos de entrada" del explorador de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
Sugerencia: crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
Responder a ataques de polvo
Estrategia: al recibir un token desconocido, no interactúe. Márquelo como "spam" o esconda.
Revisar: a través de la plataforma del explorador de la cadena de bloques, confirmar el origen del token; si es un envío masivo, estar muy alerta.
Prevención: evita publicar la dirección de la billetera o usa una nueva dirección para realizar operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas anteriormente, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de planes de fraude avanzados, pero la verdadera seguridad nunca es una victoria unidimensional técnica. Cuando los monederos de hardware construyen una línea de defensa física y las firmas múltiples dispersan la exposición al riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última línea de defensa contra los ataques. Cada análisis de datos antes de la firma y cada revisión de permisos después de la autorización son un juramento a su soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la línea de defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como memoria muscular y establecer un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran permanentemente en el mundo en la cadena, sin posibilidad de modificación.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
3
Compartir
Comentar
0/400
PretendingToReadDocs
· 08-03 03:38
La tecnología de la cadena de bloques tampoco puede escapar de la avaricia humana.
Ver originalesResponder0
MetaNomad
· 08-01 04:43
¿Dónde hay que no devolver lo que se ha mezclado? Los datos on-chain son claros como el agua.
Ver originalesResponder0
LiquidationWatcher
· 08-01 04:25
Antes de cada transferencia, mira tres veces el White Paper.
Cadena de bloques contratos inteligentes se convierten en nuevas herramientas de fraude: revelando métodos y estrategias de autoprotección
Cadena de bloques contratos inteligentes protocolo se ha convertido en una nueva herramienta de fraude: análisis y prevención
Las criptomonedas y la tecnología de cadena de bloques están remodelando el concepto de libertad financiera, sin embargo, esta revolución también ha dado lugar a una nueva amenaza. Los estafadores ya no solo aprovechan las vulnerabilidades técnicas, sino que han convertido el propio protocolo de contratos inteligentes de la cadena de bloques en una herramienta de ataque. A través de trampas de ingeniería social meticulosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques, transformando la confianza del usuario en un arma para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son encubiertos y difíciles de rastrear, sino que, debido a su disfraz de "legalidad", son aún más engañosos. Este artículo analizará casos reales para revelar cómo los estafadores convierten el propio protocolo en un vehículo de ataque y ofrecerá un conjunto de soluciones integrales que van desde la protección técnica hasta la prevención conductual, ayudándole a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo puede un protocolo legal convertirse en una herramienta de fraude?
El diseño original del protocolo de la cadena de bloques es garantizar la seguridad y la confianza, pero los estafadores han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear múltiples formas de ataques encubiertos. A continuación se presentan algunos métodos y ejemplos de sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos (Approve Scam)
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de token ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a extraer una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, como algún DEX o alguna plataforma de préstamos, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de operación:
Los estafadores crean un DApp que se disfraza de un proyecto legítimo, a menudo promovido a través de sitios web de phishing o redes sociales (como una página falsa de algún DEX conocido). Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que superficialmente parece autorizar una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez completada la autorización, la dirección del contrato del estafador obtiene permiso para llamar en cualquier momento a la función "TransferFrom", extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real:
A principios de 2023, un sitio web de phishing disfrazado de "actualización de某DEX V3" causó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en la cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas ni siquiera pudieron recuperar su dinero a través de medios legales, ya que la autorización fue firmada voluntariamente.
(2) firma de phishing (Phishing Signature)
Principio técnico:
Las transacciones de la cadena de bloques requieren que los usuarios generen firmas a través de claves privadas para demostrar la legitimidad de la transacción. Las billeteras generalmente mostrarán una solicitud de firma, que el usuario confirma, y luego la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Modo de funcionamiento:
El usuario recibe un correo electrónico o un mensaje en una plataforma social disfrazado como una notificación oficial, por ejemplo, "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que pide conectar la billetera y firmar una "transacción de verificación". Esta transacción podría ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación "SetApprovalForAll" que autoriza al estafador a controlar la colección de NFT del usuario.
Caso real:
Una conocida comunidad de proyectos NFT ha sido víctima de un ataque de phishing de firma, donde varios usuarios perdieron NFT valorados en varios millones de dólares al firmar transacciones falsas de "recepción de airdrop". Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) Tokens falsos y "ataque de polvo" (Dust Attack)
Principio técnico:
La apertura de la cadena de bloques permite que cualquiera envíe tokens a cualquier dirección, incluso si el receptor no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y conectarlas con las personas o empresas que poseen las billeteras. Comienza con el envío de "polvo" - enviando pequeñas cantidades de criptomonedas a diferentes direcciones, luego el atacante intenta descubrir cuál pertenece a la misma billetera. Luego, el atacante utiliza esta información para llevar a cabo ataques de phishing o amenazas contra la víctima.
Modo de operación:
En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye en forma de airdrop a las billeteras de los usuarios, y estos tokens pueden llevar un nombre o metadatos (como "FREE_AIRDROP"), lo que induce a los usuarios a visitar un sitio web para consultar detalles. Los usuarios generalmente estarán encantados de querer canjear estos tokens, y luego los atacantes pueden acceder a la billetera del usuario a través de la dirección del contrato acompañada del token. De manera encubierta, los ataques de polvo utilizan ingeniería social, analizando las transacciones posteriores del usuario, para identificar la dirección de la billetera activa del usuario, lo que les permite llevar a cabo fraudes más precisos.
Caso real:
En el pasado, los ataques de "tokens GAS" en la red de Ethereum afectaron a miles de carteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
Estos engaños tienen éxito en gran medida porque se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que impide que el usuario determine su significado de manera intuitiva.
Todas las transacciones se registran en la cadena de bloques, parecen transparentes, pero las víctimas a menudo solo se dan cuenta de las consecuencias de la autorización o firma después, momento en el cual los activos ya no se pueden recuperar.
Los estafadores aprovechan las debilidades humanas, como la codicia ("recibe 1000 dólares en tokens gratis"), el miedo ("se necesita verificar la anomalía de la cuenta") o la confianza (haciéndose pasar por el servicio al cliente de la billetera).
Los sitios web de phishing pueden usar URL similares a los nombres de dominio oficiales (por ejemplo, "metamask.io" se convierte en "metamaskk.io"), e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
La seguridad de la cadena de bloques frente a estos fraudes que combinan aspectos técnicos y psicológicos requiere estrategias de múltiples niveles para proteger los activos. A continuación se detallan las medidas de prevención:
Herramientas: Utilice herramientas como el Verificador de Aprobación del explorador de cadena de bloques para verificar los registros de autorización de la billetera.
Operación: revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas. Antes de cada autorización, asegúrese de que la DApp provenga de una fuente confiable.
Detalles técnicos: Verificar el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Método: introduce manualmente la URL oficial, evita hacer clic en enlaces en redes sociales o correos electrónicos.
Verificación: Asegúrese de que el sitio web use el nombre de dominio y el certificado SSL correctos (icono de candado verde). Esté atento a errores de ortografía o caracteres adicionales.
Ejemplo: Si recibe una URL de variación de una conocida plataforma de intercambio de NFT (como "opensea.io-login"), sospeche inmediatamente de su autenticidad.
Cartera fría: almacenar la mayor parte de los activos en una cartera de hardware, conectando a la red solo cuando sea necesario.
Múltiples firmas: para activos de gran valor, utilice herramientas de múltiples firmas que requieran la confirmación de la transacción por múltiples claves, reduciendo el riesgo de errores de un solo punto.
Beneficios: incluso si la billetera caliente es comprometida, los activos de almacenamiento en frío siguen siendo seguros.
Pasos: Cada vez que firme, lea atentamente los detalles de la transacción en la ventana emergente del monedero. Algunos monederos mostrarán el campo "Datos", si contiene funciones desconocidas (como "TransferFrom"), rechace la firma.
Herramientas: Utilice la función "Decodificar datos de entrada" del explorador de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
Sugerencia: crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
Estrategia: al recibir un token desconocido, no interactúe. Márquelo como "spam" o esconda.
Revisar: a través de la plataforma del explorador de la cadena de bloques, confirmar el origen del token; si es un envío masivo, estar muy alerta.
Prevención: evita publicar la dirección de la billetera o usa una nueva dirección para realizar operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas anteriormente, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de planes de fraude avanzados, pero la verdadera seguridad nunca es una victoria unidimensional técnica. Cuando los monederos de hardware construyen una línea de defensa física y las firmas múltiples dispersan la exposición al riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última línea de defensa contra los ataques. Cada análisis de datos antes de la firma y cada revisión de permisos después de la autorización son un juramento a su soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la línea de defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como memoria muscular y establecer un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran permanentemente en el mundo en la cadena, sin posibilidad de modificación.