Les risques de sécurité dans le monde de la Blockchain : nouvelles formes d'escroquerie aux smart contracts
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais elles apportent également de nouveaux défis en matière de sécurité. Les fraudeurs ne se contentent plus d'exploiter les failles techniques, mais transforment les smart contracts de la blockchain elle-même en outils d'attaque. Ils exploitent habilement la transparence et l'irréversibilité de la blockchain, transformant la confiance des utilisateurs en un moyen de voler des actifs à travers des pièges d'ingénierie sociale soigneusement conçus. Des faux smart contracts à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des cas pratiques pour révéler comment les fraudeurs transforment les protocoles en vecteurs d'attaque et proposera des solutions complètes allant de la protection technique à la prévention comportementale, afin d'aider les utilisateurs à naviguer en toute sécurité dans un monde décentralisé.
I. Comment un accord légal se transforme-t-il en outil de fraude ?
Les protocoles de Blockchain devraient garantir la sécurité et la confiance, mais les escrocs exploitent leurs caractéristiques, en combinant la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques courantes et leurs détails techniques :
(1) Autorisation de smart contracts malveillants (Approve Scam)
Principe technique :
Sur des blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser les smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, des fraudeurs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les escrocs créent une DApp déguisée en projet légitime, souvent promue via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", qui semble autoriser une petite quantité de jetons, mais qui pourrait en réalité être un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient les droits et peut à tout moment appeler la fonction "TransferFrom" pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing déguisé en "mise à niveau de某DEX V3" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données en chaîne montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes ne pouvaient même pas récupérer leur argent par des moyens légaux, car l'autorisation était signée de manière volontaire.
(2) Signature de phishing (Phishing Signature)
Principes techniques :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Les portefeuilles affichent généralement une demande de signature, après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est prêt à être réclamé, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'escroc ; ou il pourrait s'agir d'une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'attribution de jetons" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens frauduleux et "attaque par poussière" (Dust Attack)
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuilles afin de suivre l'activité des portefeuilles et de les relier aux individus ou entreprises qui possèdent ces portefeuilles. Les attaquants essaient de déterminer quelles adresses appartiennent au même portefeuille, puis utilisent ces informations pour lancer des attaques de phishing ou menacer les victimes.
Mode de fonctionnement :
Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée aux portefeuilles des utilisateurs sous forme d'airdrops. Ces jetons peuvent porter des noms ou des métadonnées attrayants qui incitent les utilisateurs à visiter un site Web pour plus de détails. Les utilisateurs peuvent vouloir encaisser ces jetons, puis les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse du contrat accompagnant les jetons. Plus insidieuse, l'attaque de poussière utilise l'ingénierie sociale, analysant les transactions ultérieures des utilisateurs pour cibler les adresses de portefeuille actives des utilisateurs, permettant ainsi des fraudes plus précises.
Cas réel :
Dans le passé, une attaque par "tokens gratuits" sur le réseau Ethereum a affecté des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des tokens ERC-20 en interagissant par curiosité.
Deuxièmement, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique :
Le code des smart contracts et les demandes de signature peuvent être obscurs et difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", rendant difficile pour l'utilisateur de comprendre ce que cela signifie.
Légalité sur la Blockchain :
Toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent les conséquences de l'autorisation ou de la signature après coup, moment où les actifs ne peuvent plus être récupérés.
Ingénierie sociale :
Les escrocs exploitent les faiblesses humaines, telles que la cupidité ("recevoir gratuitement 1000 dollars en tokens"), la peur ("anomalie de compte nécessitant une vérification") ou la confiance (se faisant passer pour le service client).
Déguisement subtil :
Les sites de phishing peuvent utiliser des URL similaires à celles des noms de domaine officiels, et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces escroqueries alliant techniques et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Outil : utilisez la fonction Approval Checker du navigateur blockchain pour vérifier les enregistrements d'autorisation de votre portefeuille.
Opération : révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues. Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Détails techniques : vérifiez la valeur "Allowance", si elle est "illimitée" (comme 2^256-1), elle doit être annulée immédiatement.
Vérifier les liens et les sources
Méthode : saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les médias sociaux ou les e-mails.
Vérifiez : assurez-vous que le site utilise le bon nom de domaine et le certificat SSL (icône de cadenas vert). Soyez vigilant aux erreurs de frappe ou aux caractères supplémentaires.
Exemple : si vous recevez une variante d'une plateforme connue (par exemple, avec des caractères supplémentaires dans l'URL), suspectez immédiatement son authenticité.
Utiliser un portefeuille froid et une signature multiple
Portefeuille froid : stocker la majeure partie des actifs dans un portefeuille matériel, et ne se connecter au réseau qu'en cas de besoin.
Multi-signature : Pour les actifs de grande valeur, utilisez des outils de multi-signature, exigeant la confirmation de la transaction par plusieurs clés, afin de réduire le risque d'erreur unique.
Avantages : même si le portefeuille chaud est piraté, les actifs en stockage à froid restent sécurisés.
Traitez les demandes de signature avec prudence
Étapes : Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille à chaque signature. Faites attention au champ "Données" ; s'il contient une fonction inconnue (comme "TransferFrom"), refusez de signer.
Outils : utilisez la fonction "Décoder les données d'entrée" du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Conseil : créez un portefeuille indépendant pour les opérations à haut risque et stockez-y une petite quantité d'actifs.
Répondre aux attaques de poussière
Stratégie : après avoir reçu des tokens inconnus, ne pas interagir. Marquez-les comme "spam" ou cachez-les.
Vérifiez : via le navigateur Blockchain, confirmez l'origine des tokens, si c'est un envoi en masse, soyez extrêmement vigilant.
Prévention : Évitez de rendre publique l'adresse de votre portefeuille, ou utilisez une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité susmentionnées, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir des victimes de programmes de fraude avancés, mais la véritable sécurité n'est en aucun cas une victoire unilatérale de la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple répartit l'exposition au risque, la compréhension par l'utilisateur de la logique d'autorisation et la prudence quant aux comportements sur la chaîne sont la dernière forteresse contre les attaques. Chaque analyse des données avant la signature et chaque révision des autorisations après l'autorisation sont un serment de souveraineté numérique.
Dans le futur, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la sensibilisation à la sécurité en tant que mémoire musculaire et établir un équilibre éternel entre confiance et vérification. Après tout, dans le monde du Blockchain où le code est loi, chaque clic, chaque transaction est enregistré de manière permanente dans le monde de la chaîne, impossible à modifier.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
4
Partager
Commentaire
0/400
GhostChainLoyalist
· 07-29 18:12
Trop de mauvais, ça commence à m'inquiéter.
Voir l'originalRépondre0
Degen4Breakfast
· 07-28 22:11
Se faire prendre pour des cons, nouvelle méthode !~
Voir l'originalRépondre0
StableGenius
· 07-28 22:07
prévisiblement un autre vecteur d'attaque par ingénierie sociale... j'espère qu'ils ont appris leur leçon sur la signature aveugle
Voir l'originalRépondre0
RamenDeFiSurvivor
· 07-28 21:58
On doit toujours se faire avoir une fois avant d'apprendre !
Blockchain fraude nouvelle méthode smart contracts devenus arme d'attaque
Les risques de sécurité dans le monde de la Blockchain : nouvelles formes d'escroquerie aux smart contracts
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais elles apportent également de nouveaux défis en matière de sécurité. Les fraudeurs ne se contentent plus d'exploiter les failles techniques, mais transforment les smart contracts de la blockchain elle-même en outils d'attaque. Ils exploitent habilement la transparence et l'irréversibilité de la blockchain, transformant la confiance des utilisateurs en un moyen de voler des actifs à travers des pièges d'ingénierie sociale soigneusement conçus. Des faux smart contracts à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des cas pratiques pour révéler comment les fraudeurs transforment les protocoles en vecteurs d'attaque et proposera des solutions complètes allant de la protection technique à la prévention comportementale, afin d'aider les utilisateurs à naviguer en toute sécurité dans un monde décentralisé.
I. Comment un accord légal se transforme-t-il en outil de fraude ?
Les protocoles de Blockchain devraient garantir la sécurité et la confiance, mais les escrocs exploitent leurs caractéristiques, en combinant la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques courantes et leurs détails techniques :
(1) Autorisation de smart contracts malveillants (Approve Scam)
Principe technique : Sur des blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser les smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, des fraudeurs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement : Les escrocs créent une DApp déguisée en projet légitime, souvent promue via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", qui semble autoriser une petite quantité de jetons, mais qui pourrait en réalité être un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient les droits et peut à tout moment appeler la fonction "TransferFrom" pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel : Début 2023, un site de phishing déguisé en "mise à niveau de某DEX V3" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données en chaîne montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes ne pouvaient même pas récupérer leur argent par des moyens légaux, car l'autorisation était signée de manière volontaire.
(2) Signature de phishing (Phishing Signature)
Principes techniques : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Les portefeuilles affichent généralement une demande de signature, après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est prêt à être réclamé, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'escroc ; ou il pourrait s'agir d'une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'attribution de jetons" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens frauduleux et "attaque par poussière" (Dust Attack)
Principe technique : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuilles afin de suivre l'activité des portefeuilles et de les relier aux individus ou entreprises qui possèdent ces portefeuilles. Les attaquants essaient de déterminer quelles adresses appartiennent au même portefeuille, puis utilisent ces informations pour lancer des attaques de phishing ou menacer les victimes.
Mode de fonctionnement : Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée aux portefeuilles des utilisateurs sous forme d'airdrops. Ces jetons peuvent porter des noms ou des métadonnées attrayants qui incitent les utilisateurs à visiter un site Web pour plus de détails. Les utilisateurs peuvent vouloir encaisser ces jetons, puis les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse du contrat accompagnant les jetons. Plus insidieuse, l'attaque de poussière utilise l'ingénierie sociale, analysant les transactions ultérieures des utilisateurs pour cibler les adresses de portefeuille actives des utilisateurs, permettant ainsi des fraudes plus précises.
Cas réel : Dans le passé, une attaque par "tokens gratuits" sur le réseau Ethereum a affecté des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des tokens ERC-20 en interagissant par curiosité.
Deuxièmement, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des smart contracts et les demandes de signature peuvent être obscurs et difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", rendant difficile pour l'utilisateur de comprendre ce que cela signifie.
Légalité sur la Blockchain : Toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent les conséquences de l'autorisation ou de la signature après coup, moment où les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, telles que la cupidité ("recevoir gratuitement 1000 dollars en tokens"), la peur ("anomalie de compte nécessitant une vérification") ou la confiance (se faisant passer pour le service client).
Déguisement subtil : Les sites de phishing peuvent utiliser des URL similaires à celles des noms de domaine officiels, et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces escroqueries alliant techniques et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux. Voici des mesures de prévention détaillées :
Outil : utilisez la fonction Approval Checker du navigateur blockchain pour vérifier les enregistrements d'autorisation de votre portefeuille.
Opération : révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues. Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Détails techniques : vérifiez la valeur "Allowance", si elle est "illimitée" (comme 2^256-1), elle doit être annulée immédiatement.
Méthode : saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les médias sociaux ou les e-mails.
Vérifiez : assurez-vous que le site utilise le bon nom de domaine et le certificat SSL (icône de cadenas vert). Soyez vigilant aux erreurs de frappe ou aux caractères supplémentaires.
Exemple : si vous recevez une variante d'une plateforme connue (par exemple, avec des caractères supplémentaires dans l'URL), suspectez immédiatement son authenticité.
Portefeuille froid : stocker la majeure partie des actifs dans un portefeuille matériel, et ne se connecter au réseau qu'en cas de besoin.
Multi-signature : Pour les actifs de grande valeur, utilisez des outils de multi-signature, exigeant la confirmation de la transaction par plusieurs clés, afin de réduire le risque d'erreur unique.
Avantages : même si le portefeuille chaud est piraté, les actifs en stockage à froid restent sécurisés.
Étapes : Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille à chaque signature. Faites attention au champ "Données" ; s'il contient une fonction inconnue (comme "TransferFrom"), refusez de signer.
Outils : utilisez la fonction "Décoder les données d'entrée" du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Conseil : créez un portefeuille indépendant pour les opérations à haut risque et stockez-y une petite quantité d'actifs.
Stratégie : après avoir reçu des tokens inconnus, ne pas interagir. Marquez-les comme "spam" ou cachez-les.
Vérifiez : via le navigateur Blockchain, confirmez l'origine des tokens, si c'est un envoi en masse, soyez extrêmement vigilant.
Prévention : Évitez de rendre publique l'adresse de votre portefeuille, ou utilisez une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité susmentionnées, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir des victimes de programmes de fraude avancés, mais la véritable sécurité n'est en aucun cas une victoire unilatérale de la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple répartit l'exposition au risque, la compréhension par l'utilisateur de la logique d'autorisation et la prudence quant aux comportements sur la chaîne sont la dernière forteresse contre les attaques. Chaque analyse des données avant la signature et chaque révision des autorisations après l'autorisation sont un serment de souveraineté numérique.
Dans le futur, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la sensibilisation à la sécurité en tant que mémoire musculaire et établir un équilibre éternel entre confiance et vérification. Après tout, dans le monde du Blockchain où le code est loi, chaque clic, chaque transaction est enregistré de manière permanente dans le monde de la chaîne, impossible à modifier.