Le protocole de smart contracts Blockchain devient un nouvel outil de fraude : analyse et prévention
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, cependant cette révolution a également engendré une nouvelle menace. Les escrocs n'exploitent plus seulement les vulnérabilités techniques, mais transforment eux-mêmes les protocole des smart contracts de la Blockchain en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils utilisent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en armes pour voler des actifs. Des faux smart contracts à la manipulation des transactions interchaines, ces attaques sont non seulement discrètes et difficiles à traquer, mais elles sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des cas réels pour révéler comment les escrocs transforment le protocole lui-même en vecteur d'attaque, et fournira une solution complète allant de la protection technique à la prévention comportementale, vous aidant à avancer en toute sécurité dans un monde décentralisé.
I. Comment un protocole légal peut-il devenir un outil de fraude ?
La conception des protocoles de Blockchain a pour objectif d'assurer la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque secrètes. Voici quelques techniques et des exemples de détails techniques :
(1) Autorisation de smart contracts malveillants (Approve Scam)
Principe technique :
Sur des blockchains telles qu'Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer une quantité spécifiée de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, par exemple sur certains DEX ou certaines plateformes de prêt, où les utilisateurs doivent autoriser le smart contract pour effectuer des transactions, du staking ou du mining de liquidité. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Des escrocs créent une DApp déguisée en projet légitime, souvent promue via des sites de phishing ou des réseaux sociaux (comme une fausse page de DEX bien connue). Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approuver", qui semble être l'autorisation d'un petit montant de jetons, alors qu'en réalité, il peut s'agir d'un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse de contrat des escrocs obtient les droits nécessaires pour appeler à tout moment la fonction "TransferFrom", permettant de retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing se faisant passer pour "la mise à niveau DEX V3" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions sont entièrement conformes à la norme ERC-20, et les victimes ne peuvent même pas récupérer leurs fonds par des moyens légaux, car les autorisations ont été signées volontairement.
(2) Signature de phishing (Phishing Signature)
Principes techniques :
Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Le portefeuille affiche généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message sur une plateforme sociale déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les tokens du portefeuille vers l'adresse de l'escroc ; ou être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas d'utilisation réel :
Une communauté d'un projet NFT bien connu a été victime d'une attaque par phishing de signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'attribution d'airdrop" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) jetons falsifiés et "attaque de poussière" (Dust Attack)
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des tokens à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille pour suivre l'activité des portefeuilles et les relier aux personnes ou entreprises qui possèdent ces portefeuilles. Cela commence par l'envoi de poussière - l'envoi de petites quantités de cryptomonnaie à différentes adresses, puis l'attaquant essaie de déterminer lesquelles appartiennent au même portefeuille. Ensuite, l'attaquant utilise ces informations pour lancer des attaques de phishing ou menacer la victime.
Mode de fonctionnement :
Dans la plupart des cas, la "poussière" utilisée dans les attaques par poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent comporter un nom ou des métadonnées (comme "FREE_AIRDROP"), incitant les utilisateurs à visiter un site web pour plus de détails. Les utilisateurs seront généralement ravis de vouloir échanger ces jetons, puis les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse de contrat jointe aux jetons. De manière insidieuse, les attaques par poussière exploitent l'ingénierie sociale, analysant les transactions ultérieures des utilisateurs pour cibler précisément les adresses de portefeuille actives des utilisateurs, afin de mettre en œuvre des arnaques plus ciblées.
Cas réel :
Dans le passé, les attaques de poussière liées aux "tokens GAS" sur le réseau Ethereum ont affecté des milliers de portefeuilles. Certains utilisateurs ont perdu des ETH et des tokens ERC-20 en raison de leur curiosité à interagir.
Deux, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces arnaques réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique :
Le code des smart contracts et les demandes de signature peuvent être difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", rendant difficile pour l'utilisateur de comprendre son sens.
Légalité sur la Blockchain :
Toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent les conséquences de l'autorisation ou de la signature trop tard, et à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale :
Les escrocs exploitent les faiblesses humaines, comme la cupidité ("recevez 1000 dollars de jetons gratuitement"), la peur ("vérification nécessaire en cas d'anomalie de compte") ou la confiance (se faisant passer pour le service client d'un portefeuille).
Déguisement subtil :
Les sites de phishing peuvent utiliser des URL similaires au nom de domaine officiel (par exemple, "metamask.io" devient "metamaskk.io"), et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
La sécurité de la Blockchain face à ces arnaques alliant techniques et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux. Voici les mesures de prévention détaillées :
Vérifier et gérer les autorisations
Outils : utilisez des outils tels que l'Approval Checker du Blockchain Explorer pour vérifier les enregistrements d'autorisation de votre portefeuille.
Opérations : révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées accordées à des adresses inconnues. Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Détails techniques : vérifiez la valeur "Allowance", si elle est "illimitée" (comme 2^256-1), elle doit être immédiatement annulée.
Vérifier les liens et les sources
Méthode : saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les médias sociaux ou les e-mails.
Vérifiez : assurez-vous que le site utilise le bon nom de domaine et un certificat SSL (icône de cadenas vert). Faites attention aux fautes de frappe ou aux caractères supplémentaires.
Exemple : Si vous recevez une URL modifiée d'une plateforme NFT connue (comme "opensea.io-login"), soupçonnez immédiatement son authenticité.
Utiliser un portefeuille froid et une signature multiple
Cold wallet : stocker la plupart des actifs dans un portefeuille matériel et ne se connecter au réseau que lorsque cela est nécessaire.
Multi-signature : Pour les actifs de grande valeur, utilisez des outils de multi-signature qui exigent la confirmation des transactions par plusieurs clés, réduisant ainsi le risque d'erreur unique.
Avantages : même si le portefeuille chaud est compromis, les actifs de stockage à froid restent sécurisés.
Traitez les demandes de signature avec prudence
Étapes : À chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille. Certains portefeuilles afficheront le champ "données", s'il contient une fonction inconnue (comme "TransferFrom"), refusez de signer.
Outils : utilisez la fonction "Décoder les données d'entrée" du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Conseil : créez un portefeuille indépendant pour les opérations à haut risque et stockez une petite quantité d'actifs.
Répondre aux attaques de poussière
Stratégie : après avoir reçu des jetons inconnus, ne pas interagir. Les marquer comme "spam" ou les cacher.
Vérifiez : via la plateforme de navigateur Blockchain, confirmez la source du token, en cas d'envoi en masse, soyez très vigilant.
Prévention : évitez de rendre votre adresse de portefeuille publique ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés, mais la véritable sécurité n'est en aucun cas une victoire unilatérale de la technologie. Lorsque les portefeuilles matériels construisent une ligne de défense physique et que les signatures multiples répartissent l'exposition au risque, la compréhension par l'utilisateur de la logique d'autorisation et la prudence dans les actions sur la chaîne constituent le dernier rempart contre les attaques. Chaque analyse des données avant la signature et chaque examen des autorisations après une autorisation sont un serment de leur souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus fondamentale réside toujours dans : internaliser la conscience de la sécurité en tant que mémoire musculaire, établir un équilibre éternel entre la confiance et la vérification. Après tout, dans le monde de la blockchain où le code est loi, chaque clic, chaque transaction est enregistrée de manière permanente dans le monde de la chaîne, et ne peut être modifiée.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
3
Partager
Commentaire
0/400
PretendingToReadDocs
· 08-03 03:38
La technologie Blockchain ne peut également pas échapper à la cupidité humaine.
Voir l'originalRépondre0
MetaNomad
· 08-01 04:43
Sortir pour se mêler, il est impossible de ne pas rendre, les données off-chain sont claires comme de l'eau.
Voir l'originalRépondre0
LiquidationWatcher
· 08-01 04:25
Avant chaque transfert, lisez le livre blanc trois fois.
Blockchain smart contracts deviennent des outils de fraude : dévoiler les méthodes et les stratégies de protection.
Le protocole de smart contracts Blockchain devient un nouvel outil de fraude : analyse et prévention
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, cependant cette révolution a également engendré une nouvelle menace. Les escrocs n'exploitent plus seulement les vulnérabilités techniques, mais transforment eux-mêmes les protocole des smart contracts de la Blockchain en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils utilisent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en armes pour voler des actifs. Des faux smart contracts à la manipulation des transactions interchaines, ces attaques sont non seulement discrètes et difficiles à traquer, mais elles sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des cas réels pour révéler comment les escrocs transforment le protocole lui-même en vecteur d'attaque, et fournira une solution complète allant de la protection technique à la prévention comportementale, vous aidant à avancer en toute sécurité dans un monde décentralisé.
I. Comment un protocole légal peut-il devenir un outil de fraude ?
La conception des protocoles de Blockchain a pour objectif d'assurer la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque secrètes. Voici quelques techniques et des exemples de détails techniques :
(1) Autorisation de smart contracts malveillants (Approve Scam)
Principe technique :
Sur des blockchains telles qu'Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer une quantité spécifiée de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, par exemple sur certains DEX ou certaines plateformes de prêt, où les utilisateurs doivent autoriser le smart contract pour effectuer des transactions, du staking ou du mining de liquidité. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Des escrocs créent une DApp déguisée en projet légitime, souvent promue via des sites de phishing ou des réseaux sociaux (comme une fausse page de DEX bien connue). Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approuver", qui semble être l'autorisation d'un petit montant de jetons, alors qu'en réalité, il peut s'agir d'un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse de contrat des escrocs obtient les droits nécessaires pour appeler à tout moment la fonction "TransferFrom", permettant de retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing se faisant passer pour "la mise à niveau DEX V3" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions sont entièrement conformes à la norme ERC-20, et les victimes ne peuvent même pas récupérer leurs fonds par des moyens légaux, car les autorisations ont été signées volontairement.
(2) Signature de phishing (Phishing Signature)
Principes techniques :
Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Le portefeuille affiche généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message sur une plateforme sociale déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les tokens du portefeuille vers l'adresse de l'escroc ; ou être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas d'utilisation réel :
Une communauté d'un projet NFT bien connu a été victime d'une attaque par phishing de signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'attribution d'airdrop" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) jetons falsifiés et "attaque de poussière" (Dust Attack)
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des tokens à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille pour suivre l'activité des portefeuilles et les relier aux personnes ou entreprises qui possèdent ces portefeuilles. Cela commence par l'envoi de poussière - l'envoi de petites quantités de cryptomonnaie à différentes adresses, puis l'attaquant essaie de déterminer lesquelles appartiennent au même portefeuille. Ensuite, l'attaquant utilise ces informations pour lancer des attaques de phishing ou menacer la victime.
Mode de fonctionnement :
Dans la plupart des cas, la "poussière" utilisée dans les attaques par poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent comporter un nom ou des métadonnées (comme "FREE_AIRDROP"), incitant les utilisateurs à visiter un site web pour plus de détails. Les utilisateurs seront généralement ravis de vouloir échanger ces jetons, puis les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse de contrat jointe aux jetons. De manière insidieuse, les attaques par poussière exploitent l'ingénierie sociale, analysant les transactions ultérieures des utilisateurs pour cibler précisément les adresses de portefeuille actives des utilisateurs, afin de mettre en œuvre des arnaques plus ciblées.
Cas réel :
Dans le passé, les attaques de poussière liées aux "tokens GAS" sur le réseau Ethereum ont affecté des milliers de portefeuilles. Certains utilisateurs ont perdu des ETH et des tokens ERC-20 en raison de leur curiosité à interagir.
Deux, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces arnaques réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Le code des smart contracts et les demandes de signature peuvent être difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", rendant difficile pour l'utilisateur de comprendre son sens.
Toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent les conséquences de l'autorisation ou de la signature trop tard, et à ce moment-là, les actifs ne peuvent plus être récupérés.
Les escrocs exploitent les faiblesses humaines, comme la cupidité ("recevez 1000 dollars de jetons gratuitement"), la peur ("vérification nécessaire en cas d'anomalie de compte") ou la confiance (se faisant passer pour le service client d'un portefeuille).
Les sites de phishing peuvent utiliser des URL similaires au nom de domaine officiel (par exemple, "metamask.io" devient "metamaskk.io"), et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
La sécurité de la Blockchain face à ces arnaques alliant techniques et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux. Voici les mesures de prévention détaillées :
Outils : utilisez des outils tels que l'Approval Checker du Blockchain Explorer pour vérifier les enregistrements d'autorisation de votre portefeuille.
Opérations : révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées accordées à des adresses inconnues. Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Détails techniques : vérifiez la valeur "Allowance", si elle est "illimitée" (comme 2^256-1), elle doit être immédiatement annulée.
Méthode : saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les médias sociaux ou les e-mails.
Vérifiez : assurez-vous que le site utilise le bon nom de domaine et un certificat SSL (icône de cadenas vert). Faites attention aux fautes de frappe ou aux caractères supplémentaires.
Exemple : Si vous recevez une URL modifiée d'une plateforme NFT connue (comme "opensea.io-login"), soupçonnez immédiatement son authenticité.
Cold wallet : stocker la plupart des actifs dans un portefeuille matériel et ne se connecter au réseau que lorsque cela est nécessaire.
Multi-signature : Pour les actifs de grande valeur, utilisez des outils de multi-signature qui exigent la confirmation des transactions par plusieurs clés, réduisant ainsi le risque d'erreur unique.
Avantages : même si le portefeuille chaud est compromis, les actifs de stockage à froid restent sécurisés.
Étapes : À chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille. Certains portefeuilles afficheront le champ "données", s'il contient une fonction inconnue (comme "TransferFrom"), refusez de signer.
Outils : utilisez la fonction "Décoder les données d'entrée" du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Conseil : créez un portefeuille indépendant pour les opérations à haut risque et stockez une petite quantité d'actifs.
Stratégie : après avoir reçu des jetons inconnus, ne pas interagir. Les marquer comme "spam" ou les cacher.
Vérifiez : via la plateforme de navigateur Blockchain, confirmez la source du token, en cas d'envoi en masse, soyez très vigilant.
Prévention : évitez de rendre votre adresse de portefeuille publique ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés, mais la véritable sécurité n'est en aucun cas une victoire unilatérale de la technologie. Lorsque les portefeuilles matériels construisent une ligne de défense physique et que les signatures multiples répartissent l'exposition au risque, la compréhension par l'utilisateur de la logique d'autorisation et la prudence dans les actions sur la chaîne constituent le dernier rempart contre les attaques. Chaque analyse des données avant la signature et chaque examen des autorisations après une autorisation sont un serment de leur souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus fondamentale réside toujours dans : internaliser la conscience de la sécurité en tant que mémoire musculaire, établir un équilibre éternel entre la confiance et la vérification. Après tout, dans le monde de la blockchain où le code est loi, chaque clic, chaque transaction est enregistrée de manière permanente dans le monde de la chaîne, et ne peut être modifiée.