As vulnerabilidades de segurança no mundo da Blockchain: novas formas de fraude em contratos inteligentes
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas ao mesmo tempo trazem novos desafios de segurança. Os golpistas não se limitam a explorar falhas técnicas, mas transformam os contratos inteligentes da Blockchain em ferramentas de ataque. Eles utilizam habilmente a transparência e a irreversibilidade da Blockchain, através de armadilhas de engenharia social cuidadosamente elaboradas, convertendo a confiança dos usuários em meios para roubar ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não só são difíceis de detectar, mas também se tornam mais enganosos devido à sua aparência "legalizada". Este artigo analisará casos práticos, revelando como os golpistas transformam protocolos em veículos de ataque, e fornecerá soluções abrangentes desde proteção técnica até prevenção comportamental, ajudando os usuários a avançar com segurança no mundo descentralizado.
I. Como um contrato legal se transforma em uma ferramenta de fraude?
Os protocolos de Blockchain deveriam garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. A seguir, estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos (Approve Scam)
Princípios técnicos:
Na blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Essa funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, os golpistas aproveitam esse mecanismo para projetar contratos maliciosos.
Modo de operação:
Os golpistas criam um DApp disfarçado como um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que aparentemente autoriza uma pequena quantidade de tokens, mas na realidade pode ser um limite infinito (valor uint256.max). Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Caso real:
No início de 2023, um site de phishing disfarçado como "atualização de某DEX V3" causou perdas de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na blockchain mostram que essas transações estão completamente em conformidade com o padrão ERC-20, e as vítimas não conseguem recuperar seus fundos mesmo através de meios legais, pois a autorização foi assinada voluntariamente.
(2) Assinatura de Phishing (Phishing Signature)
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legalidade da transação. As carteiras geralmente solicitam uma confirmação de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam esse processo para falsificar solicitações de assinatura e roubar ativos.
Como funciona:
O usuário recebe um e-mail ou mensagem disfarçada de notificação oficial, como "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a carteira". Após clicar no link, o usuário é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, estar chamando a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Caso real:
Uma comunidade de um conhecido projeto NFT foi alvo de um ataque de phishing de assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "receber airdrop" falsificadas. O atacante explorou o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.
(3) Tokens falsos e "ataque de poeira" (Dust Attack)
Princípios técnicos:
A transparência do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e vinculá-la a indivíduos ou empresas que possuem a carteira. Os atacantes tentam descobrir quais endereços pertencem à mesma carteira e, em seguida, utilizam essas informações para lançar ataques de phishing ou ameaças às vítimas.
Funcionamento:
Na maioria dos casos, a "poeira" utilizada em ataques de poeira é distribuída aos wallets dos usuários na forma de airdrops; esses tokens podem ter nomes ou metadados atraentes, induzindo os usuários a visitar um determinado site para consultar detalhes. Os usuários podem querer converter esses tokens, e então os atacantes podem acessar a wallet dos usuários através do endereço de contrato associado aos tokens. Mais discretamente, os ataques de poeira podem usar engenharia social, analisando as transações subsequentes dos usuários, para identificar os endereços de wallet ativos dos usuários, permitindo a execução de fraudes mais precisas.
Caso real:
No passado, um ataque de poeira de um "token gratuito" que apareceu na rede Ethereum afetou milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes são bem-sucedidas, em grande parte, porque estão escondidas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernirem sua verdadeira natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica:
O código de contratos inteligentes e os pedidos de assinatura podem ser obscuros para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais como "0x095ea7b3...", e o usuário não consegue determinar intuitivamente seu significado.
Legalidade em Blockchain:
Todas as transações são registadas na Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois, momento em que os ativos já não podem ser recuperados.
Engenharia Social:
Os golpistas exploram as fraquezas humanas, como a ganância ("receber 1000 dólares em tokens gratuitamente"), o medo ("anomalias na conta precisam de verificação") ou a confiança (disfarçando-se como atendimento ao cliente).
Disfarce sofisticado:
Sites de phishing podem usar URLs semelhantes ao domínio oficial, e até aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante desses golpes que coexistem com a guerra psicológica e técnica, proteger os ativos requer uma estratégia em múltiplos níveis. Abaixo estão as medidas detalhadas de prevenção:
Verificar e gerir permissões autorizadas
Ferramenta: Utilize a função Approval Checker do explorador de Blockchain para verificar os registros de autorização da carteira.
Operação: Revogar periodicamente autorizações desnecessárias, especialmente as autorizações ilimitadas para endereços desconhecidos. Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Detalhes técnicos: Verifique o valor "Allowance". Se for "ilimitado" (como 2^256-1), deve ser revogado imediatamente.
Verifique o link e a fonte
Método: insira manualmente a URL oficial, evite clicar em links em redes sociais ou e-mails.
Verifique: certifique-se de que o site está a usar o domínio correto e o certificado SSL (ícone de cadeado verde). Esteja atento a erros de ortografia ou caracteres em excesso.
Exemplo: se receber uma variante de uma plataforma conhecida (como caracteres adicionais na URL), suspeite imediatamente da sua autenticidade.
Usar carteira fria e múltiplas assinaturas
Carteira fria: Armazenar a maior parte dos ativos em uma carteira de hardware, conectando-se à rede apenas quando necessário.
Multassinado: Para ativos de grande valor, utilize ferramentas de multassinado que exigem a confirmação de várias chaves para transações, reduzindo o risco de erro de ponto único.
Benefícios: mesmo que a carteira quente seja comprometida, os ativos armazenados a frio continuam seguros.
Trate os pedidos de assinatura com cautela
Passos: A cada assinatura, leia atentamente os detalhes da transação na janela do carteira. Preste atenção ao campo "Dados"; se contiver funções desconhecidas (como "TransferFrom"), recuse a assinatura.
Ferramentas: use a função "Decode Input Data" do explorador de Blockchain para analisar o conteúdo da assinatura ou consulte um especialista técnico.
Sugestão: crie uma carteira independente para operações de alto risco e armazene uma pequena quantidade de ativos.
Combater ataques de poeira
Estratégia: Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
Verifique: através do explorador de Blockchain, confirme a origem do token; se for um envio em massa, mantenha-se altamente alerta.
Prevenção: evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima, os usuários comuns podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados, mas a verdadeira segurança nunca é uma vitória unilateral da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a múltipla assinatura dispersa a exposição ao risco, a compreensão do usuário sobre a lógica de autorização e a cautela em relação ao comportamento na blockchain são a última fortaleza contra ataques. Cada análise de dados antes da assinatura e cada revisão de permissões após a autorização são um juramento à sua própria soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais crucial sempre estará em: internalizar a consciência de segurança como memória muscular e estabelecer um equilíbrio eterno entre confiança e verificação. Afinal, no mundo do blockchain onde o código é a lei, cada clique, cada transação é permanentemente registrada no mundo da cadeia e não pode ser alterada.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
21 Curtidas
Recompensa
21
4
Compartilhar
Comentário
0/400
GhostChainLoyalist
· 07-29 18:12
Muito ruim, estou um pouco preocupado.
Ver originalResponder0
Degen4Breakfast
· 07-28 22:11
Ser enganado por idiotas novo truque chegou~
Ver originalResponder0
StableGenius
· 07-28 22:07
predizivelmente, outro vetor de ataque de engenharia social... espero que tenham aprendido a lição sobre a assinatura cega
Ver originalResponder0
RamenDeFiSurvivor
· 07-28 21:58
Só se aprende a lição depois de ser enganado uma vez!
Blockchain fraudes novas táticas contratos inteligentes se tornam armas de ataque
As vulnerabilidades de segurança no mundo da Blockchain: novas formas de fraude em contratos inteligentes
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas ao mesmo tempo trazem novos desafios de segurança. Os golpistas não se limitam a explorar falhas técnicas, mas transformam os contratos inteligentes da Blockchain em ferramentas de ataque. Eles utilizam habilmente a transparência e a irreversibilidade da Blockchain, através de armadilhas de engenharia social cuidadosamente elaboradas, convertendo a confiança dos usuários em meios para roubar ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não só são difíceis de detectar, mas também se tornam mais enganosos devido à sua aparência "legalizada". Este artigo analisará casos práticos, revelando como os golpistas transformam protocolos em veículos de ataque, e fornecerá soluções abrangentes desde proteção técnica até prevenção comportamental, ajudando os usuários a avançar com segurança no mundo descentralizado.
I. Como um contrato legal se transforma em uma ferramenta de fraude?
Os protocolos de Blockchain deveriam garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. A seguir, estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos (Approve Scam)
Princípios técnicos: Na blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Essa funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, os golpistas aproveitam esse mecanismo para projetar contratos maliciosos.
Modo de operação: Os golpistas criam um DApp disfarçado como um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que aparentemente autoriza uma pequena quantidade de tokens, mas na realidade pode ser um limite infinito (valor uint256.max). Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Caso real: No início de 2023, um site de phishing disfarçado como "atualização de某DEX V3" causou perdas de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na blockchain mostram que essas transações estão completamente em conformidade com o padrão ERC-20, e as vítimas não conseguem recuperar seus fundos mesmo através de meios legais, pois a autorização foi assinada voluntariamente.
(2) Assinatura de Phishing (Phishing Signature)
Princípios técnicos: As transações em Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legalidade da transação. As carteiras geralmente solicitam uma confirmação de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam esse processo para falsificar solicitações de assinatura e roubar ativos.
Como funciona: O usuário recebe um e-mail ou mensagem disfarçada de notificação oficial, como "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a carteira". Após clicar no link, o usuário é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, estar chamando a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Caso real: Uma comunidade de um conhecido projeto NFT foi alvo de um ataque de phishing de assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "receber airdrop" falsificadas. O atacante explorou o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.
(3) Tokens falsos e "ataque de poeira" (Dust Attack)
Princípios técnicos: A transparência do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e vinculá-la a indivíduos ou empresas que possuem a carteira. Os atacantes tentam descobrir quais endereços pertencem à mesma carteira e, em seguida, utilizam essas informações para lançar ataques de phishing ou ameaças às vítimas.
Funcionamento: Na maioria dos casos, a "poeira" utilizada em ataques de poeira é distribuída aos wallets dos usuários na forma de airdrops; esses tokens podem ter nomes ou metadados atraentes, induzindo os usuários a visitar um determinado site para consultar detalhes. Os usuários podem querer converter esses tokens, e então os atacantes podem acessar a wallet dos usuários através do endereço de contrato associado aos tokens. Mais discretamente, os ataques de poeira podem usar engenharia social, analisando as transações subsequentes dos usuários, para identificar os endereços de wallet ativos dos usuários, permitindo a execução de fraudes mais precisas.
Caso real: No passado, um ataque de poeira de um "token gratuito" que apareceu na rede Ethereum afetou milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes são bem-sucedidas, em grande parte, porque estão escondidas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernirem sua verdadeira natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica: O código de contratos inteligentes e os pedidos de assinatura podem ser obscuros para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais como "0x095ea7b3...", e o usuário não consegue determinar intuitivamente seu significado.
Legalidade em Blockchain: Todas as transações são registadas na Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois, momento em que os ativos já não podem ser recuperados.
Engenharia Social: Os golpistas exploram as fraquezas humanas, como a ganância ("receber 1000 dólares em tokens gratuitamente"), o medo ("anomalias na conta precisam de verificação") ou a confiança (disfarçando-se como atendimento ao cliente).
Disfarce sofisticado: Sites de phishing podem usar URLs semelhantes ao domínio oficial, e até aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante desses golpes que coexistem com a guerra psicológica e técnica, proteger os ativos requer uma estratégia em múltiplos níveis. Abaixo estão as medidas detalhadas de prevenção:
Ferramenta: Utilize a função Approval Checker do explorador de Blockchain para verificar os registros de autorização da carteira.
Operação: Revogar periodicamente autorizações desnecessárias, especialmente as autorizações ilimitadas para endereços desconhecidos. Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Detalhes técnicos: Verifique o valor "Allowance". Se for "ilimitado" (como 2^256-1), deve ser revogado imediatamente.
Método: insira manualmente a URL oficial, evite clicar em links em redes sociais ou e-mails.
Verifique: certifique-se de que o site está a usar o domínio correto e o certificado SSL (ícone de cadeado verde). Esteja atento a erros de ortografia ou caracteres em excesso.
Exemplo: se receber uma variante de uma plataforma conhecida (como caracteres adicionais na URL), suspeite imediatamente da sua autenticidade.
Carteira fria: Armazenar a maior parte dos ativos em uma carteira de hardware, conectando-se à rede apenas quando necessário.
Multassinado: Para ativos de grande valor, utilize ferramentas de multassinado que exigem a confirmação de várias chaves para transações, reduzindo o risco de erro de ponto único.
Benefícios: mesmo que a carteira quente seja comprometida, os ativos armazenados a frio continuam seguros.
Passos: A cada assinatura, leia atentamente os detalhes da transação na janela do carteira. Preste atenção ao campo "Dados"; se contiver funções desconhecidas (como "TransferFrom"), recuse a assinatura.
Ferramentas: use a função "Decode Input Data" do explorador de Blockchain para analisar o conteúdo da assinatura ou consulte um especialista técnico.
Sugestão: crie uma carteira independente para operações de alto risco e armazene uma pequena quantidade de ativos.
Estratégia: Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
Verifique: através do explorador de Blockchain, confirme a origem do token; se for um envio em massa, mantenha-se altamente alerta.
Prevenção: evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima, os usuários comuns podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados, mas a verdadeira segurança nunca é uma vitória unilateral da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a múltipla assinatura dispersa a exposição ao risco, a compreensão do usuário sobre a lógica de autorização e a cautela em relação ao comportamento na blockchain são a última fortaleza contra ataques. Cada análise de dados antes da assinatura e cada revisão de permissões após a autorização são um juramento à sua própria soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais crucial sempre estará em: internalizar a consciência de segurança como memória muscular e estabelecer um equilíbrio eterno entre confiança e verificação. Afinal, no mundo do blockchain onde o código é a lei, cada clique, cada transação é permanentemente registrada no mundo da cadeia e não pode ser alterada.