Blockchain contratos inteligentes protocolo tornou-se uma nova ferramenta de fraude: análise e prevenção
As criptomoedas e a tecnologia Blockchain estão a reformular o conceito de liberdade financeira, no entanto, esta revolução também gerou uma nova ameaça. Os golpistas não aproveitam apenas as vulnerabilidades técnicas, mas transformam o próprio protocolo de contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social bem elaboradas, eles utilizam a transparência e a irreversibilidade da Blockchain, convertendo a confiança dos usuários em armas para roubar ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações intercadeias, esses ataques são não só discretos e difíceis de rastrear, mas também se tornam mais enganosos devido à sua aparência "legalizada". Este artigo irá, através de casos reais, revelar como os golpistas transformam o protocolo em veículos de ataque e fornecer uma solução abrangente que abrange desde a proteção técnica até a prevenção comportamental, ajudando-o a avançar com segurança no mundo descentralizado.
Um, como um protocolo legal pode se tornar uma ferramenta de fraude?
O design do protocolo Blockchain teve como objetivo garantir segurança e confiança, mas os golpistas aproveitaram suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque secretas. A seguir estão alguns métodos e exemplos de detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos (Approve Scam)
Princípios técnicos:
Em blockchains como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Essa funcionalidade é amplamente utilizada em protocolos DeFi, como um DEX ou uma plataforma de empréstimos, onde os usuários precisam autorizar contratos inteligentes para concluir transações, staking ou mineração de liquidez. No entanto, golpistas aproveitam esse mecanismo para criar contratos maliciosos.
Como funciona:
Os golpistas criam um DApp que se disfarça como um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais (como páginas falsas de um DEX conhecido). Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que aparentemente autoriza uma pequena quantidade de tokens, mas na realidade pode ser um limite infinito (valor uint256.max). Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão e pode chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Caso real:
No início de 2023, um site de phishing disfarçado de "atualização do DEX V3" causou perdas de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na Blockchain mostram que essas transações estão totalmente de acordo com o padrão ERC-20, e as vítimas nem sequer conseguem recuperar por meios legais, pois a autorização foi assinada voluntariamente.
(2) assinatura de phishing (Phishing Signature)
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem uma assinatura por meio de uma chave privada, para provar a legitimidade da transação. A carteira geralmente exibirá um pedido de assinatura, e após a confirmação do usuário, a transação é divulgada na rede. Os golpistas usam esse processo para falsificar pedidos de assinatura e roubar ativos.
Como funciona:
O usuário recebe um e-mail ou mensagem de plataforma social disfarçado como notificação oficial, como "Seu airdrop de NFT está disponível, por favor, verifique a carteira". Após clicar no link, o usuário é direcionado a um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, estar chamando a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Caso real:
Uma comunidade de um conhecido projeto NFT foi alvo de um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes aproveitaram o padrão de assinatura EIP-712 para falsificar pedidos que pareciam seguros.
(3) tokens falsos e "ataque de poeira" (Dust Attack)
Princípios técnicos:
A abertura da Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade das carteiras e vinculá-las às pessoas ou empresas que possuem as carteiras. Começa com o envio de poeira — enviando pequenas quantidades de criptomoedas para diferentes endereços, e então o atacante tenta descobrir qual pertence à mesma carteira. Em seguida, o atacante usa essas informações para lançar ataques de phishing ou ameaças contra a vítima.
Modo de operação:
Na maioria dos casos, a "poeira" usada nos ataques de poeira é distribuída na forma de airdrops para as carteiras dos usuários; esses tokens podem ter nomes ou metadados (como "FREE_AIRDROP"), induzindo os usuários a acessar um determinado site para verificar os detalhes. Os usuários geralmente ficarão felizes em querer converter esses tokens, e então os atacantes poderão acessar a carteira do usuário através do endereço do contrato associado aos tokens. O que é oculto é que os ataques de poeira utilizam engenharia social, analisando as transações subsequentes dos usuários, para identificar os endereços de carteiras ativas e, assim, implementar fraudes mais precisas.
Caso real:
No passado, o ataque de poeira de "tokens GAS" que surgiu na rede Ethereum afetou milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de detectar?
Esses golpes são bem-sucedidos em grande parte porque estão escondidos nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica:
O código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais como "0x095ea7b3...", e o usuário não consegue avaliar intuitivamente o seu significado.
Legalidade na Blockchain:
Todas as transações são registadas na Blockchain, aparentando ser transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou da assinatura depois do facto, momento em que os ativos já não podem ser recuperados.
Engenharia social:
Os golpistas exploram as fraquezas humanas, como a ganância ("receber 1000 dólares em tokens gratuitamente"), o medo ("anomalias na conta precisam de verificação") ou a confiança (disfarçando-se como atendimento ao cliente de carteira).
Disfarce habilidoso:
Os sites de phishing podem usar URLs semelhantes ao nome de domínio oficial (por exemplo, "metamask.io" transformado em "metamaskk.io"), e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
A segurança do Blockchain enfrenta fraudes que coexistem com desafios técnicos e psicológicos; proteger ativos requer estratégias em múltiplos níveis. Aqui estão as medidas de prevenção detalhadas:
Verificar e gerir permissões de autorização
Ferramentas: use ferramentas como o Approval Checker do blockchain para verificar os registros de autorização da carteira.
Operação: revogar regularmente autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos. Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Detalhes técnicos: verifique o valor da "Allowance"; se for "ilimitado" (como 2^256-1), deve ser imediatamente revogado.
Verificar ligação e origem
Método: insira manualmente a URL oficial, evitando clicar em links nas redes sociais ou em e-mails.
Verifique: certifique-se de que o site utiliza o domínio e o certificado SSL corretos (ícone de cadeado verde). Esteja atento a erros de digitação ou caracteres em excesso.
Exemplo: Se receber um URL modificado de uma conhecida plataforma de negociação de NFT (como "opensea.io-login"), desconfie imediatamente da sua autenticidade.
Usar carteira fria e múltiplas assinaturas
Carteira fria: Armazenar a maior parte dos ativos em carteiras de hardware, conectando-se à rede apenas quando necessário.
Multassinado: Para ativos de grande valor, use ferramentas de multassinado que exigem a confirmação de múltiplas chaves para a transação, reduzindo o risco de falhas em um único ponto.
Benefícios: mesmo que a carteira quente seja comprometida, os ativos de armazenamento a frio permanecem seguros.
Tratar cuidadosamente os pedidos de assinatura
Passos: A cada assinatura, leia atentamente os detalhes da transação na janela pop-up da carteira. Algumas carteiras mostrarão o campo "dados", se incluir funções desconhecidas (como "TransferFrom"), recuse a assinatura.
Ferramentas: use a função "Decode Input Data" do explorador de Blockchain para analisar o conteúdo da assinatura, ou consulte um especialista técnico.
Sugestão: crie uma carteira independente para operações de alto risco e armazene uma pequena quantidade de ativos.
Resposta a ataques de poeira
Estratégia: Após receber um token desconhecido, não interaja. Marque-o como "lixo" ou oculte-o.
Verifique: através da plataforma do explorador de blockchain, confirme a origem do token; se for um envio em massa, mantenha-se em alerta.
Prevenção: evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima, os usuários comuns podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados, mas a verdadeira segurança nunca é uma vitória unilateral da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a assinatura múltipla distribui a exposição ao risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são o último bastião contra ataques. Cada análise de dados antes da assinatura e cada verificação de permissões após a autorização são um juramento à sua soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais fundamental reside sempre em: internalizar a consciência de segurança como uma memória muscular, estabelecendo um equilíbrio eterno entre confiança e verificação. Afinal, no mundo do blockchain onde o código é a lei, cada clique, cada transação é permanentemente registrada no mundo da cadeia, e não pode ser alterado.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
16 Curtidas
Recompensa
16
3
Compartilhar
Comentário
0/400
PretendingToReadDocs
· 08-03 03:38
A tecnologia Blockchain também não escapa à avareza humana.
Ver originalResponder0
MetaNomad
· 08-01 04:43
Saiu para misturar, onde não há devolução, os dados na cadeia são claros como água.
Ver originalResponder0
LiquidationWatcher
· 08-01 04:25
Antes de cada transferência, leia o White Paper três vezes.
Blockchain contratos inteligentes tornam-se novas ferramentas de fraude: desvendando métodos e estratégias de autoproteção
Blockchain contratos inteligentes protocolo tornou-se uma nova ferramenta de fraude: análise e prevenção
As criptomoedas e a tecnologia Blockchain estão a reformular o conceito de liberdade financeira, no entanto, esta revolução também gerou uma nova ameaça. Os golpistas não aproveitam apenas as vulnerabilidades técnicas, mas transformam o próprio protocolo de contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social bem elaboradas, eles utilizam a transparência e a irreversibilidade da Blockchain, convertendo a confiança dos usuários em armas para roubar ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações intercadeias, esses ataques são não só discretos e difíceis de rastrear, mas também se tornam mais enganosos devido à sua aparência "legalizada". Este artigo irá, através de casos reais, revelar como os golpistas transformam o protocolo em veículos de ataque e fornecer uma solução abrangente que abrange desde a proteção técnica até a prevenção comportamental, ajudando-o a avançar com segurança no mundo descentralizado.
Um, como um protocolo legal pode se tornar uma ferramenta de fraude?
O design do protocolo Blockchain teve como objetivo garantir segurança e confiança, mas os golpistas aproveitaram suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque secretas. A seguir estão alguns métodos e exemplos de detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos (Approve Scam)
Princípios técnicos:
Em blockchains como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Essa funcionalidade é amplamente utilizada em protocolos DeFi, como um DEX ou uma plataforma de empréstimos, onde os usuários precisam autorizar contratos inteligentes para concluir transações, staking ou mineração de liquidez. No entanto, golpistas aproveitam esse mecanismo para criar contratos maliciosos.
Como funciona:
Os golpistas criam um DApp que se disfarça como um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais (como páginas falsas de um DEX conhecido). Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que aparentemente autoriza uma pequena quantidade de tokens, mas na realidade pode ser um limite infinito (valor uint256.max). Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão e pode chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Caso real:
No início de 2023, um site de phishing disfarçado de "atualização do DEX V3" causou perdas de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na Blockchain mostram que essas transações estão totalmente de acordo com o padrão ERC-20, e as vítimas nem sequer conseguem recuperar por meios legais, pois a autorização foi assinada voluntariamente.
(2) assinatura de phishing (Phishing Signature)
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem uma assinatura por meio de uma chave privada, para provar a legitimidade da transação. A carteira geralmente exibirá um pedido de assinatura, e após a confirmação do usuário, a transação é divulgada na rede. Os golpistas usam esse processo para falsificar pedidos de assinatura e roubar ativos.
Como funciona:
O usuário recebe um e-mail ou mensagem de plataforma social disfarçado como notificação oficial, como "Seu airdrop de NFT está disponível, por favor, verifique a carteira". Após clicar no link, o usuário é direcionado a um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, estar chamando a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Caso real:
Uma comunidade de um conhecido projeto NFT foi alvo de um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes aproveitaram o padrão de assinatura EIP-712 para falsificar pedidos que pareciam seguros.
(3) tokens falsos e "ataque de poeira" (Dust Attack)
Princípios técnicos:
A abertura da Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade das carteiras e vinculá-las às pessoas ou empresas que possuem as carteiras. Começa com o envio de poeira — enviando pequenas quantidades de criptomoedas para diferentes endereços, e então o atacante tenta descobrir qual pertence à mesma carteira. Em seguida, o atacante usa essas informações para lançar ataques de phishing ou ameaças contra a vítima.
Modo de operação:
Na maioria dos casos, a "poeira" usada nos ataques de poeira é distribuída na forma de airdrops para as carteiras dos usuários; esses tokens podem ter nomes ou metadados (como "FREE_AIRDROP"), induzindo os usuários a acessar um determinado site para verificar os detalhes. Os usuários geralmente ficarão felizes em querer converter esses tokens, e então os atacantes poderão acessar a carteira do usuário através do endereço do contrato associado aos tokens. O que é oculto é que os ataques de poeira utilizam engenharia social, analisando as transações subsequentes dos usuários, para identificar os endereços de carteiras ativas e, assim, implementar fraudes mais precisas.
Caso real:
No passado, o ataque de poeira de "tokens GAS" que surgiu na rede Ethereum afetou milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de detectar?
Esses golpes são bem-sucedidos em grande parte porque estão escondidos nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. Aqui estão algumas razões-chave:
O código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais como "0x095ea7b3...", e o usuário não consegue avaliar intuitivamente o seu significado.
Todas as transações são registadas na Blockchain, aparentando ser transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou da assinatura depois do facto, momento em que os ativos já não podem ser recuperados.
Os golpistas exploram as fraquezas humanas, como a ganância ("receber 1000 dólares em tokens gratuitamente"), o medo ("anomalias na conta precisam de verificação") ou a confiança (disfarçando-se como atendimento ao cliente de carteira).
Os sites de phishing podem usar URLs semelhantes ao nome de domínio oficial (por exemplo, "metamask.io" transformado em "metamaskk.io"), e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
A segurança do Blockchain enfrenta fraudes que coexistem com desafios técnicos e psicológicos; proteger ativos requer estratégias em múltiplos níveis. Aqui estão as medidas de prevenção detalhadas:
Ferramentas: use ferramentas como o Approval Checker do blockchain para verificar os registros de autorização da carteira.
Operação: revogar regularmente autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos. Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Detalhes técnicos: verifique o valor da "Allowance"; se for "ilimitado" (como 2^256-1), deve ser imediatamente revogado.
Método: insira manualmente a URL oficial, evitando clicar em links nas redes sociais ou em e-mails.
Verifique: certifique-se de que o site utiliza o domínio e o certificado SSL corretos (ícone de cadeado verde). Esteja atento a erros de digitação ou caracteres em excesso.
Exemplo: Se receber um URL modificado de uma conhecida plataforma de negociação de NFT (como "opensea.io-login"), desconfie imediatamente da sua autenticidade.
Carteira fria: Armazenar a maior parte dos ativos em carteiras de hardware, conectando-se à rede apenas quando necessário.
Multassinado: Para ativos de grande valor, use ferramentas de multassinado que exigem a confirmação de múltiplas chaves para a transação, reduzindo o risco de falhas em um único ponto.
Benefícios: mesmo que a carteira quente seja comprometida, os ativos de armazenamento a frio permanecem seguros.
Passos: A cada assinatura, leia atentamente os detalhes da transação na janela pop-up da carteira. Algumas carteiras mostrarão o campo "dados", se incluir funções desconhecidas (como "TransferFrom"), recuse a assinatura.
Ferramentas: use a função "Decode Input Data" do explorador de Blockchain para analisar o conteúdo da assinatura, ou consulte um especialista técnico.
Sugestão: crie uma carteira independente para operações de alto risco e armazene uma pequena quantidade de ativos.
Estratégia: Após receber um token desconhecido, não interaja. Marque-o como "lixo" ou oculte-o.
Verifique: através da plataforma do explorador de blockchain, confirme a origem do token; se for um envio em massa, mantenha-se em alerta.
Prevenção: evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima, os usuários comuns podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados, mas a verdadeira segurança nunca é uma vitória unilateral da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a assinatura múltipla distribui a exposição ao risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são o último bastião contra ataques. Cada análise de dados antes da assinatura e cada verificação de permissões após a autorização são um juramento à sua soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais fundamental reside sempre em: internalizar a consciência de segurança como uma memória muscular, estabelecendo um equilíbrio eterno entre confiança e verificação. Afinal, no mundo do blockchain onde o código é a lei, cada clique, cada transação é permanentemente registrada no mundo da cadeia, e não pode ser alterado.