Безопасные риски мира Блокчейн: новые формы мошенничества со смарт-контрактами
Криптовалюты и технологии Блокчейн меняют концепцию финансовой свободы, но одновременно создают новые проблемы безопасности. Мошенники больше не ограничиваются использованием уязвимостей технологий, а превращают сами смарт-контракты Блокчейна в инструменты атак. Они искусно используют прозрачность и необратимость Блокчейна, через тщательно спланированные социальные инженерные ловушки превращая доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочными транзакциями, эти атаки не только скрытны и трудны для обнаружения, но также более обманчивы из-за своего "легального" внешнего вида. В этой статье с помощью практических примеров будет раскрыто, как мошенники превращают протоколы в средства атаки, и будет предложено комплексное решение от технической защиты до поведенческих мер, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как легальные соглашения превращаются в инструменты мошенничества?
Блокчейн-протоколы должны обеспечивать безопасность и доверие, но мошенники используют их особенности, в сочетании с неосторожностью пользователей, создавая различные скрытые способы атаки. Вот некоторые распространенные методы и их технические детали:
(1) Злоумышленное разрешение смарт-контракта (Approve Scam)
Технический принцип:
На таких блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочивать третьих лиц (обычно смарт-контракты) извлекать из их кошельков указанное количество токенов. Эта функция широко применяется в протоколах DeFi, пользователям необходимо уполномочить смарт-контракты для выполнения сделок, стейкинга или ликвидного майнинга. Однако мошенники используют этот механизм для создания злонамеренных контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под законный проект, часто продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их заманивают нажать "Approve", что на первый взгляд выглядит как авторизация небольшого количества токенов, но на самом деле может быть безлимитным (значение uint256.max). Как только авторизация завершена, адрес контракта мошенников получает разрешение и может в любое время вызвать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, выдававший себя за "обновление某DEX V3", привел к потере миллионов долларов USDT и ETH для сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через законные меры, поскольку авторизация была подписана добровольно.
(2) Подпись фишинга (Phishing Signature)
Технический принцип:
Для транзакций в Блокчейн пользователям необходимо сгенерировать подпись с помощью приватного ключа, чтобы подтвердить законность транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователя транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы:
Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая непосредственно переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая дает мошеннику право управлять коллекцией NFT пользователя.
Реальный случай:
Некоторые известные NFT проекты сообщества столкнулись с атакой фишинга через подписи, многие пользователи потеряли NFT стоимостью несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Нападающие использовали стандарт подписи EIP-712 для подделки запросов, которые казались безопасными.
(3) Ложные токены и "атака пыли" (Dust Attack)
Технические принципы:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это активно. Мошенники используют это, отправляя небольшое количество криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, которые ими владеют. Злоумышленники пытаются выяснить, какие адреса принадлежат одному и тому же кошельку, а затем используют эту информацию для проведения фишинговых атак или угроз против жертв.
Способ работы:
В большинстве случаев, "пыль", используемая в атаках с пылью, распределяется в виде аирдропа на кошельки пользователей. Эти токены могут иметь привлекательные названия или метаданные, которые побуждают пользователей посетить определенный веб-сайт для получения подробной информации. Пользователи могут захотеть обменять эти токены, и тогда злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прикрепленный к токенам. Более скрытно, атаки с пылью могут использовать социальную инженерию, анализируя последующие транзакции пользователей и фиксируя активные адреса кошельков пользователей, чтобы осуществлять более точные мошенничества.
Реальный случай:
В прошлом на сети Эфириум произошла атака "пыльных токенов" на несколько "бесплатных токенов", что затронуло тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытства и взаимодействия.
Два, почему эти мошенничества трудно заметить?
Эти схемы мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность:
Код смарт-контракта и запросы на подпись могут быть трудными для понимания не техническим пользователям. Например, запрос "Approve" может отображаться как шестнадцатеричные данные, такие как "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.
Законность в Блокчейне:
Все транзакции записываются в Блокчейн, на первый взгляд, это кажется прозрачным, но жертвы часто осознают последствия авторизации или подписания лишь позже, и в это время активы уже невозможно вернуть.
Социальная инженерия:
Мошенники используют человеческие слабости, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необычная активность в аккаунте, требуется подтверждение") или доверие (выдавая себя за службу поддержки).
Искусная маскировка:
Фишинговые сайты могут использовать URL, похожие на официальные домены, и даже повышать доверие с помощью сертификатов HTTPS.
Три. Как защитить ваш кошелек для криптовалюты?
Столкнувшись с мошенничеством, которое сочетает в себе как технические, так и психологические войны, защита активов требует многослойной стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте правами доступа
Инструмент: используйте функцию Approval Checker в блокчейн-обозревателе для проверки записей авторизации кошелька.
Операции: регулярно отменяйте ненужные разрешения, особенно на неведомые адреса с неограниченными полномочиями. Перед каждым разрешением убедитесь, что DApp исходит из надежного источника.
Технические детали: проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отозвать.
Проверка ссылки и источника
Метод: вручную введите официальный URL, избегая нажатия на ссылки в социальных сетях или электронных письмах.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (значок зеленого замка). Будьте осторожны с опечатками или лишними символами.
Пример: если вы получите модификацию известной платформы (например, если в URL содержатся дополнительные символы), немедленно подозревайте в ее подлинности.
Используйте холодный кошелек и мультиподпись
Холодный кошелек: храните большую часть активов в аппаратном кошельке и подключайте его к сети только при необходимости.
Многофакторная подпись: для крупных активов используйте инструменты многофакторной подписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск единичной ошибки.
Преимущества: даже если горячий кошелек будет взломан, активы в холодном хранилище останутся в безопасности.
Осторожно обрабатывайте запросы на подпись
Шаги: При каждой подписи внимательно читайте детали транзакции в всплывающем окне кошелька. Обратите внимание на поле "Данные"; если оно содержит неизвестные функции (например, "TransferFrom"), откажитесь от подписи.
Инструменты: используйте функцию "Декодировать входные данные" в блокчейн-обозревателе для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Рекомендация: создайте отдельный кошелек для высокорисковых операций и храните небольшое количество активов.
Противодействие атакам пыли
Стратегия: после получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "спам" или скройте.
Проверка: с помощью Блокчейн обозревателя подтвердите источник токена, если это массовая отправка, будьте особенно осторожны.
Предупреждение: избегайте публичного размещения адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Путем реализации вышеуказанных мер безопасности обычные пользователи могут значительно снизить риск стать жертвами сложных мошеннических схем, но настоящая безопасность никогда не является односторонней победой технологии. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осторожность в действиях на цепочке становятся последней крепостью в защите от атак. Каждое расшифрование данных перед подписью и каждая проверка прав после авторизации являются клятвой на цифровой суверенитет.
В будущем, независимо от того, как технологии будут развиваться, основная линия защиты всегда будет заключаться в следующем: внутренне усвоить осознание безопасности как мышечную память и установить вечный баланс между доверием и проверкой. В конце концов, в мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда записывается в Блокчейн, и их нельзя изменить.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
21 Лайков
Награда
21
4
Поделиться
комментарий
0/400
GhostChainLoyalist
· 07-29 18:12
Слишком много плохого, немного волнуюсь.
Посмотреть ОригиналОтветить0
Degen4Breakfast
· 07-28 22:11
Будут играть для лохов новом стиле снова пришел~
Посмотреть ОригиналОтветить0
StableGenius
· 07-28 22:07
предсказуемо еще один вектор атаки социальной инженерии... надеюсь, они усвоили урок о слепой подписи
Посмотреть ОригиналОтветить0
RamenDeFiSurvivor
· 07-28 21:58
Всегда нужно попасть в ловушку, чтобы научиться вести себя!
Блокчейн мошенничество новые приемы смарт-контракты становятся оружием атаки
Безопасные риски мира Блокчейн: новые формы мошенничества со смарт-контрактами
Криптовалюты и технологии Блокчейн меняют концепцию финансовой свободы, но одновременно создают новые проблемы безопасности. Мошенники больше не ограничиваются использованием уязвимостей технологий, а превращают сами смарт-контракты Блокчейна в инструменты атак. Они искусно используют прозрачность и необратимость Блокчейна, через тщательно спланированные социальные инженерные ловушки превращая доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочными транзакциями, эти атаки не только скрытны и трудны для обнаружения, но также более обманчивы из-за своего "легального" внешнего вида. В этой статье с помощью практических примеров будет раскрыто, как мошенники превращают протоколы в средства атаки, и будет предложено комплексное решение от технической защиты до поведенческих мер, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как легальные соглашения превращаются в инструменты мошенничества?
Блокчейн-протоколы должны обеспечивать безопасность и доверие, но мошенники используют их особенности, в сочетании с неосторожностью пользователей, создавая различные скрытые способы атаки. Вот некоторые распространенные методы и их технические детали:
(1) Злоумышленное разрешение смарт-контракта (Approve Scam)
Технический принцип: На таких блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочивать третьих лиц (обычно смарт-контракты) извлекать из их кошельков указанное количество токенов. Эта функция широко применяется в протоколах DeFi, пользователям необходимо уполномочить смарт-контракты для выполнения сделок, стейкинга или ликвидного майнинга. Однако мошенники используют этот механизм для создания злонамеренных контрактов.
Способ работы: Мошенники создают DApp, маскирующийся под законный проект, часто продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их заманивают нажать "Approve", что на первый взгляд выглядит как авторизация небольшого количества токенов, но на самом деле может быть безлимитным (значение uint256.max). Как только авторизация завершена, адрес контракта мошенников получает разрешение и может в любое время вызвать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай: В начале 2023 года фишинговый сайт, выдававший себя за "обновление某DEX V3", привел к потере миллионов долларов USDT и ETH для сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через законные меры, поскольку авторизация была подписана добровольно.
(2) Подпись фишинга (Phishing Signature)
Технический принцип: Для транзакций в Блокчейн пользователям необходимо сгенерировать подпись с помощью приватного ключа, чтобы подтвердить законность транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователя транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы: Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая непосредственно переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая дает мошеннику право управлять коллекцией NFT пользователя.
Реальный случай: Некоторые известные NFT проекты сообщества столкнулись с атакой фишинга через подписи, многие пользователи потеряли NFT стоимостью несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Нападающие использовали стандарт подписи EIP-712 для подделки запросов, которые казались безопасными.
(3) Ложные токены и "атака пыли" (Dust Attack)
Технические принципы: Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это активно. Мошенники используют это, отправляя небольшое количество криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, которые ими владеют. Злоумышленники пытаются выяснить, какие адреса принадлежат одному и тому же кошельку, а затем используют эту информацию для проведения фишинговых атак или угроз против жертв.
Способ работы: В большинстве случаев, "пыль", используемая в атаках с пылью, распределяется в виде аирдропа на кошельки пользователей. Эти токены могут иметь привлекательные названия или метаданные, которые побуждают пользователей посетить определенный веб-сайт для получения подробной информации. Пользователи могут захотеть обменять эти токены, и тогда злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прикрепленный к токенам. Более скрытно, атаки с пылью могут использовать социальную инженерию, анализируя последующие транзакции пользователей и фиксируя активные адреса кошельков пользователей, чтобы осуществлять более точные мошенничества.
Реальный случай: В прошлом на сети Эфириум произошла атака "пыльных токенов" на несколько "бесплатных токенов", что затронуло тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытства и взаимодействия.
Два, почему эти мошенничества трудно заметить?
Эти схемы мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контракта и запросы на подпись могут быть трудными для понимания не техническим пользователям. Например, запрос "Approve" может отображаться как шестнадцатеричные данные, такие как "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.
Законность в Блокчейне: Все транзакции записываются в Блокчейн, на первый взгляд, это кажется прозрачным, но жертвы часто осознают последствия авторизации или подписания лишь позже, и в это время активы уже невозможно вернуть.
Социальная инженерия: Мошенники используют человеческие слабости, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необычная активность в аккаунте, требуется подтверждение") или доверие (выдавая себя за службу поддержки).
Искусная маскировка: Фишинговые сайты могут использовать URL, похожие на официальные домены, и даже повышать доверие с помощью сертификатов HTTPS.
Три. Как защитить ваш кошелек для криптовалюты?
Столкнувшись с мошенничеством, которое сочетает в себе как технические, так и психологические войны, защита активов требует многослойной стратегии. Вот подробные меры предосторожности:
Инструмент: используйте функцию Approval Checker в блокчейн-обозревателе для проверки записей авторизации кошелька.
Операции: регулярно отменяйте ненужные разрешения, особенно на неведомые адреса с неограниченными полномочиями. Перед каждым разрешением убедитесь, что DApp исходит из надежного источника.
Технические детали: проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отозвать.
Метод: вручную введите официальный URL, избегая нажатия на ссылки в социальных сетях или электронных письмах.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (значок зеленого замка). Будьте осторожны с опечатками или лишними символами.
Пример: если вы получите модификацию известной платформы (например, если в URL содержатся дополнительные символы), немедленно подозревайте в ее подлинности.
Холодный кошелек: храните большую часть активов в аппаратном кошельке и подключайте его к сети только при необходимости.
Многофакторная подпись: для крупных активов используйте инструменты многофакторной подписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск единичной ошибки.
Преимущества: даже если горячий кошелек будет взломан, активы в холодном хранилище останутся в безопасности.
Шаги: При каждой подписи внимательно читайте детали транзакции в всплывающем окне кошелька. Обратите внимание на поле "Данные"; если оно содержит неизвестные функции (например, "TransferFrom"), откажитесь от подписи.
Инструменты: используйте функцию "Декодировать входные данные" в блокчейн-обозревателе для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Рекомендация: создайте отдельный кошелек для высокорисковых операций и храните небольшое количество активов.
Стратегия: после получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "спам" или скройте.
Проверка: с помощью Блокчейн обозревателя подтвердите источник токена, если это массовая отправка, будьте особенно осторожны.
Предупреждение: избегайте публичного размещения адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Путем реализации вышеуказанных мер безопасности обычные пользователи могут значительно снизить риск стать жертвами сложных мошеннических схем, но настоящая безопасность никогда не является односторонней победой технологии. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осторожность в действиях на цепочке становятся последней крепостью в защите от атак. Каждое расшифрование данных перед подписью и каждая проверка прав после авторизации являются клятвой на цифровой суверенитет.
В будущем, независимо от того, как технологии будут развиваться, основная линия защиты всегда будет заключаться в следующем: внутренне усвоить осознание безопасности как мышечную память и установить вечный баланс между доверием и проверкой. В конце концов, в мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда записывается в Блокчейн, и их нельзя изменить.