Блокчейн смарт-контракты Протоколы превращаются в новые инструменты мошенничества: анализ и профилактика
Криптовалюты и технологии Блокчейн переосмысляют концепцию финансовой свободы, однако эта революция также породила новую угрозу. Мошенники больше не просто используют уязвимости в технологиях, а превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно спроектированных ловушек социальной инженерии они используют прозрачность и необратимость Блокчейна, превращая доверие пользователей в орудие для кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными транзакциями, эти атаки не только скрытны и трудны для отслеживания, но также имеют более сильную обманчивую природу благодаря своей "легитимной" оболочке. В этой статье будут проанализированы реальные случаи, чтобы показать, как мошенники превращают сами протоколы в средства атаки, и будет предложен комплексный набор решений от технической защиты до поведенческих мер, чтобы помочь вам безопасно продвигаться в децентрализованном мире.
Один. Как легальный протокол становится инструментом мошенничества?
Дизайн протокола Блокчейн изначально предназначен для обеспечения безопасности и доверия, но мошенники используют его особенности, сочетая с неосторожностью пользователей, создавая различные скрытые способы атаки. Ниже приведены некоторые методы и примеры их технических деталей:
(1) Злоумышленное授权 смарт-контракты(Approve Scam)
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьи стороны (обычно смарт-контракты) извлекать из их кошельков указанное количество токенов. Эта функция широко используется в DeFi Протоколах, таких как определенный DEX или платформа кредитования, где пользователи должны уполномочить смарт-контракты для завершения сделок, стейкинга или ликвидного майнинга. Однако мошенники используют этот механизм для создания злонамеренных контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети (например, подделанная страница известного DEX). Пользователи подключают свой кошелек и их заставляют нажимать "Approve", что на поверхности выглядит как разрешение на небольшое количество токенов, но на самом деле может быть неограниченной суммой (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает доступ и может в любое время вызвать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальные примеры:
В начале 2023 года фишинговый сайт, маскирующийся под "обновление某DEX V3", привел к потере миллионов долларов USDT и ETH для сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, а жертвы даже не могут вернуть свои средства через законные методы, так как авторизация была подписана добровольно.
(2) Подпись фишинга (Phishing Signature)
Технический принцип:
Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения законности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователя транзакция рассылается по сети. Мошенники используют этот процесс, подделывая запросы на подпись для кражи активов.
Способ работы:
Пользователь получает электронное письмо или сообщение в социальной сети, замаскированное под официальное уведомление, например, "Ваш NFT airdrop готов к получению, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где ему предлагают подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", позволяющая мошеннику контролировать коллекцию NFT пользователя.
Реальный случай:
Сообщество известного NFT проекта подверглось атаке фишинга с помощью подписи, в результате чего несколько пользователей потеряли NFT на сумму несколько миллионов долларов, подписав поддельные "запросы на получение аирдропа". Злоумышленники использовали стандарт подписи EIP-712, подделывая кажущиеся безопасными запросы.
(3) Ложные токены и "атака пылью" (Dust Attack)
Технический принцип:
Публичность Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запросил этого активно. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностью или компанией, владеющей кошельком. Это начинается с отправки пыли — отправка небольших сумм криптовалюты на разные адреса, после чего злоумышленник пытается выяснить, какой из них принадлежит одному и тому же кошельку. Затем злоумышленник использует эту информацию, чтобы атаковать жертву с помощью фишинга или угроз.
Способ работы:
В большинстве случаев "пыль", используемая в атаках пылью, распределяется в виде аирдропов в кошельки пользователей. Эти токены могут содержать имя или метаданные (например, "FREE_AIRDROP"), что побуждает пользователей посетить определенный сайт для получения подробной информации. Пользователи обычно с радостью хотят обменять эти токены, после чего злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прилагаемого к токенам. Скрытое в этом то, что атаки пылью осуществляются с использованием социальной инженерии, анализируя последующие транзакции пользователя и определяя активные адреса кошельков пользователей, что позволяет осуществлять более точные мошеннические действия.
Реальный случай:
В прошлом атака "пылевых токенов GAS", произошедшая в сети Эфириума, затронула тысячи кошельков. Некоторые пользователи, из любопытства взаимодействуя, потеряли ETH и токены ERC-20.
Второе, почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность:
Код смарт-контрактов и запросы на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться как шестнадцатеричные данные, такие как "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.
Законность в блокчейне:
Все транзакции записываются в Блокчейн и кажутся прозрачными, но жертвы часто осознают последствия авторизации или подписания только позже, когда активы уже невозможно вернуть.
Социальная инженерия:
Мошенники используют слабости человеческой натуры, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необычная активность в аккаунте требует проверки") или доверие (выдавая себя за службу поддержки кошелька).
Маскировка искусна:
Фишинговые сайты могут использовать URL, похожие на официальное доменное имя (например, "metamask.io" превращается в "metamaskk.io"), даже повышая доверие с помощью HTTPS-сертификатов.
Три, как защитить ваш криптовалютный кошелек?
Безопасность Блокчейн: сталкиваясь с этими схемами, в которых сочетаются технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры по предотвращению:
Проверка и управление полномочиями
Инструменты: используйте такие инструменты, как Approval Checker в Блокчейн-браузере, чтобы проверить записи авторизации кошелька.
Операции: регулярно отменяйте ненужные разрешения, особенно безлимитные разрешения для неизвестных адресов. Перед каждым разрешением убедитесь, что DApp поступает из надежного источника.
Технические детали: проверьте значение "Allowance". Если оно равно "бессрочно" (например, 2^256-1), его следует немедленно отменить.
Проверка ссылок и источников
Метод: вручную введите официальный URL, избегая нажатия на ссылки в социальных сетях или электронной почте.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый замок). Будьте осторожны с опечатками или лишними символами.
Пример: если вы получили измененный URL от известной платформы торговли NFT (например, "opensea.io-login"), немедленно сомневайтесь в его подлинности.
Использование холодного кошелька и мультиподписей
Холодный кошелек: храните большую часть активов в аппаратном кошельке, подключая сеть только при необходимости.
Мультиподпись: для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск ошибок в одной точке.
Преимущества: даже если горячий кошелек будет взломан, активы в холодном хранилище остаются в безопасности.
Осторожно обрабатывайте запросы на подпись
Шаги: при каждом подписании внимательно читайте детали транзакции в всплывающем окне кошелька. Некоторые кошельки будут показывать поле "Данные"; если оно содержит неизвестные функции (например, "TransferFrom"), отказывайтесь подписывать.
Инструменты: используйте функцию "Decode Input Data" блокчейн-браузера для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Рекомендуется создать отдельный кошелек для операций с высоким риском и хранить небольшое количество активов.
Противодействие атаке пыли
Стратегия: после получения неопознанного токена не взаимодействуйте с ним. Отметьте его как "спам" или скройте.
Проверка: через платформу Блокчейн-обозревателя подтвердите источник токенов; если отправка массовая, будьте очень осторожны.
Предотвращение: избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Реализуя вышеуказанные меры безопасности, обычные пользователи могут значительно снизить риск стать жертвой высококлассных мошеннических схем, но настоящая безопасность далеко не односторонняя победа технологий. Когда аппаратные кошельки создают физическую защиту, а мультиподписи распределяют риски, понимание пользователями логики авторизации и осторожность в цепочечных действиях становятся последней крепостью против атак. Каждый анализ данных перед подписью, каждая проверка прав после авторизации — это клятва своей цифровой суверенности.
В будущем, независимо от того, как технологии будут развиваться, самая важная линия защиты всегда будет заключаться в том, чтобы внутренне усвоить осознание безопасности как мышечную память, устанавливая вечный баланс между доверием и проверкой. В конце концов, в мире Блокчейн, где код является законом, каждое нажатие и каждая транзакция навсегда записываются в цепочке, и их невозможно изменить.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
3
Поделиться
комментарий
0/400
PretendingToReadDocs
· 08-03 03:38
Блокчейн технология тоже не может избежать человеческой жадности.
Посмотреть ОригиналОтветить0
MetaNomad
· 08-01 04:43
Выйти на улицу, чтобы не вернуть, данные в блокчейне очевидны.
Посмотреть ОригиналОтветить0
LiquidationWatcher
· 08-01 04:25
Перед каждой транзакцией посмотрите три раза Вайтпейпер
Блокчейн смарт-контракты стали новым инструментом мошенничества: раскрытие методов и стратегий самозащиты
Блокчейн смарт-контракты Протоколы превращаются в новые инструменты мошенничества: анализ и профилактика
Криптовалюты и технологии Блокчейн переосмысляют концепцию финансовой свободы, однако эта революция также породила новую угрозу. Мошенники больше не просто используют уязвимости в технологиях, а превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно спроектированных ловушек социальной инженерии они используют прозрачность и необратимость Блокчейна, превращая доверие пользователей в орудие для кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными транзакциями, эти атаки не только скрытны и трудны для отслеживания, но также имеют более сильную обманчивую природу благодаря своей "легитимной" оболочке. В этой статье будут проанализированы реальные случаи, чтобы показать, как мошенники превращают сами протоколы в средства атаки, и будет предложен комплексный набор решений от технической защиты до поведенческих мер, чтобы помочь вам безопасно продвигаться в децентрализованном мире.
Один. Как легальный протокол становится инструментом мошенничества?
Дизайн протокола Блокчейн изначально предназначен для обеспечения безопасности и доверия, но мошенники используют его особенности, сочетая с неосторожностью пользователей, создавая различные скрытые способы атаки. Ниже приведены некоторые методы и примеры их технических деталей:
(1) Злоумышленное授权 смарт-контракты(Approve Scam)
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьи стороны (обычно смарт-контракты) извлекать из их кошельков указанное количество токенов. Эта функция широко используется в DeFi Протоколах, таких как определенный DEX или платформа кредитования, где пользователи должны уполномочить смарт-контракты для завершения сделок, стейкинга или ликвидного майнинга. Однако мошенники используют этот механизм для создания злонамеренных контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети (например, подделанная страница известного DEX). Пользователи подключают свой кошелек и их заставляют нажимать "Approve", что на поверхности выглядит как разрешение на небольшое количество токенов, но на самом деле может быть неограниченной суммой (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает доступ и может в любое время вызвать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальные примеры:
В начале 2023 года фишинговый сайт, маскирующийся под "обновление某DEX V3", привел к потере миллионов долларов USDT и ETH для сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, а жертвы даже не могут вернуть свои средства через законные методы, так как авторизация была подписана добровольно.
(2) Подпись фишинга (Phishing Signature)
Технический принцип:
Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения законности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователя транзакция рассылается по сети. Мошенники используют этот процесс, подделывая запросы на подпись для кражи активов.
Способ работы:
Пользователь получает электронное письмо или сообщение в социальной сети, замаскированное под официальное уведомление, например, "Ваш NFT airdrop готов к получению, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где ему предлагают подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", позволяющая мошеннику контролировать коллекцию NFT пользователя.
Реальный случай:
Сообщество известного NFT проекта подверглось атаке фишинга с помощью подписи, в результате чего несколько пользователей потеряли NFT на сумму несколько миллионов долларов, подписав поддельные "запросы на получение аирдропа". Злоумышленники использовали стандарт подписи EIP-712, подделывая кажущиеся безопасными запросы.
(3) Ложные токены и "атака пылью" (Dust Attack)
Технический принцип:
Публичность Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запросил этого активно. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностью или компанией, владеющей кошельком. Это начинается с отправки пыли — отправка небольших сумм криптовалюты на разные адреса, после чего злоумышленник пытается выяснить, какой из них принадлежит одному и тому же кошельку. Затем злоумышленник использует эту информацию, чтобы атаковать жертву с помощью фишинга или угроз.
Способ работы:
В большинстве случаев "пыль", используемая в атаках пылью, распределяется в виде аирдропов в кошельки пользователей. Эти токены могут содержать имя или метаданные (например, "FREE_AIRDROP"), что побуждает пользователей посетить определенный сайт для получения подробной информации. Пользователи обычно с радостью хотят обменять эти токены, после чего злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прилагаемого к токенам. Скрытое в этом то, что атаки пылью осуществляются с использованием социальной инженерии, анализируя последующие транзакции пользователя и определяя активные адреса кошельков пользователей, что позволяет осуществлять более точные мошеннические действия.
Реальный случай:
В прошлом атака "пылевых токенов GAS", произошедшая в сети Эфириума, затронула тысячи кошельков. Некоторые пользователи, из любопытства взаимодействуя, потеряли ETH и токены ERC-20.
Второе, почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Код смарт-контрактов и запросы на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться как шестнадцатеричные данные, такие как "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.
Все транзакции записываются в Блокчейн и кажутся прозрачными, но жертвы часто осознают последствия авторизации или подписания только позже, когда активы уже невозможно вернуть.
Мошенники используют слабости человеческой натуры, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необычная активность в аккаунте требует проверки") или доверие (выдавая себя за службу поддержки кошелька).
Фишинговые сайты могут использовать URL, похожие на официальное доменное имя (например, "metamask.io" превращается в "metamaskk.io"), даже повышая доверие с помощью HTTPS-сертификатов.
Три, как защитить ваш криптовалютный кошелек?
Безопасность Блокчейн: сталкиваясь с этими схемами, в которых сочетаются технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры по предотвращению:
Инструменты: используйте такие инструменты, как Approval Checker в Блокчейн-браузере, чтобы проверить записи авторизации кошелька.
Операции: регулярно отменяйте ненужные разрешения, особенно безлимитные разрешения для неизвестных адресов. Перед каждым разрешением убедитесь, что DApp поступает из надежного источника.
Технические детали: проверьте значение "Allowance". Если оно равно "бессрочно" (например, 2^256-1), его следует немедленно отменить.
Метод: вручную введите официальный URL, избегая нажатия на ссылки в социальных сетях или электронной почте.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый замок). Будьте осторожны с опечатками или лишними символами.
Пример: если вы получили измененный URL от известной платформы торговли NFT (например, "opensea.io-login"), немедленно сомневайтесь в его подлинности.
Холодный кошелек: храните большую часть активов в аппаратном кошельке, подключая сеть только при необходимости.
Мультиподпись: для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск ошибок в одной точке.
Преимущества: даже если горячий кошелек будет взломан, активы в холодном хранилище остаются в безопасности.
Шаги: при каждом подписании внимательно читайте детали транзакции в всплывающем окне кошелька. Некоторые кошельки будут показывать поле "Данные"; если оно содержит неизвестные функции (например, "TransferFrom"), отказывайтесь подписывать.
Инструменты: используйте функцию "Decode Input Data" блокчейн-браузера для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Рекомендуется создать отдельный кошелек для операций с высоким риском и хранить небольшое количество активов.
Стратегия: после получения неопознанного токена не взаимодействуйте с ним. Отметьте его как "спам" или скройте.
Проверка: через платформу Блокчейн-обозревателя подтвердите источник токенов; если отправка массовая, будьте очень осторожны.
Предотвращение: избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Реализуя вышеуказанные меры безопасности, обычные пользователи могут значительно снизить риск стать жертвой высококлассных мошеннических схем, но настоящая безопасность далеко не односторонняя победа технологий. Когда аппаратные кошельки создают физическую защиту, а мультиподписи распределяют риски, понимание пользователями логики авторизации и осторожность в цепочечных действиях становятся последней крепостью против атак. Каждый анализ данных перед подписью, каждая проверка прав после авторизации — это клятва своей цифровой суверенности.
В будущем, независимо от того, как технологии будут развиваться, самая важная линия защиты всегда будет заключаться в том, чтобы внутренне усвоить осознание безопасности как мышечную память, устанавливая вечный баланс между доверием и проверкой. В конце концов, в мире Блокчейн, где код является законом, каждое нажатие и каждая транзакция навсегда записываются в цепочке, и их невозможно изменить.