Безпекові ризики світу Блокчейн: нова форма шахрайства зі смартконтрактами
Криптовалюта та технології блокчейн змінюють концепцію фінансової свободи, але водночас вони приносять нові виклики безпеці. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі смартконтракти блокчейн на інструменти атаки. Вони хитро використовують прозорість та незворотність блокчейну, створюючи ретельно сплановані соціальні інженерні пастки, перетворюючи довіру користувачів на засоби крадіжки активів. Від підробки смартконтрактів до маніпуляцій міжмережевими транзакціями, ці атаки не лише приховані та важкі для виявлення, але й через свій "легітимний" вигляд є ще більш обманливими. У цій статті за допомогою реальних випадків буде розкрито, як шахраї перетворюють протоколи на засоби атаки, та надано комплексні рішення від технічного захисту до поведінкової профілактики, щоб допомогти користувачам безпечно рухатися в децентралізованому світі.
Одне, як легальні угоди перетворюються на інструменти шахрайства?
Блокчейн протоколи повинні забезпечувати безпеку та довіру, але шахраї використовують їхні особливості, поєднуючи з недбалістю користувачів, щоб створювати різні приховані способи атаки. Нижче наведені деякі поширені методи та їх технічні деталі:
Технологічний принцип:
На таких Блокчейн, як Ethereum, стандарт ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третіх осіб (зазвичай це смартконтракти) витягувати з їхнього гаманця вказану кількість токенів. Ця функція широко використовується в DeFi протоколах, де користувачам потрібно уповноважити смартконтракти для завершення транзакцій, стейкінгу або ліквідного видобутку. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Шахраї створюють DApp, що маскується під легальний проект, зазвичай просуваючи його через фішингові веб-сайти або соціальні мережі. Користувачі підключають гаманці та їх спонукають натиснути "Approve", що на перший погляд виглядає як надання дозволу на невелику кількість токенів, насправді це може бути безмежний ліміт (значення uint256.max). Як тільки авторизація завершена, адреса контракту шахраїв отримує права, що дозволяють в будь-який час викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Справжній випадок:
На початку 2023 року фішинг-сайт, що маскувався під "поновлення певного DEX V3", призвів до втрат сотень користувачів на мільйони доларів США в USDT та ETH. Дані в блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, а жертви навіть не можуть повернути свої гроші через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) Підпис риболовлі (Phishing Signature)
Технічні принципи:
Блокчейн-транзакції потребують від користувачів генерації підпису за допомогою приватного ключа для підтвердження легітимності транзакції. Гаманець зазвичай показує запит на підпис, після підтвердження користувача транзакція розповсюджується в мережі. Шахраї використовують цей процес для підробки запитів на підпис з метою крадіжки активів.
Спосіб роботи:
Користувач отримує лист або повідомлення, що маскується під офіційне повідомлення, наприклад, "Ваш NFT аеродроп готовий до отримання, будь ласка, підтвердіть гаманець". Після натискання на посилання користувача перенаправляють на шкідливий сайт, де просять підключити гаманець і підписати "транзакцію підтвердження". Ця транзакція насправді може викликати функцію "Transfer", безпосередньо переводячи ETH або токени з гаманця на адресу шахрая; або бути операцією "SetApprovalForAll", що надає шахраю контроль над колекцією NFT користувача.
Справжній випадок:
Відоме співтовариство NFT-проекту зазнало фішингової атаки з підписом, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши запити, що здаються безпечними.
(3) Фальшиві токени та "атака пилу" (Dust Attack)
Технічний принцип:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не запитує їх активно. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами чи компаніями, які володіють цими гаманцями. Зловмисники намагаються дізнатися, які адреси належать одному і тому ж гаманцю, а потім використовують цю інформацію для здійснення фішингових атак або погроз на адресу жертви.
Спосіб роботи:
У більшості випадків "пил" для атак з використанням пилу надсилається у вигляді аерозолей до гаманців користувачів. Ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний веб-сайт для отримання деталей. Користувачі можуть захотіти обміняти ці токени на гроші, після чого зловмисники можуть отримати доступ до гаманця користувача через адресу контракту, що супроводжує токен. Ще більш прихованим є те, що атаки пилу можуть здійснюватися через соціальну інженерію, аналізуючи подальші транзакції користувачів, щоб зафіксувати активні адреси гаманців, що дозволяє здійснювати більш точні шахрайства.
Справжній випадок:
У минулому на мережі Ethereum виникла певна "безкоштовна токенна" атака, яка вплинула на тисячі гаманців. Частина користувачів, через цікавість, зазнала втрат ETH та токенів ERC-20.
Два, чому ці шахрайства важко виявити?
Ці шахрайства досягли успіху, в значній мірі завдяки тому, що вони приховані в законних механізмах Блокчейн, звичайним користувачам важко відрізнити їх зловмисну природу. Ось кілька ключових причин:
Технічна складність:
Код смартконтракту та запит на підпис для нетехнічних користувачів є важкими для розуміння. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані на кшталт "0x095ea7b3...", і користувач не може інтуїтивно визначити його значення.
Юридичність на блокчейні:
Усі транзакції записуються в Блокчейн, здається, прозорими, але жертви часто усвідомлюють наслідки авторизації або підпису тільки після того, як активи вже неможливо повернути.
Соціальна інженерія:
Шахраї використовують слабкості людської природи, такі як жадібність ("отримати безкоштовно 1000 доларів токенів"), страх ("незвичайна активність рахунку потребує верифікації") або довіру (прикидаючись службою підтримки).
Витончена маскування:
Фішинг-сайти можуть використовувати URL, схожі на офіційні домени, навіть підвищуючи довіру за допомогою HTTPS-сертифікатів.
Три, як захистити свій криптовалютний гаманець?
Стикаючись із цими шахрайствами, які поєднують технічні та психологічні аспекти, захист активів вимагає багаторівневої стратегії. Ось детальні заходи запобігання:
Перевірка та управління авторизаційними правами
Інструменти: використовуйте функцію Approval Checker блокчейн-браузера для перевірки історії авторизацій гаманця.
Операція: періодично відкликати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес. Перед кожним дозволом переконайтеся, що DApp походить з надійного джерела.
Технічні деталі: перевірте значення "Allowance"; якщо воно "безмежне" (наприклад, 2^256-1), його слід негайно відкликати.
Перевірте посилання та джерело
Метод: вручну введіть офіційний URL, уникаючи натискання на посилання в соціальних мережах або електронній пошті.
Перевірка: переконайтеся, що веб-сайт використовує правильне доменне ім'я та SSL-сертифікат (зелений значок замка). Будьте обережні з орфографічними помилками або зайвими символами.
Приклад: якщо ви отримали варіант відомої платформи (наприклад, з додатковими символами в URL), відразу підозрюйте його справжність.
Використання холодного гаманця та мультипідпису
Холодний гаманець: зберігайте більшість активів у апаратному гаманці, підключайтеся до мережі лише за необхідності.
Багатопідпис: Для великих активів використовуйте інструмент багатопідпису, що вимагає підтвердження транзакції кількома ключами, зменшуючи ризик одноразової помилки.
Переваги: навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.
Обережно обробляйте запити на підпис
Кроки: щоразу під час підписання уважно читайте деталі транзакції у спливаючому вікні гаманця. Зверніть увагу на поле "Дані", якщо воно містить невідомі функції (наприклад, "TransferFrom"), відмовтеся від підпису.
Інструменти: використовуйте функцію "Decode Input Data" у Блокчейн-браузері для розшифровки підписаних даних або зверніться до технічного експерта.
Рекомендація: створіть окремий гаманець для високоризикових операцій, зберігайте невелику кількість активів.
Реагування на атаки пилу
Стратегія: після отримання невідомого токена не взаємодійте. Позначте його як "сміття" або сховайте.
Перевірка: через Блокчейн браузер підтвердіть джерело токенів, якщо це масова відправка, будьте дуже обережні.
Запобігання: уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Завдяки впровадженню вищезгаданих заходів безпеки, звичайні користувачі можуть суттєво знизити ризик стати жертвою складних шахрайських схем, але справжня безпека ніколи не є односторонньою перемогою технологій. Коли апаратні гаманці створюють фізичний бар'єр, а багатопідписова система розподіляє ризики, розуміння користувачами логіки авторизації та обережність у поведінці на ланцюзі стають останнім бастіоном проти атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації є клятвою на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології будуть ітеруватися, найважливішою лінією захисту завжди залишатиметься: інтерналізація усвідомлення безпеки в м'язову пам'ять, встановлення вічної рівноваги між довірою та перевіркою. Адже в світі Блокчейн, де код є законом, кожен клік, кожна транзакція назавжди записується в ланцюзі, і їх неможливо змінити.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
21 лайків
Нагородити
21
4
Поділіться
Прокоментувати
0/400
GhostChainLoyalist
· 07-29 18:12
Надто погано, трохи занепокоєний.
Переглянути оригіналвідповісти на0
Degen4Breakfast
· 07-28 22:11
Обман для дурнів новий прийом знову прийшов~
Переглянути оригіналвідповісти на0
StableGenius
· 07-28 22:07
передбачувано ще один вектор атаки соціальної інженерії... сподіваюся, вони отримали урок про сліпе підписання
Блокчейн шахрайство новий метод смартконтракти стали знаряддям атаки
Безпекові ризики світу Блокчейн: нова форма шахрайства зі смартконтрактами
Криптовалюта та технології блокчейн змінюють концепцію фінансової свободи, але водночас вони приносять нові виклики безпеці. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі смартконтракти блокчейн на інструменти атаки. Вони хитро використовують прозорість та незворотність блокчейну, створюючи ретельно сплановані соціальні інженерні пастки, перетворюючи довіру користувачів на засоби крадіжки активів. Від підробки смартконтрактів до маніпуляцій міжмережевими транзакціями, ці атаки не лише приховані та важкі для виявлення, але й через свій "легітимний" вигляд є ще більш обманливими. У цій статті за допомогою реальних випадків буде розкрито, як шахраї перетворюють протоколи на засоби атаки, та надано комплексні рішення від технічного захисту до поведінкової профілактики, щоб допомогти користувачам безпечно рухатися в децентралізованому світі.
Одне, як легальні угоди перетворюються на інструменти шахрайства?
Блокчейн протоколи повинні забезпечувати безпеку та довіру, але шахраї використовують їхні особливості, поєднуючи з недбалістю користувачів, щоб створювати різні приховані способи атаки. Нижче наведені деякі поширені методи та їх технічні деталі:
(1) Зловмисна авторизація смартконтрактів (Approve Scam)
Технологічний принцип: На таких Блокчейн, як Ethereum, стандарт ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третіх осіб (зазвичай це смартконтракти) витягувати з їхнього гаманця вказану кількість токенів. Ця функція широко використовується в DeFi протоколах, де користувачам потрібно уповноважити смартконтракти для завершення транзакцій, стейкінгу або ліквідного видобутку. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи: Шахраї створюють DApp, що маскується під легальний проект, зазвичай просуваючи його через фішингові веб-сайти або соціальні мережі. Користувачі підключають гаманці та їх спонукають натиснути "Approve", що на перший погляд виглядає як надання дозволу на невелику кількість токенів, насправді це може бути безмежний ліміт (значення uint256.max). Як тільки авторизація завершена, адреса контракту шахраїв отримує права, що дозволяють в будь-який час викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Справжній випадок: На початку 2023 року фішинг-сайт, що маскувався під "поновлення певного DEX V3", призвів до втрат сотень користувачів на мільйони доларів США в USDT та ETH. Дані в блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, а жертви навіть не можуть повернути свої гроші через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) Підпис риболовлі (Phishing Signature)
Технічні принципи: Блокчейн-транзакції потребують від користувачів генерації підпису за допомогою приватного ключа для підтвердження легітимності транзакції. Гаманець зазвичай показує запит на підпис, після підтвердження користувача транзакція розповсюджується в мережі. Шахраї використовують цей процес для підробки запитів на підпис з метою крадіжки активів.
Спосіб роботи: Користувач отримує лист або повідомлення, що маскується під офіційне повідомлення, наприклад, "Ваш NFT аеродроп готовий до отримання, будь ласка, підтвердіть гаманець". Після натискання на посилання користувача перенаправляють на шкідливий сайт, де просять підключити гаманець і підписати "транзакцію підтвердження". Ця транзакція насправді може викликати функцію "Transfer", безпосередньо переводячи ETH або токени з гаманця на адресу шахрая; або бути операцією "SetApprovalForAll", що надає шахраю контроль над колекцією NFT користувача.
Справжній випадок: Відоме співтовариство NFT-проекту зазнало фішингової атаки з підписом, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши запити, що здаються безпечними.
(3) Фальшиві токени та "атака пилу" (Dust Attack)
Технічний принцип: Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не запитує їх активно. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами чи компаніями, які володіють цими гаманцями. Зловмисники намагаються дізнатися, які адреси належать одному і тому ж гаманцю, а потім використовують цю інформацію для здійснення фішингових атак або погроз на адресу жертви.
Спосіб роботи: У більшості випадків "пил" для атак з використанням пилу надсилається у вигляді аерозолей до гаманців користувачів. Ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний веб-сайт для отримання деталей. Користувачі можуть захотіти обміняти ці токени на гроші, після чого зловмисники можуть отримати доступ до гаманця користувача через адресу контракту, що супроводжує токен. Ще більш прихованим є те, що атаки пилу можуть здійснюватися через соціальну інженерію, аналізуючи подальші транзакції користувачів, щоб зафіксувати активні адреси гаманців, що дозволяє здійснювати більш точні шахрайства.
Справжній випадок: У минулому на мережі Ethereum виникла певна "безкоштовна токенна" атака, яка вплинула на тисячі гаманців. Частина користувачів, через цікавість, зазнала втрат ETH та токенів ERC-20.
Два, чому ці шахрайства важко виявити?
Ці шахрайства досягли успіху, в значній мірі завдяки тому, що вони приховані в законних механізмах Блокчейн, звичайним користувачам важко відрізнити їх зловмисну природу. Ось кілька ключових причин:
Технічна складність: Код смартконтракту та запит на підпис для нетехнічних користувачів є важкими для розуміння. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані на кшталт "0x095ea7b3...", і користувач не може інтуїтивно визначити його значення.
Юридичність на блокчейні: Усі транзакції записуються в Блокчейн, здається, прозорими, але жертви часто усвідомлюють наслідки авторизації або підпису тільки після того, як активи вже неможливо повернути.
Соціальна інженерія: Шахраї використовують слабкості людської природи, такі як жадібність ("отримати безкоштовно 1000 доларів токенів"), страх ("незвичайна активність рахунку потребує верифікації") або довіру (прикидаючись службою підтримки).
Витончена маскування: Фішинг-сайти можуть використовувати URL, схожі на офіційні домени, навіть підвищуючи довіру за допомогою HTTPS-сертифікатів.
Три, як захистити свій криптовалютний гаманець?
Стикаючись із цими шахрайствами, які поєднують технічні та психологічні аспекти, захист активів вимагає багаторівневої стратегії. Ось детальні заходи запобігання:
Інструменти: використовуйте функцію Approval Checker блокчейн-браузера для перевірки історії авторизацій гаманця.
Операція: періодично відкликати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес. Перед кожним дозволом переконайтеся, що DApp походить з надійного джерела.
Технічні деталі: перевірте значення "Allowance"; якщо воно "безмежне" (наприклад, 2^256-1), його слід негайно відкликати.
Метод: вручну введіть офіційний URL, уникаючи натискання на посилання в соціальних мережах або електронній пошті.
Перевірка: переконайтеся, що веб-сайт використовує правильне доменне ім'я та SSL-сертифікат (зелений значок замка). Будьте обережні з орфографічними помилками або зайвими символами.
Приклад: якщо ви отримали варіант відомої платформи (наприклад, з додатковими символами в URL), відразу підозрюйте його справжність.
Холодний гаманець: зберігайте більшість активів у апаратному гаманці, підключайтеся до мережі лише за необхідності.
Багатопідпис: Для великих активів використовуйте інструмент багатопідпису, що вимагає підтвердження транзакції кількома ключами, зменшуючи ризик одноразової помилки.
Переваги: навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.
Кроки: щоразу під час підписання уважно читайте деталі транзакції у спливаючому вікні гаманця. Зверніть увагу на поле "Дані", якщо воно містить невідомі функції (наприклад, "TransferFrom"), відмовтеся від підпису.
Інструменти: використовуйте функцію "Decode Input Data" у Блокчейн-браузері для розшифровки підписаних даних або зверніться до технічного експерта.
Рекомендація: створіть окремий гаманець для високоризикових операцій, зберігайте невелику кількість активів.
Стратегія: після отримання невідомого токена не взаємодійте. Позначте його як "сміття" або сховайте.
Перевірка: через Блокчейн браузер підтвердіть джерело токенів, якщо це масова відправка, будьте дуже обережні.
Запобігання: уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Завдяки впровадженню вищезгаданих заходів безпеки, звичайні користувачі можуть суттєво знизити ризик стати жертвою складних шахрайських схем, але справжня безпека ніколи не є односторонньою перемогою технологій. Коли апаратні гаманці створюють фізичний бар'єр, а багатопідписова система розподіляє ризики, розуміння користувачами логіки авторизації та обережність у поведінці на ланцюзі стають останнім бастіоном проти атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації є клятвою на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології будуть ітеруватися, найважливішою лінією захисту завжди залишатиметься: інтерналізація усвідомлення безпеки в м'язову пам'ять, встановлення вічної рівноваги між довірою та перевіркою. Адже в світі Блокчейн, де код є законом, кожен клік, кожна транзакція назавжди записується в ланцюзі, і їх неможливо змінити.