Блокчейн смартконтракти протокол перетворюється на новий вид шахрайства: аналіз і запобігання
Криптовалюти та технології Блокчейн змінюють концепцію фінансової свободи, однак ця революція також породила нову загрозу. Шахраї більше не просто використовують технічні вразливості, а перетворюють самі протоколи смартконтрактів Блокчейн на знаряддя атаки. Завдяки ретельно спроектованим соціально-інженерним пасткам, вони використовують прозорість та незворотність Блокчейн для перетворення довіри користувачів на інструмент для викрадення активів. Від підроблених смартконтрактів до маніпуляцій з крос-чейн транзакціями, ці атаки не лише приховані, але й важкі для відстеження, і ще більш оманливі завдяки їх "легалізованій" оболонці. У цій статті ми проаналізуємо реальні випадки, щоб показати, як шахраї перетворюють сам протокол на знаряддя атаки, і надамо комплексне рішення, що охоплює від технічного захисту до поведінкових запобігань, щоб допомогти вам безпечно пересуватися в децентралізованому світі.
Один, як легальний протокол стає інструментом шахрайства?
Дизайн протоколу Блокчейн мав на меті забезпечити безпеку та довіру, але шахраї використовують його особливості, поєднуючи їх із недбалістю користувачів, створюючи різноманітні приховані способи атаки. Нижче наведено кілька методів та їх технічні деталі для ілюстрації:
На блокчейнах, таких як Ефір, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третьої сторони (зазвичай це смартконтракти) витягувати з їхнього гаманця певну кількість токенів. Ця функція широко використовується в DeFi протоколах, таких як певний DEX або певна платформа кредитування, де користувачі повинні уповноважити смартконтракти для завершення угод, стейкінгу або видобутку ліквідності. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Шахраї створюють DApp, що маскується під легальний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі (наприклад, підроблені сторінки відомого DEX). Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на перший погляд є наданням дозволу на невелику кількість токенів, але насправді це може бути безмежний ліміт (значення uint256.max). Як тільки авторизація завершена, адреса контракту шахраїв отримує доступ, може в будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Реальний випадок:
На початку 2023 року фішинговий вебсайт, що маскувався під "покращення певного DEX V3", призвів до втрат сотень користувачів на мільйони доларів США в USDT та ETH. Дані на блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, жертви навіть не можуть повернути свої кошти через юридичні дії, оскільки авторизація була підписана добровільно.
(2) Підпис риболовлі (Phishing Signature)
Технічний принцип:
Блокчейн-транзакції потребують від користувачів створення підпису через приватний ключ, щоб підтвердити легітимність транзакції. Гаманець зазвичай сповіщає про запит на підпис, після підтвердження користувачем транзакція розповсюджується в мережі. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.
Спосіб роботи:
Користувач отримує лист, що маскується під офіційне повідомлення, або повідомлення з соціальної платформи, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, підтвердіть гаманець". Натискаючи на посилання, користувача перенаправляють на шкідливий сайт, де його просять підключити гаманець та підписати "транзакцію підтвердження". Ця транзакція насправді може викликати функцію "Transfer", безпосередньо переводячи ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що дозволяє шахраєві контролювати колекцію NFT користувача.
Справжній випадок:
Деяка відома спільнота NFT проекту зазнала атаки фішингу підписів, кілька користувачів втратили NFT на кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши запити, які виглядали безпечними.
(3) Фальшиві токени та "атака пилу" (Dust Attack)
Технічний принцип:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не робив активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька гаманців, щоб відстежити активність гаманців і зв'язати їх з особою або компанією, що володіє гаманцем. Все починається з надсилання пилу — надсилання невеликої кількості криптовалюти на різні адреси, після чого зловмисник намагається визначити, який з адрес належить одному і тому ж гаманцю. Потім зловмисник використовує цю інформацію для проведення фішингових атак або погроз щодо жертви.
Спосіб роботи:
У більшості випадків "пил" для атак пилом надсилається у вигляді аірдропів до гаманців користувачів, ці токени можуть мати назву або метадані (наприклад, "FREE_AIRDROP"), що спонукає користувачів відвідати певний вебсайт для отримання деталей. Користувачі зазвичай радісно прагнуть обміняти ці токени, після чого зловмисники можуть отримати доступ до гаманця користувача через адреси контрактів, що супроводжують токени. Приховано, атаки пилом здійснюються за допомогою соціальної інженерії, аналізуючи подальші транзакції користувачів, що дозволяє зловмисникам точно визначити активні адреси гаманців користувачів для реалізації більш точних шахрайств.
Справжній випадок:
В минулому "GAS токени" на мережі Ефіріуму стали причиною атаки з пилу, що вплинула на тисячі гаманців. Частина користувачів, керуючись цікавістю, втратили ETH та ERC-20 токени.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко розпізнати їх злочинну сутність. Ось кілька ключових причин:
Технічна складність:
Код смартконтракту та запит на підпис є незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані "0x095ea7b3...", і користувач не може інтуїтивно зрозуміти його значення.
Законність на Блокчейні:
Всі транзакції записуються на Блокчейн, що виглядає прозорим, але жертви зазвичай усвідомлюють наслідки авторизації або підпису лише згодом, а в цей час активи вже не можна повернути.
Соціальна інженерія:
Шахраї використовують людські слабкості, такі як жага ("отримайте безкоштовно 1000 доларів токенів"), страх ("незвичайна активність рахунку потребує підтвердження") або довіру (прикидаючись службою підтримки гаманців).
Вдало маскування:
Фішингові сайти можуть використовувати URL, схожі на офіційні доменні імена (наприклад, "metamask.io" перетворюється на "metamaskk.io"), навіть додаючи сертифікат HTTPS для підвищення довіри.
Три, як захистити ваш гаманець з криптовалютою?
Блокчейн безпека перед цими шахрайствами, що поєднують технічні та психологічні війни, потребує багаторівневої стратегії для захисту активів. Нижче наведені детальні запобіжні заходи:
Перевірка та управління правами доступу
Інструменти: використовуйте такі інструменти, як Approval Checker з блокчейн-браузера, для перевірки записів авторизації гаманця.
Операції: регулярно скасовуйте непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес. Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.
Технічні деталі: перевірте значення "Allowance", якщо воно "нескінченне" (наприклад, 2^256-1), його слід негайно скасувати.
Перевірка посилання та джерела
Метод: введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Перевірка: переконайтеся, що сайт використовує правильне ім'я домену та SSL-сертифікат (зелена іконка замка). Будьте обережні з помилками друку або зайвими символами.
Приклад: якщо ви отримали варіант URL від відомої платформи NFT (наприклад, "opensea.io-login"), одразу підозрюйте його справжність.
Використання холодного гаманця та мультипідпису
Холодний гаманець: зберігайте більшість активів у апаратному гаманці, підключаючи до мережі лише за необхідності.
Багатопідпис: для великих активів використовуйте інструменти багатопідпису, які вимагають підтвердження транзакції кількома ключами, щоб зменшити ризик одноточкових помилок.
Переваги: навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.
Обережно обробляйте запити на підпис
Кроки: щоразу підписуючи, уважно читайте деталі транзакції у спливаючому вікні гаманця. Деякі гаманці відображають поле "дані", якщо містить невідому функцію (таку як "TransferFrom"), відмовтеся підписувати.
Інструменти: використовуйте функцію "Decode Input Data" блокчейн-браузера для розшифровки підписаних даних або зверніться до технічного експерта.
Рекомендації: створіть окремий гаманець для операцій з високим ризиком та зберігайте в ньому невелику кількість активів.
Справитися з атакою пилу
Стратегія: після отримання невідомого токена не взаємодіяти. Позначте його як "сміття" або сховати.
Перевірка: через платформу блокчейн-браузера підтверджуйте джерело токенів, якщо це масова відправка, будьте дуже обережні.
Запобігання: уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Впроваджуючи вищезазначені заходи безпеки, звичайні користувачі можуть значно знизити ризик стати жертвами складних шахрайських схем, але справжня безпека ніколи не є односторонньою перемогою технологій. Коли апаратні гаманці створюють фізичну лінію захисту, а багатопідписні підходи розподіляють ризики, саме розуміння користувачем логіки авторизації та обережність щодо поведінки в мережі є останнім бастіоном проти атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації є одностороннім зобов'язанням щодо власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології будуть ітеруватися, найосновнішою лінією оборони завжди залишиться: інтеграція усвідомлення безпеки в м'язову пам'ять, встановлення вічної рівноваги між довірою та перевіркою. Адже в світі Блокчейн, де код є законом, кожен клік, кожна транзакція назавжди фіксується в ланцюзі, що не підлягає змінам.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
3
Поділіться
Прокоментувати
0/400
PretendingToReadDocs
· 08-03 03:38
Блокчейн технологія також не може уникнути людської жадібності.
Переглянути оригіналвідповісти на0
MetaNomad
· 08-01 04:43
Вийшовши на сцену, немає чого не повернути, у блокчейні дані очевидні.
Переглянути оригіналвідповісти на0
LiquidationWatcher
· 08-01 04:25
Перед кожним переказом спочатку перегляньте тричі Біла книга
Блокчейн смартконтракти стали новим інструментом шахрайства: розкриття методів та стратегій самозахисту
Блокчейн смартконтракти протокол перетворюється на новий вид шахрайства: аналіз і запобігання
Криптовалюти та технології Блокчейн змінюють концепцію фінансової свободи, однак ця революція також породила нову загрозу. Шахраї більше не просто використовують технічні вразливості, а перетворюють самі протоколи смартконтрактів Блокчейн на знаряддя атаки. Завдяки ретельно спроектованим соціально-інженерним пасткам, вони використовують прозорість та незворотність Блокчейн для перетворення довіри користувачів на інструмент для викрадення активів. Від підроблених смартконтрактів до маніпуляцій з крос-чейн транзакціями, ці атаки не лише приховані, але й важкі для відстеження, і ще більш оманливі завдяки їх "легалізованій" оболонці. У цій статті ми проаналізуємо реальні випадки, щоб показати, як шахраї перетворюють сам протокол на знаряддя атаки, і надамо комплексне рішення, що охоплює від технічного захисту до поведінкових запобігань, щоб допомогти вам безпечно пересуватися в децентралізованому світі.
Один, як легальний протокол стає інструментом шахрайства?
Дизайн протоколу Блокчейн мав на меті забезпечити безпеку та довіру, але шахраї використовують його особливості, поєднуючи їх із недбалістю користувачів, створюючи різноманітні приховані способи атаки. Нижче наведено кілька методів та їх технічні деталі для ілюстрації:
(1) Зловмисне смартконтрактне уповноваження (Approve Scam)
Технічний принцип:
На блокчейнах, таких як Ефір, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третьої сторони (зазвичай це смартконтракти) витягувати з їхнього гаманця певну кількість токенів. Ця функція широко використовується в DeFi протоколах, таких як певний DEX або певна платформа кредитування, де користувачі повинні уповноважити смартконтракти для завершення угод, стейкінгу або видобутку ліквідності. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Шахраї створюють DApp, що маскується під легальний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі (наприклад, підроблені сторінки відомого DEX). Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на перший погляд є наданням дозволу на невелику кількість токенів, але насправді це може бути безмежний ліміт (значення uint256.max). Як тільки авторизація завершена, адреса контракту шахраїв отримує доступ, може в будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Реальний випадок:
На початку 2023 року фішинговий вебсайт, що маскувався під "покращення певного DEX V3", призвів до втрат сотень користувачів на мільйони доларів США в USDT та ETH. Дані на блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, жертви навіть не можуть повернути свої кошти через юридичні дії, оскільки авторизація була підписана добровільно.
(2) Підпис риболовлі (Phishing Signature)
Технічний принцип:
Блокчейн-транзакції потребують від користувачів створення підпису через приватний ключ, щоб підтвердити легітимність транзакції. Гаманець зазвичай сповіщає про запит на підпис, після підтвердження користувачем транзакція розповсюджується в мережі. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.
Спосіб роботи:
Користувач отримує лист, що маскується під офіційне повідомлення, або повідомлення з соціальної платформи, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, підтвердіть гаманець". Натискаючи на посилання, користувача перенаправляють на шкідливий сайт, де його просять підключити гаманець та підписати "транзакцію підтвердження". Ця транзакція насправді може викликати функцію "Transfer", безпосередньо переводячи ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що дозволяє шахраєві контролювати колекцію NFT користувача.
Справжній випадок:
Деяка відома спільнота NFT проекту зазнала атаки фішингу підписів, кілька користувачів втратили NFT на кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши запити, які виглядали безпечними.
(3) Фальшиві токени та "атака пилу" (Dust Attack)
Технічний принцип:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не робив активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька гаманців, щоб відстежити активність гаманців і зв'язати їх з особою або компанією, що володіє гаманцем. Все починається з надсилання пилу — надсилання невеликої кількості криптовалюти на різні адреси, після чого зловмисник намагається визначити, який з адрес належить одному і тому ж гаманцю. Потім зловмисник використовує цю інформацію для проведення фішингових атак або погроз щодо жертви.
Спосіб роботи:
У більшості випадків "пил" для атак пилом надсилається у вигляді аірдропів до гаманців користувачів, ці токени можуть мати назву або метадані (наприклад, "FREE_AIRDROP"), що спонукає користувачів відвідати певний вебсайт для отримання деталей. Користувачі зазвичай радісно прагнуть обміняти ці токени, після чого зловмисники можуть отримати доступ до гаманця користувача через адреси контрактів, що супроводжують токени. Приховано, атаки пилом здійснюються за допомогою соціальної інженерії, аналізуючи подальші транзакції користувачів, що дозволяє зловмисникам точно визначити активні адреси гаманців користувачів для реалізації більш точних шахрайств.
Справжній випадок:
В минулому "GAS токени" на мережі Ефіріуму стали причиною атаки з пилу, що вплинула на тисячі гаманців. Частина користувачів, керуючись цікавістю, втратили ETH та ERC-20 токени.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко розпізнати їх злочинну сутність. Ось кілька ключових причин:
Код смартконтракту та запит на підпис є незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані "0x095ea7b3...", і користувач не може інтуїтивно зрозуміти його значення.
Всі транзакції записуються на Блокчейн, що виглядає прозорим, але жертви зазвичай усвідомлюють наслідки авторизації або підпису лише згодом, а в цей час активи вже не можна повернути.
Шахраї використовують людські слабкості, такі як жага ("отримайте безкоштовно 1000 доларів токенів"), страх ("незвичайна активність рахунку потребує підтвердження") або довіру (прикидаючись службою підтримки гаманців).
Фішингові сайти можуть використовувати URL, схожі на офіційні доменні імена (наприклад, "metamask.io" перетворюється на "metamaskk.io"), навіть додаючи сертифікат HTTPS для підвищення довіри.
Три, як захистити ваш гаманець з криптовалютою?
Блокчейн безпека перед цими шахрайствами, що поєднують технічні та психологічні війни, потребує багаторівневої стратегії для захисту активів. Нижче наведені детальні запобіжні заходи:
Інструменти: використовуйте такі інструменти, як Approval Checker з блокчейн-браузера, для перевірки записів авторизації гаманця.
Операції: регулярно скасовуйте непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес. Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.
Технічні деталі: перевірте значення "Allowance", якщо воно "нескінченне" (наприклад, 2^256-1), його слід негайно скасувати.
Метод: введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Перевірка: переконайтеся, що сайт використовує правильне ім'я домену та SSL-сертифікат (зелена іконка замка). Будьте обережні з помилками друку або зайвими символами.
Приклад: якщо ви отримали варіант URL від відомої платформи NFT (наприклад, "opensea.io-login"), одразу підозрюйте його справжність.
Холодний гаманець: зберігайте більшість активів у апаратному гаманці, підключаючи до мережі лише за необхідності.
Багатопідпис: для великих активів використовуйте інструменти багатопідпису, які вимагають підтвердження транзакції кількома ключами, щоб зменшити ризик одноточкових помилок.
Переваги: навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.
Кроки: щоразу підписуючи, уважно читайте деталі транзакції у спливаючому вікні гаманця. Деякі гаманці відображають поле "дані", якщо містить невідому функцію (таку як "TransferFrom"), відмовтеся підписувати.
Інструменти: використовуйте функцію "Decode Input Data" блокчейн-браузера для розшифровки підписаних даних або зверніться до технічного експерта.
Рекомендації: створіть окремий гаманець для операцій з високим ризиком та зберігайте в ньому невелику кількість активів.
Стратегія: після отримання невідомого токена не взаємодіяти. Позначте його як "сміття" або сховати.
Перевірка: через платформу блокчейн-браузера підтверджуйте джерело токенів, якщо це масова відправка, будьте дуже обережні.
Запобігання: уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Впроваджуючи вищезазначені заходи безпеки, звичайні користувачі можуть значно знизити ризик стати жертвами складних шахрайських схем, але справжня безпека ніколи не є односторонньою перемогою технологій. Коли апаратні гаманці створюють фізичну лінію захисту, а багатопідписні підходи розподіляють ризики, саме розуміння користувачем логіки авторизації та обережність щодо поведінки в мережі є останнім бастіоном проти атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації є одностороннім зобов'язанням щодо власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології будуть ітеруватися, найосновнішою лінією оборони завжди залишиться: інтеграція усвідомлення безпеки в м'язову пам'ять, встановлення вічної рівноваги між довірою та перевіркою. Адже в світі Блокчейн, де код є законом, кожен клік, кожна транзакція назавжди фіксується в ланцюзі, що не підлягає змінам.