Le protocole Blockchain devient un outil de fraude : analyse des nouvelles menaces telles que l'autorisation des smart contracts et le phishing par signature.
Un nouveau type de menace dans le monde de la Blockchain : les protocoles deviennent des outils de fraude
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution apporte également de nouveaux défis. Les escrocs ne se contentent plus d'exploiter des vulnérabilités technologiques, mais transforment les protocoles de contrats intelligents de la Blockchain en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain, transformant la confiance des utilisateurs en un outil pour voler des actifs. Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement difficiles à détecter, mais sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des cas réels pour révéler comment les escrocs transforment les protocoles en vecteurs d'attaque, et proposera des solutions complètes allant de la protection technique à la prévention comportementale, afin de vous aider à avancer en toute sécurité dans un monde décentralisé.
I. Comment un protocole peut-il devenir un outil de fraude ?
Le protocole Blockchain devrait garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque cachées. Voici quelques techniques et leurs détails techniques :
(1) Autorisation de contrat intelligent malveillant
Principe technique :
Sur des blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un contrat intelligent) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des contrats intelligents pour effectuer des transactions, du staking ou du mining de liquidités. Cependant, les fraudeurs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les escrocs créent un DApp déguisé en projet légitime, généralement promu via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont induits en erreur pour cliquer sur "Approve", qui semble autoriser une petite quantité de jetons, mais qui peut en réalité être un montant illimité. Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient les droits et peut à tout moment appeler la fonction "TransferFrom" pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing déguisé en "mise à niveau Uniswap V3" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données en chaîne montrent que ces transactions sont conformes à la norme ERC-20, et les victimes ne peuvent même pas récupérer leurs fonds par des moyens légaux, car l'autorisation a été signée volontairement.
(2) Signature de phishing
Principes techniques :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est prêt à être réclamé, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les tokens du portefeuille vers l'adresse du fraudeur ; ou bien il s'agit d'une opération "SetApprovalForAll", autorisant le fraudeur à contrôler la collection NFT de l'utilisateur.
Cas réel :
Une communauté NFT bien connue a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant de fausses transactions de "réclamation d'airdrop". Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes qui semblaient sécurisées.
(3) jetons faux et "attaque de poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas demandé activement. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille afin de suivre l'activité des portefeuilles et de les relier aux personnes ou entreprises qui possèdent ces portefeuilles.
Mode de fonctionnement :
Les attaquants envoient de petites quantités de cryptomonnaie à différentes adresses, puis essaient de déterminer quelles adresses appartiennent au même portefeuille. Dans la plupart des cas, ces "poussières" sont distribuées aux portefeuilles des utilisateurs sous forme d'airdrop, pouvant avoir des noms ou des métadonnées attrayants, incitant les utilisateurs à visiter des sites spécifiques pour consulter les détails. Lorsque les utilisateurs essaient de convertir ces jetons, les attaquants peuvent accéder aux portefeuilles des utilisateurs via l'adresse de contrat jointe aux jetons. Plus discrètement, l'attaque par poussière utilise l'ingénierie sociale pour analyser les transactions ultérieures des utilisateurs, ciblant les adresses de portefeuilles actifs des utilisateurs, afin d'exécuter des escroqueries plus précises.
Cas réel :
Une attaque de poussière de "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 en raison de leur curiosité à interagir.
Deuxièmement, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces arnaques réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur véritable nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des contrats intelligents et les demandes de signature peuvent être difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous forme d'une chaîne de données hexadécimales, ce qui rend difficile pour l'utilisateur de juger intuitivement de sa signification.
Légalité en chaîne : Toutes les transactions sont enregistrées sur la Blockchain, semblent transparentes, mais les victimes prennent souvent conscience des conséquences de l'autorisation ou de la signature après coup, à un moment où les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, comme la cupidité, la peur ou la confiance.
Camouflage subtil : Les sites de phishing peuvent utiliser des URL similaires à celles des noms de domaine officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaies ?
Face à ces arnaques mêlant techniques et guerres psychologiques, protéger ses actifs nécessite une stratégie à plusieurs niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'accès
Utilisez l'outil de vérification des autorisations du navigateur Blockchain pour vérifier régulièrement les enregistrements d'autorisation de votre portefeuille.
Révoquez les autorisations inutiles, en particulier l'autorisation illimitée pour les adresses inconnues.
Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Vérifiez la valeur "Allowance", si elle est "illimitée", elle doit être annulée immédiatement.
Vérifier le lien et la source
Entrez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les emails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL.
Méfiez-vous des noms de domaine comportant des fautes d'orthographe ou des caractères superflus.
Utiliser un portefeuille froid et une signature multiple
Stockez la majorité de vos actifs dans un portefeuille matériel et ne connectez le réseau que si nécessaire.
Pour les actifs de grande valeur, utilisez des outils de signature multiple, exigeant la confirmation des transactions par plusieurs clés.
Traitez les demandes de signature avec prudence
Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utilisez la fonction d'analyse du navigateur Blockchain pour interpréter le contenu de la signature, ou consultez un expert technique.
Créer un portefeuille indépendant pour les opérations à haut risque, en y stockant une petite quantité d'actifs.
faire face à l'attaque de poussière
Après avoir reçu des jetons inconnus, ne pas interagir. Marquez-les comme "spam" ou cachez-les.
Confirmez l'origine des jetons via le navigateur Blockchain, et si c'est un envoi en masse, restez très vigilant.
Évitez de rendre public l'adresse de votre portefeuille ou utilisez une nouvelle adresse pour des opérations sensibles.
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut réduire considérablement le risque de devenir victime d'un programme de fraude avancé, mais la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple répartit les risques, la compréhension par les utilisateurs de la logique d'autorisation et leur prudence concernant les comportements on-chain sont la dernière forteresse contre les attaques. L'analyse des données avant chaque signature et la révision des autorisations après chaque autorisation sont un serment de souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, maintenir un équilibre entre confiance et vérification. Dans le monde Blockchain où le code est loi, chaque clic, chaque transaction est enregistré de manière permanente et ne peut être modifié. Rester vigilant et agir avec prudence est la clé pour avancer en toute sécurité dans ce nouveau monde rempli d'opportunités et de risques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
4
Partager
Commentaire
0/400
BasementAlchemist
· 07-19 00:30
Encore une nouvelle méthode de fraude.
Voir l'originalRépondre0
MemeCurator
· 07-17 23:41
Vraiment déprimant, les autres sont tous en train de se battre dans l'univers de la cryptomonnaie, même les escrocs sont dans le coup.
Le protocole Blockchain devient un outil de fraude : analyse des nouvelles menaces telles que l'autorisation des smart contracts et le phishing par signature.
Un nouveau type de menace dans le monde de la Blockchain : les protocoles deviennent des outils de fraude
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution apporte également de nouveaux défis. Les escrocs ne se contentent plus d'exploiter des vulnérabilités technologiques, mais transforment les protocoles de contrats intelligents de la Blockchain en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain, transformant la confiance des utilisateurs en un outil pour voler des actifs. Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement difficiles à détecter, mais sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des cas réels pour révéler comment les escrocs transforment les protocoles en vecteurs d'attaque, et proposera des solutions complètes allant de la protection technique à la prévention comportementale, afin de vous aider à avancer en toute sécurité dans un monde décentralisé.
I. Comment un protocole peut-il devenir un outil de fraude ?
Le protocole Blockchain devrait garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque cachées. Voici quelques techniques et leurs détails techniques :
(1) Autorisation de contrat intelligent malveillant
Principe technique :
Sur des blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un contrat intelligent) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des contrats intelligents pour effectuer des transactions, du staking ou du mining de liquidités. Cependant, les fraudeurs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les escrocs créent un DApp déguisé en projet légitime, généralement promu via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont induits en erreur pour cliquer sur "Approve", qui semble autoriser une petite quantité de jetons, mais qui peut en réalité être un montant illimité. Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient les droits et peut à tout moment appeler la fonction "TransferFrom" pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing déguisé en "mise à niveau Uniswap V3" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données en chaîne montrent que ces transactions sont conformes à la norme ERC-20, et les victimes ne peuvent même pas récupérer leurs fonds par des moyens légaux, car l'autorisation a été signée volontairement.
(2) Signature de phishing
Principes techniques :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est prêt à être réclamé, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les tokens du portefeuille vers l'adresse du fraudeur ; ou bien il s'agit d'une opération "SetApprovalForAll", autorisant le fraudeur à contrôler la collection NFT de l'utilisateur.
Cas réel :
Une communauté NFT bien connue a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant de fausses transactions de "réclamation d'airdrop". Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes qui semblaient sécurisées.
(3) jetons faux et "attaque de poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas demandé activement. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille afin de suivre l'activité des portefeuilles et de les relier aux personnes ou entreprises qui possèdent ces portefeuilles.
Mode de fonctionnement :
Les attaquants envoient de petites quantités de cryptomonnaie à différentes adresses, puis essaient de déterminer quelles adresses appartiennent au même portefeuille. Dans la plupart des cas, ces "poussières" sont distribuées aux portefeuilles des utilisateurs sous forme d'airdrop, pouvant avoir des noms ou des métadonnées attrayants, incitant les utilisateurs à visiter des sites spécifiques pour consulter les détails. Lorsque les utilisateurs essaient de convertir ces jetons, les attaquants peuvent accéder aux portefeuilles des utilisateurs via l'adresse de contrat jointe aux jetons. Plus discrètement, l'attaque par poussière utilise l'ingénierie sociale pour analyser les transactions ultérieures des utilisateurs, ciblant les adresses de portefeuilles actifs des utilisateurs, afin d'exécuter des escroqueries plus précises.
Cas réel :
Une attaque de poussière de "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 en raison de leur curiosité à interagir.
Deuxièmement, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces arnaques réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur véritable nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des contrats intelligents et les demandes de signature peuvent être difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous forme d'une chaîne de données hexadécimales, ce qui rend difficile pour l'utilisateur de juger intuitivement de sa signification.
Légalité en chaîne : Toutes les transactions sont enregistrées sur la Blockchain, semblent transparentes, mais les victimes prennent souvent conscience des conséquences de l'autorisation ou de la signature après coup, à un moment où les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, comme la cupidité, la peur ou la confiance.
Camouflage subtil : Les sites de phishing peuvent utiliser des URL similaires à celles des noms de domaine officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaies ?
Face à ces arnaques mêlant techniques et guerres psychologiques, protéger ses actifs nécessite une stratégie à plusieurs niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'accès
Vérifier le lien et la source
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
faire face à l'attaque de poussière
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut réduire considérablement le risque de devenir victime d'un programme de fraude avancé, mais la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple répartit les risques, la compréhension par les utilisateurs de la logique d'autorisation et leur prudence concernant les comportements on-chain sont la dernière forteresse contre les attaques. L'analyse des données avant chaque signature et la révision des autorisations après chaque autorisation sont un serment de souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, maintenir un équilibre entre confiance et vérification. Dans le monde Blockchain où le code est loi, chaque clic, chaque transaction est enregistré de manière permanente et ne peut être modifié. Rester vigilant et agir avec prudence est la clé pour avancer en toute sécurité dans ce nouveau monde rempli d'opportunités et de risques.