Blockchain protocolo se tornou uma ferramenta de fraude: análise de novas ameaças como autorização de contratos inteligentes, phishing de assinatura, etc.
O novo tipo de ameaça no mundo do Blockchain: protocolo reduzido a ferramenta de fraude
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas esta revolução também trouxe novos desafios. Os golpistas já não se limitam a explorar vulnerabilidades técnicas, mas transformam o próprio protocolo de contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles aproveitam a transparência e a irreversibilidade da Blockchain, convertendo a confiança dos usuários em instrumentos de roubo de ativos. Desde a falsificação de contratos inteligentes até à manipulação de transações cross-chain, esses ataques não são apenas difíceis de detectar, mas também mais enganosos devido à sua aparência "legitimada". Este artigo analisará casos reais para revelar como os golpistas transformam os protocolos em veículos de ataque e fornecerá soluções abrangentes, desde proteção técnica até prevenção comportamental, para ajudá-lo a navegar com segurança no mundo descentralizado.
I. Como um protocolo pode tornar-se uma ferramenta de fraude?
O protocolo Blockchain deveria garantir segurança e confiança, mas os golpistas utilizam suas características, combinadas com a negligência dos usuários, para criar diversas formas de ataque encobertas. Abaixo estão algumas técnicas e suas explicações detalhadas.
(1) autorização de contrato inteligente malicioso
Princípio técnico:
Em blockchains como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade especificada de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, fazer staking ou mineração de liquidez. No entanto, os golpistas exploram este mecanismo para projetar contratos maliciosos.
Funcionamento:
Os golpistas criam um DApp que se disfarça como um projeto legítimo, muitas vezes promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Aprovar", que aparentemente autoriza uma pequena quantidade de tokens, mas na verdade pode ser um limite infinito. Uma vez que a autorização é concluída, o endereço do contrato dos golpistas ganha permissão, podendo chamar a função "TransferFrom" a qualquer momento para retirar todos os tokens correspondentes da carteira do usuário.
Caso Real:
No início de 2023, um site de phishing disfarçado de "Atualização do Uniswap V3" levou à perda de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na cadeia mostram que essas transações estavam completamente em conformidade com o padrão ERC-20, e as vítimas nem mesmo conseguiram recuperar os fundos por meios legais, pois a autorização foi assinada voluntariamente.
(2) assinatura de phishing
Princípios técnicos:
As transações de Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legitimidade da transação. Normalmente, a carteira irá exibir um pedido de assinatura, após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam este processo para falsificar pedidos de assinatura e roubar ativos.
Como funciona:
O utilizador recebe um e-mail ou mensagem disfarçada de notificação oficial, como "O seu airdrop de NFT está pronto para ser reclamado, por favor verifique a carteira". Após clicar no link, o utilizador é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, estar a chamar a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do utilizador.
Caso real:
Uma conhecida comunidade NFT foi alvo de um ataque de phishing por assinatura, levando vários usuários a perderem NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" fraudulentas. Os atacantes exploraram o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.
(3) Tokens falsos e "ataques de poeira"
Princípios Técnicos:
A public blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e associá-la a indivíduos ou empresas que possuem a carteira.
Como funciona:
Os atacantes enviam pequenas quantidades de criptomoedas para diferentes endereços e, em seguida, tentam descobrir quais endereços pertencem à mesma carteira. Na maioria dos casos, esses "poeira" são distribuídos na forma de airdrops para as carteiras dos usuários, podendo ter nomes ou metadados atraentes, induzindo os usuários a acessar sites específicos para consultar detalhes. Quando os usuários tentam converter esses tokens, os atacantes podem acessar a carteira do usuário através do endereço do contrato associado aos tokens. Mais sutilmente, os ataques de poeira podem usar engenharia social, analisando as transações subsequentes dos usuários, para identificar endereços de carteiras ativas dos usuários, permitindo a implementação de fraudes mais precisas.
Caso real:
No network Ethereum houve um ataque de poeira de "token GAS", que afetou milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.
Dois, por que essas fraudes são difíceis de detectar?
Essas fraudes são bem-sucedidas em grande parte porque estão ocultas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns distinguir sua verdadeira natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são difíceis de entender para usuários não técnicos. Por exemplo, um pedido de "Approve" pode aparecer como uma sequência de dados hexadecimais, e o usuário não consegue avaliar intuitivamente seu significado.
**Legalidade na cadeia: ** Todas as transações são registadas no Blockchain, parecem transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois, e nesse momento os ativos já não podem ser recuperados.
Engenharia social: Os golpistas exploram as fraquezas da natureza humana, como a ganância, o medo ou a confiança.
Disfarce Sutil: Sites de phishing podem usar URLs semelhantes ao domínio oficial, ou até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante dessas fraudes que coexistem com aspectos técnicos e psicológicos, proteger os ativos requer uma estratégia em múltiplas camadas. Abaixo estão as medidas de prevenção detalhadas:
Verificar e gerir permissões de autorização
Utilize a ferramenta de verificação de autorização do navegador Blockchain para verificar regularmente os registros de autorização da carteira.
Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Verifique o valor da "Allowância"; se for "infinito", deve ser cancelado imediatamente.
Verificar link e origem
Insira manualmente a URL oficial, evitando clicar em links nas redes sociais ou em e-mails.
Garantir que o site utilize o nome de domínio e o certificado SSL corretos.
Esteja atento a erros de ortografia ou caracteres a mais no nome de domínio.
Usar carteira fria e múltiplas assinaturas
Armazenar a maior parte dos ativos em carteiras de hardware, conectando à rede apenas quando necessário.
Para ativos de grande valor, utilize ferramentas de múltiplas assinaturas, exigindo a confirmação da transação por várias chaves.
Trate os pedidos de assinatura com cautela
Leia atentamente os detalhes da transação na janela pop-up da carteira.
Utilize a funcionalidade de interpretação de assinaturas do Blockchain Explorer, ou consulte um especialista técnico.
Crie uma carteira independente para operações de alto risco, armazenando uma quantidade reduzida de ativos.
resposta a ataques de poeira
Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
Confirme a origem do token através do explorador de Blockchain, se for um envio em massa, fique muito alerta.
Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Implementar as medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware estabelecem uma linha de defesa física e a assinatura múltipla distribui o risco, a compreensão do usuário sobre a lógica de autorização e a cautela em relação ao comportamento na cadeia são o último bastião contra ataques. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são um juramento à sua soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais crucial sempre estará em: internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação. No mundo da Blockchain, onde código é lei, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Manter-se alerta e agir com cautela é essencial para navegar com segurança neste novo mundo repleto de oportunidades e riscos.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
11 gostos
Recompensa
11
4
Republicar
Partilhar
Comentar
0/400
BasementAlchemist
· 07-19 00:30
Mais uma nova técnica de engano apareceu.
Ver originalResponder0
MemeCurator
· 07-17 23:41
É realmente desanimador. Os outros estão se esforçando no mundo crypto, até os golpistas estão se esforçando.
Ver originalResponder0
LiquidityHunter
· 07-17 23:37
Gerir bem a chave privada está feito.
Ver originalResponder0
MidnightTrader
· 07-17 23:24
Outra vez um Puxar o tapete... eu também fui enganado.
Blockchain protocolo se tornou uma ferramenta de fraude: análise de novas ameaças como autorização de contratos inteligentes, phishing de assinatura, etc.
O novo tipo de ameaça no mundo do Blockchain: protocolo reduzido a ferramenta de fraude
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas esta revolução também trouxe novos desafios. Os golpistas já não se limitam a explorar vulnerabilidades técnicas, mas transformam o próprio protocolo de contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles aproveitam a transparência e a irreversibilidade da Blockchain, convertendo a confiança dos usuários em instrumentos de roubo de ativos. Desde a falsificação de contratos inteligentes até à manipulação de transações cross-chain, esses ataques não são apenas difíceis de detectar, mas também mais enganosos devido à sua aparência "legitimada". Este artigo analisará casos reais para revelar como os golpistas transformam os protocolos em veículos de ataque e fornecerá soluções abrangentes, desde proteção técnica até prevenção comportamental, para ajudá-lo a navegar com segurança no mundo descentralizado.
I. Como um protocolo pode tornar-se uma ferramenta de fraude?
O protocolo Blockchain deveria garantir segurança e confiança, mas os golpistas utilizam suas características, combinadas com a negligência dos usuários, para criar diversas formas de ataque encobertas. Abaixo estão algumas técnicas e suas explicações detalhadas.
(1) autorização de contrato inteligente malicioso
Princípio técnico:
Em blockchains como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade especificada de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, fazer staking ou mineração de liquidez. No entanto, os golpistas exploram este mecanismo para projetar contratos maliciosos.
Funcionamento:
Os golpistas criam um DApp que se disfarça como um projeto legítimo, muitas vezes promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Aprovar", que aparentemente autoriza uma pequena quantidade de tokens, mas na verdade pode ser um limite infinito. Uma vez que a autorização é concluída, o endereço do contrato dos golpistas ganha permissão, podendo chamar a função "TransferFrom" a qualquer momento para retirar todos os tokens correspondentes da carteira do usuário.
Caso Real:
No início de 2023, um site de phishing disfarçado de "Atualização do Uniswap V3" levou à perda de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na cadeia mostram que essas transações estavam completamente em conformidade com o padrão ERC-20, e as vítimas nem mesmo conseguiram recuperar os fundos por meios legais, pois a autorização foi assinada voluntariamente.
(2) assinatura de phishing
Princípios técnicos:
As transações de Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legitimidade da transação. Normalmente, a carteira irá exibir um pedido de assinatura, após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam este processo para falsificar pedidos de assinatura e roubar ativos.
Como funciona:
O utilizador recebe um e-mail ou mensagem disfarçada de notificação oficial, como "O seu airdrop de NFT está pronto para ser reclamado, por favor verifique a carteira". Após clicar no link, o utilizador é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, estar a chamar a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do utilizador.
Caso real:
Uma conhecida comunidade NFT foi alvo de um ataque de phishing por assinatura, levando vários usuários a perderem NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" fraudulentas. Os atacantes exploraram o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.
(3) Tokens falsos e "ataques de poeira"
Princípios Técnicos:
A public blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e associá-la a indivíduos ou empresas que possuem a carteira.
Como funciona:
Os atacantes enviam pequenas quantidades de criptomoedas para diferentes endereços e, em seguida, tentam descobrir quais endereços pertencem à mesma carteira. Na maioria dos casos, esses "poeira" são distribuídos na forma de airdrops para as carteiras dos usuários, podendo ter nomes ou metadados atraentes, induzindo os usuários a acessar sites específicos para consultar detalhes. Quando os usuários tentam converter esses tokens, os atacantes podem acessar a carteira do usuário através do endereço do contrato associado aos tokens. Mais sutilmente, os ataques de poeira podem usar engenharia social, analisando as transações subsequentes dos usuários, para identificar endereços de carteiras ativas dos usuários, permitindo a implementação de fraudes mais precisas.
Caso real:
No network Ethereum houve um ataque de poeira de "token GAS", que afetou milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.
Dois, por que essas fraudes são difíceis de detectar?
Essas fraudes são bem-sucedidas em grande parte porque estão ocultas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns distinguir sua verdadeira natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são difíceis de entender para usuários não técnicos. Por exemplo, um pedido de "Approve" pode aparecer como uma sequência de dados hexadecimais, e o usuário não consegue avaliar intuitivamente seu significado.
**Legalidade na cadeia: ** Todas as transações são registadas no Blockchain, parecem transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois, e nesse momento os ativos já não podem ser recuperados.
Engenharia social: Os golpistas exploram as fraquezas da natureza humana, como a ganância, o medo ou a confiança.
Disfarce Sutil: Sites de phishing podem usar URLs semelhantes ao domínio oficial, ou até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante dessas fraudes que coexistem com aspectos técnicos e psicológicos, proteger os ativos requer uma estratégia em múltiplas camadas. Abaixo estão as medidas de prevenção detalhadas:
Verificar e gerir permissões de autorização
Verificar link e origem
Usar carteira fria e múltiplas assinaturas
Trate os pedidos de assinatura com cautela
resposta a ataques de poeira
Conclusão
Implementar as medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware estabelecem uma linha de defesa física e a assinatura múltipla distribui o risco, a compreensão do usuário sobre a lógica de autorização e a cautela em relação ao comportamento na cadeia são o último bastião contra ataques. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são um juramento à sua soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais crucial sempre estará em: internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação. No mundo da Blockchain, onde código é lei, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Manter-se alerta e agir com cautela é essencial para navegar com segurança neste novo mundo repleto de oportunidades e riscos.