Новый тип угроз в мире Блокчейн: Протоколы становятся инструментами мошенничества
Криптовалюты и технологии Блокчейн переосмысляют концепцию финансовой свободы, но эта революция также принесла новые вызовы. Мошенники больше не ограничиваются использованием технических уязвимостей, а превращают сами протоколы смарт-контрактов Блокчейна в средства атаки. С помощью тщательно продуманных ловушек социальной инженерии они используют прозрачность и необратимость Блокчейна, превращая доверие пользователей в инструмент для кражи активов. От подделки смарт-контрактов до манипуляций с кросс-чейн транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и более обманчивы из-за своего "легитимного" вида. В этой статье будет проведен анализ реальных случаев, чтобы показать, как мошенники превращают протоколы в средства атаки, и будут предложены комплексные решения от технической защиты до поведенческих мер, чтобы помочь вам безопасно двигаться в децентрализованном мире.
Один. Как протокол может стать инструментом мошенничества?
Блокчейн протоколы должны обеспечивать безопасность и доверие, но мошенники используют их особенности в сочетании с неосторожностью пользователей, создавая различные скрытые способы атак. Ниже приведены некоторые методы и их технические детали:
(1) Злонамеренное разрешение смарт-контракта
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" разрешать третьим лицам (обычно смарт-контрактам) извлекать заданное количество токенов из их кошелька. Эта функция широко используется в Протоколах DeFi, где пользователи должны разрешить смарт-контрактам завершать сделки, ставить или заниматься ликвидным майнингом. Однако мошенники используют этот механизм для создания вредоносных контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под легальный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их вводят в заблуждение, заставляя нажать "Approve", что на первый взгляд является разрешением на небольшое количество токенов, но на самом деле может быть неограниченной суммой. Как только разрешение завершено, адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, замаскированный под "Обновление Uniswap V3", привел к тому, что сотни пользователей потеряли миллионы долларов в USDT и ETH. Данные блокчейна показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства законным путем, так как авторизация была подписана добровольно.
(2) Подпись рыбалка
Технический принцип:
Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT airdrop ожидает получения, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать транзакцию "проверки". Эта транзакция на самом деле может вызывать функцию "Transfer", напрямую переводя ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", разрешающая мошеннику контролировать коллекцию NFT пользователя.
Реальный случай:
Некоторое известное NFT-сообщество стало жертвой фишинга с использованием подписей. Множество пользователей потеряли NFT на сумму нескольких миллионов долларов из-за подписания поддельной транзакции "получения аирдропа". Злоумышленники использовали стандарт подписи EIP-712, подделав казалось бы безопасный запрос.
(3) Ложные токены и "атака с пылью"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал этого. Мошенники используют это, отправляя небольшое количество криптовалюты на несколько адресов кошельков, чтобы отслеживать деятельность кошельков и связывать их с личностью или компанией, владеющей кошельком.
Способ работы:
Атакующие отправляют небольшое количество криптовалюты на разные адреса, а затем пытаются выяснить, какие адреса принадлежат одному и тому же кошельку. В большинстве случаев этот "пыль" распределяется в виде аирдропа в кошельки пользователей и может иметь заманчивые названия или метаданные, побуждающие пользователей посетить определенные сайты для получения деталей. Когда пользователи пытаются обналичить эти токены, атакующие могут получить доступ к кошелькам пользователей через адрес контракта, прилагаемого к токенам. Более скрытно, атака пылью может осуществляться через социальную инженерию, анализируя последующие транзакции пользователей и определяя активные адреса кошельков, чтобы осуществить более точные мошеннические действия.
Реальный случай:
В сети Эфириум произошла атака с использованием "газовых токенов", что затронуло тысячи кошельков. Некоторые пользователи, проявив любопытство в взаимодействии, потеряли ETH и токены ERC-20.
Два, почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны во многом потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться в виде строки шестнадцатеричных данных, и пользователи не могут интуитивно понять его значение.
Законность на Блокчейне: Все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписания только позже, и в это время активы уже невозможно вернуть.
Социальная инженерия: Мошенники используют человеческие слабости, такие как жадность, страх или доверие.
Замаскированный изысканно: Фишинговые сайты могут использовать URL, похожие на официальные домены, и даже увеличивать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш криптовалютный кошелек?
С учетом этих мошенничеств, сочетающих в себе технические и психологические аспекты, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Отмените ненужные разрешения, особенно на неведомые адреса с неограниченными правами.
Перед каждой авторизацией убедитесь, что DApp поступает из надежного источника.
Проверьте значение "Allowance". Если оно равно "бессрочно", его следует немедленно аннулировать.
Проверить ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат.
Будьте осторожны с опечатками или лишними символами в доменных именах.
Используйте холодный кошелек и мультиподпись
Храните большую часть активов в аппаратных кошельках и подключайте сеть только при необходимости.
Для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакции несколькими ключами.
Осторожно обрабатывайте запросы на подпись
Внимательно прочитайте детали транзакции в всплывающем окне кошелька.
Используйте функцию анализа блокчейн-браузера для интерпретации содержания подписи или проконсультируйтесь с техническим экспертом.
Создайте отдельный кошелек для высокорисковых операций и храните небольшое количество активов.
Противодействие атаке пыли
Не взаимодействуйте с неизвестными токенами. Отметьте их как "мусор" или скройте.
Подтвердите источник токенов через Блокчейн-браузер, будьте крайне осторожны, если это массовая отправка.
Избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Внедрение вышеперечисленных мер безопасности может значительно снизить риск стать жертвой высококлассной мошеннической схемы, но настоящая безопасность не зависит только от технологий. Когда аппаратный кошелек создает физическую защиту и мультиподпись распределяет риски, понимание пользователем логики авторизации и осторожность в действиях на цепочке становятся последней защитой от атак. Каждый анализ данных перед подписью и каждая проверка прав после авторизации — это клятва своей цифровой суверенности.
В будущем, независимо от того, как будет развиваться технология, самой важной защитной линией всегда будет: интегрировать осведомленность о безопасности в привычку, поддерживать баланс между доверием и проверкой. В мире Блокчейн, где код является законом, каждое нажатие, каждая транзакция навсегда фиксируется и не может быть изменена. Сохраняйте бдительность, действуйте осторожно, чтобы безопасно продвигаться в этом новом мире, полном возможностей и рисков.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
4
Репост
Поделиться
комментарий
0/400
BasementAlchemist
· 07-19 00:30
Снова появились новые мошеннические схемы.
Посмотреть ОригиналОтветить0
MemeCurator
· 07-17 23:41
Настоящее разочарование. Все остальные вовлечены в мир криптовалют, даже мошенники участвуют.
Посмотреть ОригиналОтветить0
LiquidityHunter
· 07-17 23:37
Управляйте Закрытым ключом, и всё будет в порядке.
Блокчейн Протоколы становятся инструментом мошенничества: анализ новых угроз, таких как авторизация смарт-контрактов и фишинг с подделкой подписей.
Новый тип угроз в мире Блокчейн: Протоколы становятся инструментами мошенничества
Криптовалюты и технологии Блокчейн переосмысляют концепцию финансовой свободы, но эта революция также принесла новые вызовы. Мошенники больше не ограничиваются использованием технических уязвимостей, а превращают сами протоколы смарт-контрактов Блокчейна в средства атаки. С помощью тщательно продуманных ловушек социальной инженерии они используют прозрачность и необратимость Блокчейна, превращая доверие пользователей в инструмент для кражи активов. От подделки смарт-контрактов до манипуляций с кросс-чейн транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и более обманчивы из-за своего "легитимного" вида. В этой статье будет проведен анализ реальных случаев, чтобы показать, как мошенники превращают протоколы в средства атаки, и будут предложены комплексные решения от технической защиты до поведенческих мер, чтобы помочь вам безопасно двигаться в децентрализованном мире.
Один. Как протокол может стать инструментом мошенничества?
Блокчейн протоколы должны обеспечивать безопасность и доверие, но мошенники используют их особенности в сочетании с неосторожностью пользователей, создавая различные скрытые способы атак. Ниже приведены некоторые методы и их технические детали:
(1) Злонамеренное разрешение смарт-контракта
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" разрешать третьим лицам (обычно смарт-контрактам) извлекать заданное количество токенов из их кошелька. Эта функция широко используется в Протоколах DeFi, где пользователи должны разрешить смарт-контрактам завершать сделки, ставить или заниматься ликвидным майнингом. Однако мошенники используют этот механизм для создания вредоносных контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под легальный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их вводят в заблуждение, заставляя нажать "Approve", что на первый взгляд является разрешением на небольшое количество токенов, но на самом деле может быть неограниченной суммой. Как только разрешение завершено, адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, замаскированный под "Обновление Uniswap V3", привел к тому, что сотни пользователей потеряли миллионы долларов в USDT и ETH. Данные блокчейна показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства законным путем, так как авторизация была подписана добровольно.
(2) Подпись рыбалка
Технический принцип:
Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT airdrop ожидает получения, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать транзакцию "проверки". Эта транзакция на самом деле может вызывать функцию "Transfer", напрямую переводя ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", разрешающая мошеннику контролировать коллекцию NFT пользователя.
Реальный случай:
Некоторое известное NFT-сообщество стало жертвой фишинга с использованием подписей. Множество пользователей потеряли NFT на сумму нескольких миллионов долларов из-за подписания поддельной транзакции "получения аирдропа". Злоумышленники использовали стандарт подписи EIP-712, подделав казалось бы безопасный запрос.
(3) Ложные токены и "атака с пылью"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал этого. Мошенники используют это, отправляя небольшое количество криптовалюты на несколько адресов кошельков, чтобы отслеживать деятельность кошельков и связывать их с личностью или компанией, владеющей кошельком.
Способ работы:
Атакующие отправляют небольшое количество криптовалюты на разные адреса, а затем пытаются выяснить, какие адреса принадлежат одному и тому же кошельку. В большинстве случаев этот "пыль" распределяется в виде аирдропа в кошельки пользователей и может иметь заманчивые названия или метаданные, побуждающие пользователей посетить определенные сайты для получения деталей. Когда пользователи пытаются обналичить эти токены, атакующие могут получить доступ к кошелькам пользователей через адрес контракта, прилагаемого к токенам. Более скрытно, атака пылью может осуществляться через социальную инженерию, анализируя последующие транзакции пользователей и определяя активные адреса кошельков, чтобы осуществить более точные мошеннические действия.
Реальный случай:
В сети Эфириум произошла атака с использованием "газовых токенов", что затронуло тысячи кошельков. Некоторые пользователи, проявив любопытство в взаимодействии, потеряли ETH и токены ERC-20.
Два, почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны во многом потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться в виде строки шестнадцатеричных данных, и пользователи не могут интуитивно понять его значение.
Законность на Блокчейне: Все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписания только позже, и в это время активы уже невозможно вернуть.
Социальная инженерия: Мошенники используют человеческие слабости, такие как жадность, страх или доверие.
Замаскированный изысканно: Фишинговые сайты могут использовать URL, похожие на официальные домены, и даже увеличивать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш криптовалютный кошелек?
С учетом этих мошенничеств, сочетающих в себе технические и психологические аспекты, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте правами доступа
Проверить ссылку и источник
Используйте холодный кошелек и мультиподпись
Осторожно обрабатывайте запросы на подпись
Противодействие атаке пыли
Заключение
Внедрение вышеперечисленных мер безопасности может значительно снизить риск стать жертвой высококлассной мошеннической схемы, но настоящая безопасность не зависит только от технологий. Когда аппаратный кошелек создает физическую защиту и мультиподпись распределяет риски, понимание пользователем логики авторизации и осторожность в действиях на цепочке становятся последней защитой от атак. Каждый анализ данных перед подписью и каждая проверка прав после авторизации — это клятва своей цифровой суверенности.
В будущем, независимо от того, как будет развиваться технология, самой важной защитной линией всегда будет: интегрировать осведомленность о безопасности в привычку, поддерживать баланс между доверием и проверкой. В мире Блокчейн, где код является законом, каждое нажатие, каждая транзакция навсегда фиксируется и не может быть изменена. Сохраняйте бдительность, действуйте осторожно, чтобы безопасно продвигаться в этом новом мире, полном возможностей и рисков.