Блокчейн світу нові загрози: протокол став інструментом шахрайства
Криптовалюти та технології блокчейн перетворюють концепцію фінансової свободи, але ця революція також принесла нові виклики. Шахраї більше не обмежуються використанням вразливостей технології, а перетворюють самі протоколи смарт-контрактів Блокчейн в засоби атаки. Через ретельно сплановані соціальні інженерні пастки вони використовують прозорість і незворотність Блокчейн, перетворюючи довіру користувачів на інструмент для крадіжки активів. Від підроблених смарт-контрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані та важко виявити, але й завдяки своїй "легітимній" зовнішності є ще більш оманливими. У цій статті буде проаналізовано реальні випадки, щоб виявити, як шахраї перетворюють протоколи на засоби атаки, а також буде надано комплексне рішення, що охоплює як технічні заходи захисту, так і запобігання зловживанням, щоб допомогти вам безпечно рухатися в децентралізованому світі.
Один. Як протокол стає інструментом шахрайства?
Протоколи блокчейну повинні забезпечувати безпеку та довіру, але шахраї скористалися його функціями в поєднанні з недбалістю користувачів, щоб створити різноманітні приховані методи атак. Ось деякі з технік та їх технічні деталі:
(1) Шкідливий розумний контракт авторизація
Технічний принцип:
На Блокчейн, як-от Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай смарт-контракт) витягувати з їх гаманця певну кількість токенів. Ця функція широко використовується в протоколах DeFi, де користувачам потрібно уповноважити смарт-контракт для виконання транзакцій, стейкінгу або ліквідного видобутку. Проте шахраї використовують цей механізм для розробки шкідливих контрактів.
Спосіб роботи:
Шахраї створюють DApp, що маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці та спокушаються натиснути "Approve", що на вигляд є авторизацією невеликої кількості токенів, але насправді може бути безмежною сумою. Як тільки авторизація завершена, адреса контракту шахраїв отримує доступ і може в будь-який момент викликати функцію "TransferFrom", щоб витягнути всі відповідні токени з гаманця користувача.
Справжній випадок:
На початку 2023 року фішинг-сайт, що маскувався під "Оновлення Uniswap V3", призвів до втрати сотень користувачів, які втратили мільйони доларів США в USDT та ETH. Дані на блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, жертви навіть не можуть повернути свої гроші через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) підписна фішинг
Технічний принцип:
Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб підтвердити легітимність транзакції. Гаманець зазвичай відображає запит на підпис, після підтвердження користувача транзакція передається в мережу. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.
Спосіб роботи:
Користувач отримує лист або повідомлення, що маскується під офіційне сповіщення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, перевірте гаманець". Клацнувши за посиланням, користувач потрапляє на шкідливий сайт, де його просять підключити гаманець і підписати "перевірочну транзакцію". Ця транзакція насправді може викликати функцію "Transfer", що безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", яка надає шахраю контроль над колекцією NFT користувача.
Справжній випадок:
Відоме NFT-спільнота зазнала атаки фішингу підписів, внаслідок чого кілька користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу". Зловмисники використали стандарт підпису EIP-712, підробивши запити, що виглядали безпечними.
(3) Фальшиві токени та "атака пилом"
Технічний принцип:
Публічність Блокчейн дозволяє будь-кому відправляти токени на будь-яку адресу, навіть якщо отримувач не робить активного запиту. Шахраї використовують це, відправляючи невелику кількість криптовалюти на кілька гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, що володіють гаманцем.
Спосіб роботи:
Атакуючи надсилають невелику кількість криптовалюти на різні адреси, а потім намагаються зрозуміти, які адреси належать одному і тому ж гаманцю. У більшості випадків ці "пилові частинки" розподіляються у формі аеродропу до гаманців користувачів, можливо, з привабливими назвами або метаданими, які спонукають користувачів відвідати певний вебсайт для отримання деталей. Коли користувачі намагаються обміняти ці токени, атакуючий може отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Ще більш прихованим є те, що пилова атака може здійснюватися через соціальну інженерію, аналізуючи подальші транзакції користувача, щоб зафіксувати активні адреси гаманців користувача, і таким чином реалізувати більш точні шахрайства.
Справжній випадок:
На мережі Ефіріум відбулася атака "пиловими токенами GAS", яка вплинула на тисячі гаманців. Деякі користувачі, через цікавість до взаємодії, втратили ETH та токени ERC-20.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні, в значній мірі, тому що вони приховані в легітимних механізмах Блокчейн, що ускладнює звичайним користувачам розпізнати їх зловмисну природу. Ось кілька ключових причин:
Технічна складність: Код смарт-контрактів та запити на підпис для нетехнічних користувачів можуть бути незрозумілими. Наприклад, запит "Approve" може відображатися як рядок шістнадцяткових даних, і користувач не може інтуїтивно зрозуміти його значення.
Законність на Блокчейні: Усі транзакції записуються на Блокчейн, що виглядає прозоро, але жертви часто усвідомлюють наслідки авторизації або підпису лише згодом, у той час як активи вже не можна повернути.
Соціальна інженерія: Шахраї використовують людські слабкості, такі як жадібність, страх чи довіра.
Маскування витончене: Фішингові сайти можуть використовувати URL, схожі на офіційний домен, навіть через HTTPS-сертифікати для підвищення довіри.
Три, як захистити свій криптовалютний гаманець?
Стикаючись із цими шахрайствами, які поєднують технічні та психологічні війни, захист активів вимагає багаторівневої стратегії. Ось детальні заходи безпеки:
Скасувати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
Перед кожним авторизацією переконайтеся, що DApp походить з надійного джерела.
Перевірте значення "Allowance", якщо воно "необмежено", слід негайно скасувати.
перевірте посилання та джерело
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Переконайтеся, що веб-сайт використовує правильне доменне ім'я та SSL-сертифікат.
Будьте обережні з помилками в написанні або зайвими символами в доменах.
Використання холодного гаманця та багатопідпису
Зберігайте більшість активів у апаратному гаманці і підключайте до мережі тільки за необхідності.
Для великих активів використовуйте інструменти мультипідпису, які вимагають підтвердження транзакції кількома ключами.
Обережно обробляйте запити на підпис
Уважно прочитайте деталі транзакції у спливаючому вікні гаманця.
Використовуйте функцію розбору блокчейн-браузера для тлумачення вмісту підпису або зверніться до технічного експерта.
Створіть окремий гаманець для високоризикових операцій, зберігайте невелику кількість активів.
реагування на атаки пилу
Після отримання невідомих токенів не взаємодійте з ними. Позначте їх як "сміття" або приховайте.
Підтвердження джерела токенів через Блокчейн браузер, якщо це масова розсилка, будьте особливо обережні.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Впровадження вказаних заходів безпеки може значно знизити ризик стати жертвою висококласних шахрайських схем, але справжня безпека не лише залежить від технологій. Коли апаратні гаманці створюють фізичну лінію оборони, а мультипідписи розподіляють ризики, розуміння користувачем логіки авторизації та обережність щодо дій в ланцюгу є останнім бастіоном проти атак. Аналіз даних перед кожним підписанням, перевірка прав після кожної авторизації – це клятва на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як розвиватиметься технологія, найосновніша лінія оборони завжди полягатиме в тому, щоб перетворити свідомість безпеки на звичку, зберігаючи баланс між довірою та верифікацією. У світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди записуються, їх неможливо змінити. Зберігайте пильність, дійте обережно, щоб безпечно просуватися в цьому новому світі, сповненому можливостей і ризиків.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
4
Репост
Поділіться
Прокоментувати
0/400
BasementAlchemist
· 07-19 00:30
Знову з'явилися нові шахрайські схеми.
Переглянути оригіналвідповісти на0
MemeCurator
· 07-17 23:41
Справжнє зневаження. Інші всі обертаються в криптосвіті, навіть шахраї обертаються.
Блокчейн протоколи перетворюються на інструменти шахрайства: аналіз нових загроз, таких як авторизація смартконтрактів, фішинг підписів тощо
Блокчейн світу нові загрози: протокол став інструментом шахрайства
Криптовалюти та технології блокчейн перетворюють концепцію фінансової свободи, але ця революція також принесла нові виклики. Шахраї більше не обмежуються використанням вразливостей технології, а перетворюють самі протоколи смарт-контрактів Блокчейн в засоби атаки. Через ретельно сплановані соціальні інженерні пастки вони використовують прозорість і незворотність Блокчейн, перетворюючи довіру користувачів на інструмент для крадіжки активів. Від підроблених смарт-контрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані та важко виявити, але й завдяки своїй "легітимній" зовнішності є ще більш оманливими. У цій статті буде проаналізовано реальні випадки, щоб виявити, як шахраї перетворюють протоколи на засоби атаки, а також буде надано комплексне рішення, що охоплює як технічні заходи захисту, так і запобігання зловживанням, щоб допомогти вам безпечно рухатися в децентралізованому світі.
Один. Як протокол стає інструментом шахрайства?
Протоколи блокчейну повинні забезпечувати безпеку та довіру, але шахраї скористалися його функціями в поєднанні з недбалістю користувачів, щоб створити різноманітні приховані методи атак. Ось деякі з технік та їх технічні деталі:
(1) Шкідливий розумний контракт авторизація
Технічний принцип:
На Блокчейн, як-от Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай смарт-контракт) витягувати з їх гаманця певну кількість токенів. Ця функція широко використовується в протоколах DeFi, де користувачам потрібно уповноважити смарт-контракт для виконання транзакцій, стейкінгу або ліквідного видобутку. Проте шахраї використовують цей механізм для розробки шкідливих контрактів.
Спосіб роботи:
Шахраї створюють DApp, що маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці та спокушаються натиснути "Approve", що на вигляд є авторизацією невеликої кількості токенів, але насправді може бути безмежною сумою. Як тільки авторизація завершена, адреса контракту шахраїв отримує доступ і може в будь-який момент викликати функцію "TransferFrom", щоб витягнути всі відповідні токени з гаманця користувача.
Справжній випадок:
На початку 2023 року фішинг-сайт, що маскувався під "Оновлення Uniswap V3", призвів до втрати сотень користувачів, які втратили мільйони доларів США в USDT та ETH. Дані на блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, жертви навіть не можуть повернути свої гроші через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) підписна фішинг
Технічний принцип:
Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб підтвердити легітимність транзакції. Гаманець зазвичай відображає запит на підпис, після підтвердження користувача транзакція передається в мережу. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.
Спосіб роботи:
Користувач отримує лист або повідомлення, що маскується під офіційне сповіщення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, перевірте гаманець". Клацнувши за посиланням, користувач потрапляє на шкідливий сайт, де його просять підключити гаманець і підписати "перевірочну транзакцію". Ця транзакція насправді може викликати функцію "Transfer", що безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", яка надає шахраю контроль над колекцією NFT користувача.
Справжній випадок:
Відоме NFT-спільнота зазнала атаки фішингу підписів, внаслідок чого кілька користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу". Зловмисники використали стандарт підпису EIP-712, підробивши запити, що виглядали безпечними.
(3) Фальшиві токени та "атака пилом"
Технічний принцип:
Публічність Блокчейн дозволяє будь-кому відправляти токени на будь-яку адресу, навіть якщо отримувач не робить активного запиту. Шахраї використовують це, відправляючи невелику кількість криптовалюти на кілька гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, що володіють гаманцем.
Спосіб роботи:
Атакуючи надсилають невелику кількість криптовалюти на різні адреси, а потім намагаються зрозуміти, які адреси належать одному і тому ж гаманцю. У більшості випадків ці "пилові частинки" розподіляються у формі аеродропу до гаманців користувачів, можливо, з привабливими назвами або метаданими, які спонукають користувачів відвідати певний вебсайт для отримання деталей. Коли користувачі намагаються обміняти ці токени, атакуючий може отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Ще більш прихованим є те, що пилова атака може здійснюватися через соціальну інженерію, аналізуючи подальші транзакції користувача, щоб зафіксувати активні адреси гаманців користувача, і таким чином реалізувати більш точні шахрайства.
Справжній випадок:
На мережі Ефіріум відбулася атака "пиловими токенами GAS", яка вплинула на тисячі гаманців. Деякі користувачі, через цікавість до взаємодії, втратили ETH та токени ERC-20.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні, в значній мірі, тому що вони приховані в легітимних механізмах Блокчейн, що ускладнює звичайним користувачам розпізнати їх зловмисну природу. Ось кілька ключових причин:
Технічна складність: Код смарт-контрактів та запити на підпис для нетехнічних користувачів можуть бути незрозумілими. Наприклад, запит "Approve" може відображатися як рядок шістнадцяткових даних, і користувач не може інтуїтивно зрозуміти його значення.
Законність на Блокчейні: Усі транзакції записуються на Блокчейн, що виглядає прозоро, але жертви часто усвідомлюють наслідки авторизації або підпису лише згодом, у той час як активи вже не можна повернути.
Соціальна інженерія: Шахраї використовують людські слабкості, такі як жадібність, страх чи довіра.
Маскування витончене: Фішингові сайти можуть використовувати URL, схожі на офіційний домен, навіть через HTTPS-сертифікати для підвищення довіри.
Три, як захистити свій криптовалютний гаманець?
Стикаючись із цими шахрайствами, які поєднують технічні та психологічні війни, захист активів вимагає багаторівневої стратегії. Ось детальні заходи безпеки:
Перевірка та управління правами доступу
перевірте посилання та джерело
Використання холодного гаманця та багатопідпису
Обережно обробляйте запити на підпис
реагування на атаки пилу
Висновок
Впровадження вказаних заходів безпеки може значно знизити ризик стати жертвою висококласних шахрайських схем, але справжня безпека не лише залежить від технологій. Коли апаратні гаманці створюють фізичну лінію оборони, а мультипідписи розподіляють ризики, розуміння користувачем логіки авторизації та обережність щодо дій в ланцюгу є останнім бастіоном проти атак. Аналіз даних перед кожним підписанням, перевірка прав після кожної авторизації – це клятва на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як розвиватиметься технологія, найосновніша лінія оборони завжди полягатиме в тому, щоб перетворити свідомість безпеки на звичку, зберігаючи баланс між довірою та верифікацією. У світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди записуються, їх неможливо змінити. Зберігайте пильність, дійте обережно, щоб безпечно просуватися в цьому новому світі, сповненому можливостей і ризиків.