Contratos inteligentes protocolo: peligros ocultos y formas de prevención
Las criptomonedas y la tecnología blockchain están redefiniendo el concepto de libertad financiera, pero esta revolución también ha traído nuevos desafíos. Los estafadores ya no se limitan a aprovechar las vulnerabilidades tecnológicas, sino que han transformado los propios protocolos de contratos inteligentes de blockchain en herramientas de ataque. Diseñan ingeniosamente trampas de ingeniería social, aprovechando la transparencia e irreversibilidad de blockchain para convertir la confianza del usuario en un medio para robar activos. Desde contratos inteligentes cuidadosamente construidos hasta la manipulación de transacciones entre cadenas, estos ataques son no solo sutiles y difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legítima". Este artículo analizará casos prácticos para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y proporcionará soluciones integrales, desde la protección técnica hasta la prevención conductual, para ayudarle a navegar de manera segura en un mundo descentralizado.
Uno, ¿cómo se convierte un protocolo en una herramienta de fraude?
El propósito del protocolo de blockchain es garantizar la seguridad y la confianza, pero los estafadores utilizan sus características, combinadas con la negligencia de los usuarios, para crear múltiples formas encubiertas de ataque. A continuación se presentan algunos métodos y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico:
En algunas blockchains, ciertos estándares de tokens permiten a los usuarios autorizar a terceros (generalmente contratos inteligentes) a extraer una cantidad específica de tokens de su billetera mediante la función "Approve". Esta función se aplica ampliamente en protocolos de finanzas descentralizadas, donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de operación:
Los estafadores crean una aplicación descentralizada que se disfraza de proyecto legítimo, a menudo promovida a través de sitios web de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que superficialmente parece autorizar una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito. Una vez completada la autorización, la dirección del contrato del estafador obtiene permiso para llamar al función "TransferFrom" en cualquier momento, extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real:
A principios de 2023, un sitio web de phishing que se disfrazaba como una actualización de un conocido intercambio descentralizado causó que cientos de usuarios perdieran millones de dólares en stablecoins y tokens nativos. Los datos en cadena muestran que estas transacciones cumplían completamente con el estándar de tokens, y las víctimas ni siquiera pudieron recuperar su dinero a través de medios legales, ya que la autorización fue firmada de forma voluntaria.
(2) firma de phishing
Principio técnico:
Las transacciones en blockchain requieren que los usuarios generen una firma a través de una clave privada para demostrar la legalidad de la transacción. Normalmente, la billetera mostrará una solicitud de firma, y una vez que el usuario la confirme, la transacción se transmitirá a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Funcionamiento:
El usuario recibe un correo electrónico o un mensaje de una plataforma social disfrazado como una notificación oficial, por ejemplo, "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que le pide conectar su billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente los activos de la billetera a la dirección del estafador; o puede ser una operación de "SetApprovalForAll", que autoriza al estafador a controlar la colección de NFT del usuario.
Caso real:
Una conocida comunidad de un proyecto NFT sufrió un ataque de phishing por firma, y varios usuarios perdieron NFTs por un valor de millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes aprovecharon un estándar de firma específico para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico:
La apertura de la blockchain permite a cualquier persona enviar tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto al enviar pequeñas cantidades de criptomonedas a múltiples direcciones de billetera, para rastrear la actividad de la billetera y asociarla con la persona o empresa que posee la billetera. El ataque comienza con el envío de polvo, enviando pequeñas cantidades de criptomonedas a diferentes direcciones, y luego el atacante intenta averiguar cuál pertenece a la misma billetera. Posteriormente, el atacante utiliza esta información para llevar a cabo ataques de phishing o amenazas contra la víctima.
Modo de operación:
Normalmente, el "polvo" utilizado en un ataque de polvo se distribuye en forma de airdrop a las billeteras de los usuarios. Estos tokens pueden tener nombres específicos o metadatos que inducen a los usuarios a visitar un sitio web para consultar detalles. Los usuarios pueden querer canjear estos tokens, y los atacantes pueden acceder a la billetera del usuario a través de la dirección del contrato que acompaña a los tokens. Más sutilmente, el ataque de polvo utiliza ingeniería social, analizando las transacciones posteriores del usuario para localizar la dirección de la billetera activa del usuario, lo que permite llevar a cabo fraudes más precisos.
Caso real:
En una red blockchain se produjo un ataque de "tokens GAS" que afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron tokens nativos y otros tokens.
Dos, ¿por qué son difíciles de detectar estos fraudes?
El éxito de estas estafas se debe en gran medida a que se ocultan en los mecanismos legítimos de la blockchain, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica:
El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" podría mostrarse como una cadena de datos en hexadecimal, lo que impide al usuario juzgar intuitivamente su significado.
Legalidad en la cadena:
Todas las transacciones están registradas en la blockchain, parecen transparentes, pero las víctimas a menudo solo se dan cuenta de las consecuencias de la autorización o la firma después del hecho, momento en el que los activos ya no se pueden recuperar.
Ingeniería social:
Los estafadores aprovechan las debilidades humanas, como la codicia ("recibe grandes tokens gratis"), el miedo ("verificación de cuenta anómala necesaria") o la confianza (suplantando a los servicios de atención al cliente).
Camuflaje ingenioso:
Los sitios web de phishing pueden usar URL que son similares al nombre de dominio oficial e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan tácticas técnicas y psicológicas, proteger los activos requiere estrategias de múltiples niveles. A continuación se presentan medidas de prevención detalladas:
Revisar y gestionar permisos de autorización
Herramientas: Utiliza el verificador de autorizaciones del explorador de blockchain o herramientas específicas de revocación para verificar el historial de autorizaciones de la billetera.
Operación: Revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas. Antes de cada autorización, asegúrese de que la aplicación descentralizada provenga de una fuente confiable.
Detalles técnicos: Verificar el valor de "Allowance", si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Verificar enlaces y fuentes
Método: ingrese manualmente la URL oficial, evite hacer clic en los enlaces de redes sociales o correos electrónicos.
Revisar: Asegúrese de que el sitio web utilice el nombre de dominio y el certificado SSL correctos (ícono de candado verde). Esté atento a errores tipográficos o caracteres adicionales.
Utilizar billetera fría y firma múltiple
Cartera fría: almacenar la mayor parte de los activos en una cartera de hardware, conectándose a la red solo cuando sea necesario.
Multifirma: Para activos de gran valor, utiliza herramientas de multifirma que requieren la confirmación de la transacción por múltiples claves, reduciendo el riesgo de errores en un solo punto.
Manejar con cuidado las solicitudes de firma
Pasos: Cada vez que firmes, lee atentamente los detalles de la transacción en la ventana emergente de la billetera. Algunas billeteras mostrarán el campo "Datos", si contiene funciones desconocidas (como "TransferFrom"), rechaza la firma.
Herramientas: Utilice la función de decodificación del explorador de blockchain para analizar el contenido de la firma, o consulte a un experto técnico.
Sugerencia: crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
Enfrentar ataques de polvo
Estrategia: después de recibir un token desconocido, no interactúe. Márquelo como "basura" o escóndalo.
Verificación: a través del explorador de blockchain, confirma la fuente del token. Si es un envío masivo, mantén una alta vigilancia.
Prevención: Evite publicar la dirección de la billetera o use una nueva dirección para operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de programas de fraude avanzados, pero la verdadera seguridad nunca es una victoria unilateral de la tecnología. Cuando las carteras de hardware construyen una línea de defensa física y la firma múltiple dispersa la exposición al riesgo, la comprensión de los usuarios sobre la lógica de autorización y su prudencia en el comportamiento en la cadena son la última bastión contra los ataques. Cada análisis de datos antes de la firma y cada revisión de permisos después de la autorización son un juramento a su soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la línea de defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como memoria muscular y establecer un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de blockchain donde el código es ley, cada clic y cada transacción se registra de manera permanente en el mundo de la cadena, y no se puede modificar.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
7
Compartir
Comentar
0/400
MEVHunterZhang
· hace2h
¿Vas a vender ansiedad de seguridad otra vez?
Ver originalesResponder0
MetaEggplant
· hace3h
Cadena de bloques rojo ejército tontos
Ver originalesResponder0
BankruptWorker
· hace3h
¿Hasta cuándo se deben plantar los tontos para que alguien se preocupe por ellos?
Ver originalesResponder0
NFT_Therapy
· hace3h
Otra vez un novato ha sido estafado, ¿verdad?
Ver originalesResponder0
StableGenius
· hace3h
como se predijo... otro día, otro exploit de protocolo. nadie lee el bytecode ya smh
Ver originalesResponder0
BearMarketSunriser
· hace3h
4 años de experiencia como tonto me han dejado una reflexión: ahora que entiendo más, pierdo más.
Ver originalesResponder0
BlockchainArchaeologist
· hace3h
Otra vez un libro de texto estándar, decirlo es como no decir nada.
Guía completa de prevención de riesgos del protocolo de contratos inteligentes: desde trampas de autorización hasta phishing de firmas.
Contratos inteligentes protocolo: peligros ocultos y formas de prevención
Las criptomonedas y la tecnología blockchain están redefiniendo el concepto de libertad financiera, pero esta revolución también ha traído nuevos desafíos. Los estafadores ya no se limitan a aprovechar las vulnerabilidades tecnológicas, sino que han transformado los propios protocolos de contratos inteligentes de blockchain en herramientas de ataque. Diseñan ingeniosamente trampas de ingeniería social, aprovechando la transparencia e irreversibilidad de blockchain para convertir la confianza del usuario en un medio para robar activos. Desde contratos inteligentes cuidadosamente construidos hasta la manipulación de transacciones entre cadenas, estos ataques son no solo sutiles y difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legítima". Este artículo analizará casos prácticos para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y proporcionará soluciones integrales, desde la protección técnica hasta la prevención conductual, para ayudarle a navegar de manera segura en un mundo descentralizado.
Uno, ¿cómo se convierte un protocolo en una herramienta de fraude?
El propósito del protocolo de blockchain es garantizar la seguridad y la confianza, pero los estafadores utilizan sus características, combinadas con la negligencia de los usuarios, para crear múltiples formas encubiertas de ataque. A continuación se presentan algunos métodos y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico: En algunas blockchains, ciertos estándares de tokens permiten a los usuarios autorizar a terceros (generalmente contratos inteligentes) a extraer una cantidad específica de tokens de su billetera mediante la función "Approve". Esta función se aplica ampliamente en protocolos de finanzas descentralizadas, donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de operación: Los estafadores crean una aplicación descentralizada que se disfraza de proyecto legítimo, a menudo promovida a través de sitios web de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que superficialmente parece autorizar una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito. Una vez completada la autorización, la dirección del contrato del estafador obtiene permiso para llamar al función "TransferFrom" en cualquier momento, extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real: A principios de 2023, un sitio web de phishing que se disfrazaba como una actualización de un conocido intercambio descentralizado causó que cientos de usuarios perdieran millones de dólares en stablecoins y tokens nativos. Los datos en cadena muestran que estas transacciones cumplían completamente con el estándar de tokens, y las víctimas ni siquiera pudieron recuperar su dinero a través de medios legales, ya que la autorización fue firmada de forma voluntaria.
(2) firma de phishing
Principio técnico: Las transacciones en blockchain requieren que los usuarios generen una firma a través de una clave privada para demostrar la legalidad de la transacción. Normalmente, la billetera mostrará una solicitud de firma, y una vez que el usuario la confirme, la transacción se transmitirá a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Funcionamiento: El usuario recibe un correo electrónico o un mensaje de una plataforma social disfrazado como una notificación oficial, por ejemplo, "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que le pide conectar su billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente los activos de la billetera a la dirección del estafador; o puede ser una operación de "SetApprovalForAll", que autoriza al estafador a controlar la colección de NFT del usuario.
Caso real: Una conocida comunidad de un proyecto NFT sufrió un ataque de phishing por firma, y varios usuarios perdieron NFTs por un valor de millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes aprovecharon un estándar de firma específico para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico: La apertura de la blockchain permite a cualquier persona enviar tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto al enviar pequeñas cantidades de criptomonedas a múltiples direcciones de billetera, para rastrear la actividad de la billetera y asociarla con la persona o empresa que posee la billetera. El ataque comienza con el envío de polvo, enviando pequeñas cantidades de criptomonedas a diferentes direcciones, y luego el atacante intenta averiguar cuál pertenece a la misma billetera. Posteriormente, el atacante utiliza esta información para llevar a cabo ataques de phishing o amenazas contra la víctima.
Modo de operación: Normalmente, el "polvo" utilizado en un ataque de polvo se distribuye en forma de airdrop a las billeteras de los usuarios. Estos tokens pueden tener nombres específicos o metadatos que inducen a los usuarios a visitar un sitio web para consultar detalles. Los usuarios pueden querer canjear estos tokens, y los atacantes pueden acceder a la billetera del usuario a través de la dirección del contrato que acompaña a los tokens. Más sutilmente, el ataque de polvo utiliza ingeniería social, analizando las transacciones posteriores del usuario para localizar la dirección de la billetera activa del usuario, lo que permite llevar a cabo fraudes más precisos.
Caso real: En una red blockchain se produjo un ataque de "tokens GAS" que afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron tokens nativos y otros tokens.
Dos, ¿por qué son difíciles de detectar estos fraudes?
El éxito de estas estafas se debe en gran medida a que se ocultan en los mecanismos legítimos de la blockchain, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" podría mostrarse como una cadena de datos en hexadecimal, lo que impide al usuario juzgar intuitivamente su significado.
Legalidad en la cadena: Todas las transacciones están registradas en la blockchain, parecen transparentes, pero las víctimas a menudo solo se dan cuenta de las consecuencias de la autorización o la firma después del hecho, momento en el que los activos ya no se pueden recuperar.
Ingeniería social: Los estafadores aprovechan las debilidades humanas, como la codicia ("recibe grandes tokens gratis"), el miedo ("verificación de cuenta anómala necesaria") o la confianza (suplantando a los servicios de atención al cliente).
Camuflaje ingenioso: Los sitios web de phishing pueden usar URL que son similares al nombre de dominio oficial e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan tácticas técnicas y psicológicas, proteger los activos requiere estrategias de múltiples niveles. A continuación se presentan medidas de prevención detalladas:
Herramientas: Utiliza el verificador de autorizaciones del explorador de blockchain o herramientas específicas de revocación para verificar el historial de autorizaciones de la billetera.
Operación: Revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas. Antes de cada autorización, asegúrese de que la aplicación descentralizada provenga de una fuente confiable.
Detalles técnicos: Verificar el valor de "Allowance", si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Método: ingrese manualmente la URL oficial, evite hacer clic en los enlaces de redes sociales o correos electrónicos.
Revisar: Asegúrese de que el sitio web utilice el nombre de dominio y el certificado SSL correctos (ícono de candado verde). Esté atento a errores tipográficos o caracteres adicionales.
Cartera fría: almacenar la mayor parte de los activos en una cartera de hardware, conectándose a la red solo cuando sea necesario.
Multifirma: Para activos de gran valor, utiliza herramientas de multifirma que requieren la confirmación de la transacción por múltiples claves, reduciendo el riesgo de errores en un solo punto.
Pasos: Cada vez que firmes, lee atentamente los detalles de la transacción en la ventana emergente de la billetera. Algunas billeteras mostrarán el campo "Datos", si contiene funciones desconocidas (como "TransferFrom"), rechaza la firma.
Herramientas: Utilice la función de decodificación del explorador de blockchain para analizar el contenido de la firma, o consulte a un experto técnico.
Sugerencia: crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
Estrategia: después de recibir un token desconocido, no interactúe. Márquelo como "basura" o escóndalo.
Verificación: a través del explorador de blockchain, confirma la fuente del token. Si es un envío masivo, mantén una alta vigilancia.
Prevención: Evite publicar la dirección de la billetera o use una nueva dirección para operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de programas de fraude avanzados, pero la verdadera seguridad nunca es una victoria unilateral de la tecnología. Cuando las carteras de hardware construyen una línea de defensa física y la firma múltiple dispersa la exposición al riesgo, la comprensión de los usuarios sobre la lógica de autorización y su prudencia en el comportamiento en la cadena son la última bastión contra los ataques. Cada análisis de datos antes de la firma y cada revisión de permisos después de la autorización son un juramento a su soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la línea de defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como memoria muscular y establecer un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de blockchain donde el código es ley, cada clic y cada transacción se registra de manera permanente en el mundo de la cadena, y no se puede modificar.