Nuevas técnicas de fraude con contratos inteligentes: desde el phishing de autorización hasta el Ataque Dusting. Guía completa para proteger tus activos.
Las trampas potenciales del mundo de la cadena de bloques: cómo los contratos inteligentes pueden convertirse en armas de ataque
Las criptomonedas y la tecnología de la cadena de bloques están redefiniendo el concepto de libertad financiera, pero esta revolución también ha traído nuevos desafíos. Los estafadores ya no solo aprovechan las vulnerabilidades tecnológicas, sino que transforman los contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia y la irreversibilidad de la cadena de bloques para convertir la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques son no solo difíciles de rastrear, sino también más engañosos debido a su apariencia "legítima". Este artículo analizará ejemplos para revelar cómo los estafadores utilizan protocolos para atacar y proporcionará estrategias de protección integrales para ayudar a los usuarios a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo se convierte un protocolo en una herramienta de fraude?
El protocolo de la cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación se presentan algunos métodos comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos de finanzas descentralizadas, donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.
Forma de operación:
Los estafadores crean una aplicación descentralizada que se disfraza de un proyecto legítimo, a menudo promovida a través de sitios de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite ilimitado. Una vez completada la autorización, la dirección del contrato del estafador obtiene permisos y puede llamar en cualquier momento a la función "TransferFrom" para extraer todos los tokens correspondientes de la billetera del usuario.
Caso:
A principios de 2023, un sitio web de phishing disfrazado de actualización de un DEX provocó que cientos de usuarios perdieran grandes cantidades de monedas estables y ETH. Los datos en la cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas tienen dificultades para recuperar sus activos por medios legales, ya que la autorización fue firmada de forma voluntaria.
(2) firma de phishing
Principio técnico:
Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para probar la legitimidad de la transacción. Las billeteras generalmente mostrarán una solicitud de firma; una vez que el usuario la confirme, la transacción se transmitirá a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar:
El usuario recibe un correo electrónico o mensaje disfrazado de notificación oficial, por ejemplo, "Su airdrop de NFT está listo para ser reclamado, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que le solicita conectar su billetera y firmar una "transacción de verificación". Esta transacción podría estar llamando en realidad a la función "Transfer", transfiriendo directamente los activos de la billetera a la dirección del estafador; o podría ser una operación de "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.
Caso:
Una comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, y varios usuarios perdieron NFTs por un valor de varios millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) Tokens falsos y "ataque de polvo"
Principio técnico:
La transparencia de la cadena de bloques permite que cualquier persona envíe tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y relacionarla con la persona o empresa que posee la billetera.
Forma de operar:
Los atacantes envían pequeñas cantidades de criptomonedas a diferentes direcciones y luego intentan averiguar cuáles direcciones pertenecen a la misma billetera. Posteriormente, los atacantes utilizan esta información para lanzar ataques de phishing o amenazas a las víctimas. En la mayoría de los casos, estos "polvo" se distribuyen en forma de airdrops a las billeteras de los usuarios, y estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para consultar detalles.
Ejemplo:
En el pasado, un ataque de "tokens gratuitos" en la red de Ethereum afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué es difícil detectar estos fraudes?
El éxito de estas estafas se debe en gran medida a que se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica: El código de los contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos.
Legalidad en la cadena: Todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma solo después.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza.
Camuflaje ingenioso: Los sitios web de phishing pueden utilizar URL similares al nombre de dominio oficial, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan aspectos técnicos y de guerra psicológica, proteger los activos requiere estrategias de múltiples capas. A continuación se presentan medidas preventivas detalladas:
Revisar y gestionar permisos de autorización
Utiliza herramientas en la cadena para verificar el registro de autorizaciones de la billetera.
Revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Antes de cada autorización, asegúrese de que la aplicación provenga de una fuente confiable.
Verificar enlace y origen
Introduzca manualmente la URL oficial, evite hacer clic en enlaces de redes sociales o correos electrónicos.
Asegúrese de que el sitio web utilice el nombre de dominio correcto y el certificado SSL.
Ten cuidado con errores de ortografía o caracteres adicionales.
uso de billetera fría y múltiples firmas
Almacene la mayor parte de los activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
Para activos de gran valor, utiliza herramientas de firma múltiple que requieran la confirmación de la transacción por múltiples claves.
Maneje con cuidado las solicitudes de firma
Cada vez que firme, lea atentamente los detalles de la transacción en la ventana emergente de la billetera.
Utilizar la función de análisis del explorador de cadena de bloques para comprender el contenido de la firma.
Crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
enfrentar ataques de polvo
Al recibir tokens desconocidos, no interactúe. Márquelos como "spam" o escóndalos.
Confirma la fuente del token a través del explorador de la cadena de bloques, si es un envío masivo, mantén una alta vigilancia.
Evitar hacer público la dirección de la billetera o usar una nueva dirección para realizar operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de programas de fraude avanzados. Sin embargo, la verdadera seguridad no depende únicamente de la tecnología. Cuando las billeteras de hardware establecen una defensa física y la firma múltiple dispersa el riesgo, la comprensión de los usuarios sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son el último bastión contra los ataques.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como un hábito, estableciendo un equilibrio entre la confianza y la verificación. En el mundo de la cadena de bloques donde el código es ley, cada operación se registra de forma permanente e inalterable. Por lo tanto, es crucial mantenerse alerta y actuar con precaución.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
22 me gusta
Recompensa
22
9
Republicar
Compartir
Comentar
0/400
CryptoCross-TalkClub
· Hace12m
¿Eso es todo? Los nuevos tontos en realidad son más difíciles de tomar a la gente por tonta, y una vez que se instalan, se cosechan directamente los viejos tontos.
Ver originalesResponder0
TradFiRefugee
· hace13h
Mi café aún no se ha enfriado y el pump ya ha llegado.
Ver originalesResponder0
StablecoinArbitrageur
· hace17h
*sigh* participantes del mercado ineficientes siendo rekt de nuevo... estadísticamente inevitable con estos vectores de ataque, para ser honesto.
Ver originalesResponder0
RugDocDetective
· 08-10 13:58
El novato entra sin ver el tutorial, es la configuración estándar para tomar a la gente por tonta.
Ver originalesResponder0
Degentleman
· 08-10 13:58
Otra vez me han tomado por tonto, ya he aprendido la lección.
Ver originalesResponder0
MondayYoloFridayCry
· 08-10 13:58
¡Vamos a disfrutar de nuevo, acompáñame!
Ver originalesResponder0
RooftopVIP
· 08-10 13:52
tontos han tomado a la gente por tonta hasta el final, ya no temen a la Criptografía.
Ver originalesResponder0
RetailTherapist
· 08-10 13:49
Buen amigo, una trampa más avanzada que la otra.
Ver originalesResponder0
BoredStaker
· 08-10 13:47
Escuchar lo que dices es muy valioso, el novato debe guardar esto.
Nuevas técnicas de fraude con contratos inteligentes: desde el phishing de autorización hasta el Ataque Dusting. Guía completa para proteger tus activos.
Las trampas potenciales del mundo de la cadena de bloques: cómo los contratos inteligentes pueden convertirse en armas de ataque
Las criptomonedas y la tecnología de la cadena de bloques están redefiniendo el concepto de libertad financiera, pero esta revolución también ha traído nuevos desafíos. Los estafadores ya no solo aprovechan las vulnerabilidades tecnológicas, sino que transforman los contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia y la irreversibilidad de la cadena de bloques para convertir la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques son no solo difíciles de rastrear, sino también más engañosos debido a su apariencia "legítima". Este artículo analizará ejemplos para revelar cómo los estafadores utilizan protocolos para atacar y proporcionará estrategias de protección integrales para ayudar a los usuarios a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo se convierte un protocolo en una herramienta de fraude?
El protocolo de la cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación se presentan algunos métodos comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico: En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos de finanzas descentralizadas, donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.
Forma de operación: Los estafadores crean una aplicación descentralizada que se disfraza de un proyecto legítimo, a menudo promovida a través de sitios de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite ilimitado. Una vez completada la autorización, la dirección del contrato del estafador obtiene permisos y puede llamar en cualquier momento a la función "TransferFrom" para extraer todos los tokens correspondientes de la billetera del usuario.
Caso: A principios de 2023, un sitio web de phishing disfrazado de actualización de un DEX provocó que cientos de usuarios perdieran grandes cantidades de monedas estables y ETH. Los datos en la cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas tienen dificultades para recuperar sus activos por medios legales, ya que la autorización fue firmada de forma voluntaria.
(2) firma de phishing
Principio técnico: Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para probar la legitimidad de la transacción. Las billeteras generalmente mostrarán una solicitud de firma; una vez que el usuario la confirme, la transacción se transmitirá a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar: El usuario recibe un correo electrónico o mensaje disfrazado de notificación oficial, por ejemplo, "Su airdrop de NFT está listo para ser reclamado, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que le solicita conectar su billetera y firmar una "transacción de verificación". Esta transacción podría estar llamando en realidad a la función "Transfer", transfiriendo directamente los activos de la billetera a la dirección del estafador; o podría ser una operación de "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.
Caso: Una comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, y varios usuarios perdieron NFTs por un valor de varios millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) Tokens falsos y "ataque de polvo"
Principio técnico: La transparencia de la cadena de bloques permite que cualquier persona envíe tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y relacionarla con la persona o empresa que posee la billetera.
Forma de operar: Los atacantes envían pequeñas cantidades de criptomonedas a diferentes direcciones y luego intentan averiguar cuáles direcciones pertenecen a la misma billetera. Posteriormente, los atacantes utilizan esta información para lanzar ataques de phishing o amenazas a las víctimas. En la mayoría de los casos, estos "polvo" se distribuyen en forma de airdrops a las billeteras de los usuarios, y estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para consultar detalles.
Ejemplo: En el pasado, un ataque de "tokens gratuitos" en la red de Ethereum afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué es difícil detectar estos fraudes?
El éxito de estas estafas se debe en gran medida a que se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica: El código de los contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos.
Legalidad en la cadena: Todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma solo después.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza.
Camuflaje ingenioso: Los sitios web de phishing pueden utilizar URL similares al nombre de dominio oficial, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan aspectos técnicos y de guerra psicológica, proteger los activos requiere estrategias de múltiples capas. A continuación se presentan medidas preventivas detalladas:
Revisar y gestionar permisos de autorización
Verificar enlace y origen
uso de billetera fría y múltiples firmas
Maneje con cuidado las solicitudes de firma
enfrentar ataques de polvo
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de programas de fraude avanzados. Sin embargo, la verdadera seguridad no depende únicamente de la tecnología. Cuando las billeteras de hardware establecen una defensa física y la firma múltiple dispersa el riesgo, la comprensión de los usuarios sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son el último bastión contra los ataques.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como un hábito, estableciendo un equilibrio entre la confianza y la verificación. En el mundo de la cadena de bloques donde el código es ley, cada operación se registra de forma permanente e inalterable. Por lo tanto, es crucial mantenerse alerta y actuar con precaución.