Os potenciais armadilhas do mundo Blockchain: como os contratos inteligentes podem se tornar armas de ataque
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas esta revolução também trouxe novos desafios. Os golpistas não utilizam apenas falhas tecnológicas, mas transformam os contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles aproveitam a transparência e a irreversibilidade da Blockchain, convertendo a confiança dos usuários em um meio de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações inter-chain, esses ataques não são apenas discretos e difíceis de detectar, mas também são mais enganosos devido à sua aparência "legítima". Este artigo irá analisar, através de exemplos, como os golpistas utilizam protocolos para atacar e fornecerá estratégias de proteção abrangentes para ajudar os usuários a navegar com segurança no mundo descentralizado.
I. Como os acordos podem ser transformados em ferramentas de fraude?
Os protocolos de Blockchain deveriam garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos:
No Blockchain como Ethereum, o padrão de token ERC-20 permite que os usuários autorizem um terceiro (normalmente um contrato inteligente) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos de finanças descentralizadas, onde os usuários precisam autorizar contratos inteligentes para concluir transações, staking ou mineração de liquidez. No entanto, os golpistas aproveitam este mecanismo para projetar contratos maliciosos.
Funcionamento:
Os golpistas criam uma aplicação descentralizada que se disfarça de um projeto legítimo, geralmente promovida através de sites de phishing ou redes sociais. Os usuários conectam a carteira e são induzidos a clicar em "Aprovar", que à primeira vista é a autorização de uma quantidade pequena de tokens, mas na verdade pode ser um limite ilimitado. Uma vez que a autorização é concluída, o endereço do contrato do golpista obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Exemplo:
No início de 2023, um site de phishing disfarçado como uma atualização de um determinado DEX resultou na perda de grandes quantidades de stablecoins e ETH por centenas de usuários. Os dados on-chain mostram que essas transações estão totalmente em conformidade com o padrão ERC-20, tornando difícil para as vítimas recuperarem os ativos por meio de meios legais, uma vez que a autorização foi assinada voluntariamente.
(2) Phishing de assinatura
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem assinaturas com a chave privada para provar a legitimidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento:
O usuário recebe um e-mail ou mensagem disfarçada como um aviso oficial, como "Seu airdrop de NFT está à espera de recebimento, por favor verifique a carteira". Ao clicar no link, o usuário é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Essa transação pode, na verdade, chamar a função "Transfer", transferindo diretamente os ativos da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Exemplo:
Uma conhecida comunidade de um projeto NFT foi alvo de um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações fraudulentas de "recebimento de airdrop". Os atacantes aproveitaram o padrão de assinatura EIP-712 para falsificar pedidos que pareciam seguros.
(3) tokens falsos e "ataques de poeira"
Princípios técnicos:
A publicidade da Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e vinculá-la à pessoa ou empresa que possui a carteira.
Funcionamento:
Os atacantes enviam pequenas quantidades de criptomoedas para diferentes endereços e, em seguida, tentam descobrir quais endereços pertencem à mesma carteira. Depois, os atacantes usam essas informações para lançar ataques de phishing ou ameaças contra as vítimas. Na maioria dos casos, esses "pó" são distribuídos sob a forma de airdrops para as carteiras dos usuários, e esses tokens podem ter nomes ou metadados atraentes, induzindo os usuários a visitar um determinado site para consultar os detalhes.
Exemplo:
No passado, um ataque de poeira de um "token gratuito" que apareceu na rede Ethereum afetou milhares de carteiras. Alguns usuários perderam ETH e tokens ERC-20 devido à curiosidade em interagir.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes são bem-sucedidas, em grande parte, porque estão ocultas nos mecanismos legítimos da Blockchain, dificultando a distinção de sua natureza maliciosa para os usuários comuns. Aqui estão algumas razões-chave:
Complexidade técnica: o código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas no Blockchain, parecem transparentes, mas as vítimas muitas vezes percebem apenas depois as consequências da autorização ou assinatura.
Engenharia social: os golpistas exploram as fraquezas da natureza humana, como a ganância, o medo ou a confiança.
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoeda?
Diante desses golpes que combinam aspectos técnicos e psicológicos, proteger os ativos requer uma estratégia em múltiplas camadas. Abaixo estão as medidas de prevenção detalhadas:
Verificar e gerir permissões de autorização
Utilize ferramentas on-chain para verificar os registros de autorização da carteira.
Revogar regularmente autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que a aplicação vem de uma fonte confiável.
Verificar link e origem
Insira manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
Certifique-se de que o site utiliza o domínio e o certificado SSL corretos.
Esteja atento a erros de ortografia ou caracteres a mais.
usar carteira fria e assinatura múltipla
Armazenar a maior parte dos ativos em uma carteira de hardware, conectando à rede apenas quando necessário.
Para ativos de grande valor, use ferramentas de múltiplas assinaturas, exigindo a confirmação da transação por várias chaves.
Manuseie cuidadosamente os pedidos de assinatura
Leia atentamente os detalhes da transação na janela pop-up da carteira a cada assinatura.
Utilize a função de análise do navegador Blockchain para entender o conteúdo da assinatura.
Criar uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
lidar com ataques de poeira
Após receber um token desconhecido, não interaja. Marque-o como "lixo" ou oculte.
Confirme a origem do token através do explorador Blockchain, se for um envio em massa, mantenha uma alta vigilância.
Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima mencionadas, os usuários podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados. No entanto, a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware estabelecem uma defesa física e a assinatura múltipla dispersa riscos, a compreensão dos usuários sobre a lógica de autorização e a prudência em relação ao comportamento na Blockchain são a última linha de defesa contra ataques.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais essencial estará sempre em: internalizar a consciência de segurança como um hábito e estabelecer um equilíbrio entre confiança e verificação. No mundo do Blockchain, onde o código é a lei, cada operação é permanentemente registrada e não pode ser alterada. Portanto, manter-se alerta e agir com cautela é fundamental.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
23 gostos
Recompensa
23
9
Republicar
Partilhar
Comentar
0/400
CryptoCross-TalkClub
· 8h atrás
Só isso? Os novos idiotas na verdade são mais difíceis de fazer as pessoas de parvas, depois de instalar, é só fazer a colheita dos velhos idiotas.
Ver originalResponder0
TradFiRefugee
· 22h atrás
O café que eu derramei ainda não esfriou, o pump já chegou.
Ver originalResponder0
StablecoinArbitrageur
· 08-12 14:59
*suspiro* participantes do mercado ineficientes a serem destruídos novamente... estatisticamente inevitável com estes vetores de ataque, para ser honesto
Ver originalResponder0
RugDocDetective
· 08-10 13:58
novato entra no mercado sem ver o tutorial, idiotas são a configuração padrão para serem feitos de parvas.
Ver originalResponder0
Degentleman
· 08-10 13:58
又被 fazer as pessoas de parvas 了一刀长记性了
Ver originalResponder0
MondayYoloFridayCry
· 08-10 13:58
Vamos lá, mais uma vez! Vamos nos animar!
Ver originalResponder0
RooftopVIP
· 08-10 13:52
idiotas já foram feitos até ao fim, realmente não têm medo da Criptografia
Ver originalResponder0
RetailTherapist
· 08-10 13:49
Bem, um mais sofisticado que o outro.
Ver originalResponder0
BoredStaker
· 08-10 13:47
Ouvir o que você disse, é uma pena, o novato deve guardar isso.
Contratos inteligentes fraude novas técnicas: de phishing de autorização a Ataque de poeira Proteção de ativos guia completo
Os potenciais armadilhas do mundo Blockchain: como os contratos inteligentes podem se tornar armas de ataque
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas esta revolução também trouxe novos desafios. Os golpistas não utilizam apenas falhas tecnológicas, mas transformam os contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles aproveitam a transparência e a irreversibilidade da Blockchain, convertendo a confiança dos usuários em um meio de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações inter-chain, esses ataques não são apenas discretos e difíceis de detectar, mas também são mais enganosos devido à sua aparência "legítima". Este artigo irá analisar, através de exemplos, como os golpistas utilizam protocolos para atacar e fornecerá estratégias de proteção abrangentes para ajudar os usuários a navegar com segurança no mundo descentralizado.
I. Como os acordos podem ser transformados em ferramentas de fraude?
Os protocolos de Blockchain deveriam garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos: No Blockchain como Ethereum, o padrão de token ERC-20 permite que os usuários autorizem um terceiro (normalmente um contrato inteligente) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos de finanças descentralizadas, onde os usuários precisam autorizar contratos inteligentes para concluir transações, staking ou mineração de liquidez. No entanto, os golpistas aproveitam este mecanismo para projetar contratos maliciosos.
Funcionamento: Os golpistas criam uma aplicação descentralizada que se disfarça de um projeto legítimo, geralmente promovida através de sites de phishing ou redes sociais. Os usuários conectam a carteira e são induzidos a clicar em "Aprovar", que à primeira vista é a autorização de uma quantidade pequena de tokens, mas na verdade pode ser um limite ilimitado. Uma vez que a autorização é concluída, o endereço do contrato do golpista obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Exemplo: No início de 2023, um site de phishing disfarçado como uma atualização de um determinado DEX resultou na perda de grandes quantidades de stablecoins e ETH por centenas de usuários. Os dados on-chain mostram que essas transações estão totalmente em conformidade com o padrão ERC-20, tornando difícil para as vítimas recuperarem os ativos por meio de meios legais, uma vez que a autorização foi assinada voluntariamente.
(2) Phishing de assinatura
Princípios técnicos: As transações em Blockchain exigem que os usuários gerem assinaturas com a chave privada para provar a legitimidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento: O usuário recebe um e-mail ou mensagem disfarçada como um aviso oficial, como "Seu airdrop de NFT está à espera de recebimento, por favor verifique a carteira". Ao clicar no link, o usuário é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Essa transação pode, na verdade, chamar a função "Transfer", transferindo diretamente os ativos da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Exemplo: Uma conhecida comunidade de um projeto NFT foi alvo de um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações fraudulentas de "recebimento de airdrop". Os atacantes aproveitaram o padrão de assinatura EIP-712 para falsificar pedidos que pareciam seguros.
(3) tokens falsos e "ataques de poeira"
Princípios técnicos: A publicidade da Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e vinculá-la à pessoa ou empresa que possui a carteira.
Funcionamento: Os atacantes enviam pequenas quantidades de criptomoedas para diferentes endereços e, em seguida, tentam descobrir quais endereços pertencem à mesma carteira. Depois, os atacantes usam essas informações para lançar ataques de phishing ou ameaças contra as vítimas. Na maioria dos casos, esses "pó" são distribuídos sob a forma de airdrops para as carteiras dos usuários, e esses tokens podem ter nomes ou metadados atraentes, induzindo os usuários a visitar um determinado site para consultar os detalhes.
Exemplo: No passado, um ataque de poeira de um "token gratuito" que apareceu na rede Ethereum afetou milhares de carteiras. Alguns usuários perderam ETH e tokens ERC-20 devido à curiosidade em interagir.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes são bem-sucedidas, em grande parte, porque estão ocultas nos mecanismos legítimos da Blockchain, dificultando a distinção de sua natureza maliciosa para os usuários comuns. Aqui estão algumas razões-chave:
Complexidade técnica: o código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas no Blockchain, parecem transparentes, mas as vítimas muitas vezes percebem apenas depois as consequências da autorização ou assinatura.
Engenharia social: os golpistas exploram as fraquezas da natureza humana, como a ganância, o medo ou a confiança.
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoeda?
Diante desses golpes que combinam aspectos técnicos e psicológicos, proteger os ativos requer uma estratégia em múltiplas camadas. Abaixo estão as medidas de prevenção detalhadas:
Verificar e gerir permissões de autorização
Verificar link e origem
usar carteira fria e assinatura múltipla
Manuseie cuidadosamente os pedidos de assinatura
lidar com ataques de poeira
Conclusão
Ao implementar as medidas de segurança acima mencionadas, os usuários podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados. No entanto, a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware estabelecem uma defesa física e a assinatura múltipla dispersa riscos, a compreensão dos usuários sobre a lógica de autorização e a prudência em relação ao comportamento na Blockchain são a última linha de defesa contra ataques.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais essencial estará sempre em: internalizar a consciência de segurança como um hábito e estabelecer um equilíbrio entre confiança e verificação. No mundo do Blockchain, onde o código é a lei, cada operação é permanentemente registrada e não pode ser alterada. Portanto, manter-se alerta e agir com cautela é fundamental.