Смарт-контракты Протокол: скрытые опасности и способы их предотвращения
Криптовалюты и технологии блокчейн перестраивают концепцию финансовой свободы, но эта революция также принесла новые вызовы. Мошенники больше не ограничиваются использованием технических уязвимостей, а превращают сами протоколы смарт-контрактов блокчейна в инструменты атаки. Они искусно разрабатывают ловушки социальной инженерии, используя прозрачность и необратимость блокчейна, превращая доверие пользователей в средство кражи активов. От тщательно сконструированных смарт-контрактов до манипуляций с кросс-цепочными транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и становятся более обманчивыми из-за своего "законного" внешнего вида. Эта статья через реальные примеры проанализирует, как мошенники превращают протоколы в носители атак и предложит всесторонние решения, от технической защиты до поведенческой профилактики, чтобы помочь вам безопасно ориентироваться в децентрализованном мире.
Один. Как протокол стал инструментом мошенничества?
Изначальной целью блокчейн-протоколов является обеспечение безопасности и доверия, но мошенники используют их особенности, сочетая их с неосторожностью пользователей, чтобы создать различные скрытые методы атак. Вот некоторые из приемов и их технические детали:
(1) Злонамеренное разрешение смарт-контрактов
Технический принцип:
На некоторых блокчейнах определенные стандарты токенов позволяют пользователям через функцию "Approve" разрешать третьим лицам (обычно смарт-контрактам) извлекать из их кошельков заданное количество токенов. Эта функция широко используется в децентрализованных финансовых Протоколах, пользователям необходимо разрешить смарт-контрактам завершить сделки, ставить или заниматься ликвидностью. Однако мошенники используют этот механизм для создания вредоносных контрактов.
Способ работы:
Мошенники создают децентрализованное приложение, замаскированное под легальный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают свои кошельки и их вводят в заблуждение, заставляя нажимать "Approve", что на первый взгляд выглядит как разрешение на небольшое количество токенов, на самом деле это может быть неограниченный лимит. После завершения авторизации адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, замаскированный под обновление известной децентрализованной биржи, привел к потерям у сотен пользователей на миллионы долларов в стейблкойнах и нативных токенах. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандартам токенов, и жертвы даже не могут вернуть свои средства через юридические средства, так как авторизация была подписана добровольно.
(2) Подписывать фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователей генерации подписи с помощью закрытого ключа для подтверждения легитимности транзакции. Кошельки обычно выдают запрос на подпись, после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы:
Пользователь получает письмо, замаскированное под официальное уведомление, или сообщение в социальной сети, например, "Ваш NFT airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция может фактически вызывать функцию "Transfer", которая напрямую переводит активы из кошелька на адрес мошенника; либо это может быть операция "SetApprovalForAll", дающая мошеннику контроль над коллекцией NFT пользователя.
Реальный случай:
Сообщество известного NFT проекта подверглось атаке через фишинг с подписями, в результате чего несколько пользователей потеряли NFT на сумму в несколько миллионов долларов, подписав поддельные транзакции "получения аирдропа". Нападающие использовали специфический стандарт подписи, подделав запросы, которые казались безопасными.
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость блокчейна позволяет любому человеку отправлять токены на любой адрес, даже если получатель не запрашивал этого. Мошенники используют это, отправляя небольшое количество криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с лицами или компаниями, владеющими кошельком. Атака начинается с отправки "пыли", отправляя небольшое количество криптовалюты на разные адреса, после чего злоумышленник пытается выяснить, какой адрес принадлежит одному и тому же кошельку. Затем злоумышленник использует эту информацию для проведения фишинговых атак или угроз против жертвы.
Способ работы:
Обычно "пыль", используемая в атаках пылью, распределяется в виде аирдропов в кошельки пользователей. Эти токены могут иметь определенные названия или метаданные, побуждая пользователей посетить определенный сайт для получения подробной информации. Пользователи могут захотеть обналичить эти токены, и злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прикрепленный к токенам. Более скрытно, атаки пылью могут использовать социальную инженерию, анализируя последующие транзакции пользователей, чтобы зафиксировать активные адреса кошельков пользователей и таким образом осуществлять более точные мошеннические действия.
Реальные примеры:
На одной из блокчейн-сетей произошла атака "пылью GAS-токенов", которая затронула тысячи кошельков. Некоторые пользователи в силу любопытства потеряли свои родные токены и другие токены.
2. Почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны во многом благодаря тому, что они скрыты в легитимных механизмах блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Ниже приведены несколько ключевых причин:
Техническая сложность:
Код смарт-контракта и запросы на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться в виде строки шестнадцатеричных данных, и пользователям трудно интуитивно понять его значение.
Законность на блокчейне:
Все транзакции записываются в блокчейне, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, когда активы уже невозможно вернуть.
Социальная инженерия:
Мошенники используют слабости человеческой природы, такие как жадность ("получите большие токены бесплатно"), страх ("необычная активность в аккаунте требует подтверждения") или доверие (выдавая себя за службу поддержки).
Умело замаскировано:
Фишинговые сайты могут использовать URL, похожие на официальные домены, и даже увеличивать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, в которых одновременно присутствуют технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте полномочиями доступа
Инструменты: используйте проверщик разрешений блокчейн-эксплорера или специализированные инструменты для отмены, чтобы проверить историю разрешений кошелька.
Операция: регулярно отзывать ненужные разрешения, особенно на неограниченные разрешения для неизвестных адресов. Перед каждым разрешением убедитесь, что децентрализованное приложение поступает из надежного источника.
Технические детали: проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отменить.
Проверить ссылку и источник
Метод: вручную введите официальный URL, избегая нажатия на ссылки в социальных сетях или электронной почте.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый значок замка). Будьте осторожны с опечатками или лишними символами.
Используйте холодные кошельки и мультиподписи
Холодный кошелек: хранение большинства активов в аппаратном кошельке, подключение к сети только при необходимости.
Мультиподпись: для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск единой точки сбоя.
Осторожно обрабатывайте запросы на подпись
Шаги: Каждый раз, когда вы подписываете транзакцию, внимательно читайте детали транзакции в всплывающем окне кошелька. Некоторые кошельки могут показывать поле "Данные"; если оно содержит непонятные функции (например, "TransferFrom"), откажитесь от подписания.
Инструменты: используйте функцию декодирования блокчейн-обозревателя для анализа содержимого подписи или проконсультируйтесь с техническим специалистом.
Рекомендация: создайте отдельный кошелек для высокорисковых операций и храните в нем небольшое количество активов.
Реагирование на атаки пыли
Стратегия: после получения неизвестного токена не взаимодействуйте. Отметьте его как "спам" или скройте.
Проверьте: через блокчейн-эксплорер подтвердите источник токена, если это массовая отправка, будьте очень внимательны.
Предотвращение: избегайте раскрытия адреса кошелька или используйте новый адрес для проведения чувствительных операций.
Заключение
С помощью реализации вышеупомянутых мер безопасности пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем, но настоящая безопасность — это не просто победа технологий. Когда аппаратные кошельки создают физическую защиту, а мультиподписи распределяют риски, именно понимание пользователем логики авторизации и осторожное поведение на блокчейне являются последней крепостью против атак. Каждый анализ данных перед подписанием и каждая проверка прав после авторизации — это клятва на защиту собственных цифровых прав.
В будущем, независимо от того, как будет развиваться технология, самой важной линией защиты всегда будет: внутренняя инкорпорация осознания безопасности в мышечную память и установление вечного баланса между доверием и проверкой. В конце концов, в мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда записываются в цепочке и не могут быть изменены.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
7
Поделиться
комментарий
0/400
MEVHunterZhang
· 8ч назад
Опять пришли продавать страх за безопасность, да?
Посмотреть ОригиналОтветить0
MetaEggplant
· 8ч назад
Блокчейн Красная армия только что неудачники
Посмотреть ОригиналОтветить0
BankruptWorker
· 8ч назад
неудачники наконец будут кому-то нужны?
Посмотреть ОригиналОтветить0
NFT_Therapy
· 8ч назад
Снова новичок попался на обман, да?
Посмотреть ОригиналОтветить0
StableGenius
· 8ч назад
как и предсказывалось... еще один день, еще одна атака на протокол. никто больше не читает bytecode, смх
Посмотреть ОригиналОтветить0
BearMarketSunriser
· 8ч назад
4 года опыта неудачников - это одно ощущение: чем больше понимаешь сейчас, тем больше теряешь.
Посмотреть ОригиналОтветить0
BlockchainArchaeologist
· 9ч назад
Еще один стандартный учебник, который говорит, что и не говорит.
Секреты рисков смарт-контрактов: Полное руководство по предотвращению от ловушек авторизации до фишинга по подписям
Смарт-контракты Протокол: скрытые опасности и способы их предотвращения
Криптовалюты и технологии блокчейн перестраивают концепцию финансовой свободы, но эта революция также принесла новые вызовы. Мошенники больше не ограничиваются использованием технических уязвимостей, а превращают сами протоколы смарт-контрактов блокчейна в инструменты атаки. Они искусно разрабатывают ловушки социальной инженерии, используя прозрачность и необратимость блокчейна, превращая доверие пользователей в средство кражи активов. От тщательно сконструированных смарт-контрактов до манипуляций с кросс-цепочными транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и становятся более обманчивыми из-за своего "законного" внешнего вида. Эта статья через реальные примеры проанализирует, как мошенники превращают протоколы в носители атак и предложит всесторонние решения, от технической защиты до поведенческой профилактики, чтобы помочь вам безопасно ориентироваться в децентрализованном мире.
Один. Как протокол стал инструментом мошенничества?
Изначальной целью блокчейн-протоколов является обеспечение безопасности и доверия, но мошенники используют их особенности, сочетая их с неосторожностью пользователей, чтобы создать различные скрытые методы атак. Вот некоторые из приемов и их технические детали:
(1) Злонамеренное разрешение смарт-контрактов
Технический принцип: На некоторых блокчейнах определенные стандарты токенов позволяют пользователям через функцию "Approve" разрешать третьим лицам (обычно смарт-контрактам) извлекать из их кошельков заданное количество токенов. Эта функция широко используется в децентрализованных финансовых Протоколах, пользователям необходимо разрешить смарт-контрактам завершить сделки, ставить или заниматься ликвидностью. Однако мошенники используют этот механизм для создания вредоносных контрактов.
Способ работы: Мошенники создают децентрализованное приложение, замаскированное под легальный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают свои кошельки и их вводят в заблуждение, заставляя нажимать "Approve", что на первый взгляд выглядит как разрешение на небольшое количество токенов, на самом деле это может быть неограниченный лимит. После завершения авторизации адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай: В начале 2023 года фишинговый сайт, замаскированный под обновление известной децентрализованной биржи, привел к потерям у сотен пользователей на миллионы долларов в стейблкойнах и нативных токенах. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандартам токенов, и жертвы даже не могут вернуть свои средства через юридические средства, так как авторизация была подписана добровольно.
(2) Подписывать фишинг
Технический принцип: Блокчейн-транзакции требуют от пользователей генерации подписи с помощью закрытого ключа для подтверждения легитимности транзакции. Кошельки обычно выдают запрос на подпись, после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы: Пользователь получает письмо, замаскированное под официальное уведомление, или сообщение в социальной сети, например, "Ваш NFT airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция может фактически вызывать функцию "Transfer", которая напрямую переводит активы из кошелька на адрес мошенника; либо это может быть операция "SetApprovalForAll", дающая мошеннику контроль над коллекцией NFT пользователя.
Реальный случай: Сообщество известного NFT проекта подверглось атаке через фишинг с подписями, в результате чего несколько пользователей потеряли NFT на сумму в несколько миллионов долларов, подписав поддельные транзакции "получения аирдропа". Нападающие использовали специфический стандарт подписи, подделав запросы, которые казались безопасными.
(3) Ложные токены и "атака пыли"
Технический принцип: Открытость блокчейна позволяет любому человеку отправлять токены на любой адрес, даже если получатель не запрашивал этого. Мошенники используют это, отправляя небольшое количество криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с лицами или компаниями, владеющими кошельком. Атака начинается с отправки "пыли", отправляя небольшое количество криптовалюты на разные адреса, после чего злоумышленник пытается выяснить, какой адрес принадлежит одному и тому же кошельку. Затем злоумышленник использует эту информацию для проведения фишинговых атак или угроз против жертвы.
Способ работы: Обычно "пыль", используемая в атаках пылью, распределяется в виде аирдропов в кошельки пользователей. Эти токены могут иметь определенные названия или метаданные, побуждая пользователей посетить определенный сайт для получения подробной информации. Пользователи могут захотеть обналичить эти токены, и злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прикрепленный к токенам. Более скрытно, атаки пылью могут использовать социальную инженерию, анализируя последующие транзакции пользователей, чтобы зафиксировать активные адреса кошельков пользователей и таким образом осуществлять более точные мошеннические действия.
Реальные примеры: На одной из блокчейн-сетей произошла атака "пылью GAS-токенов", которая затронула тысячи кошельков. Некоторые пользователи в силу любопытства потеряли свои родные токены и другие токены.
2. Почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны во многом благодаря тому, что они скрыты в легитимных механизмах блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Ниже приведены несколько ключевых причин:
Техническая сложность: Код смарт-контракта и запросы на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться в виде строки шестнадцатеричных данных, и пользователям трудно интуитивно понять его значение.
Законность на блокчейне: Все транзакции записываются в блокчейне, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, когда активы уже невозможно вернуть.
Социальная инженерия: Мошенники используют слабости человеческой природы, такие как жадность ("получите большие токены бесплатно"), страх ("необычная активность в аккаунте требует подтверждения") или доверие (выдавая себя за службу поддержки).
Умело замаскировано: Фишинговые сайты могут использовать URL, похожие на официальные домены, и даже увеличивать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, в которых одновременно присутствуют технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Инструменты: используйте проверщик разрешений блокчейн-эксплорера или специализированные инструменты для отмены, чтобы проверить историю разрешений кошелька.
Операция: регулярно отзывать ненужные разрешения, особенно на неограниченные разрешения для неизвестных адресов. Перед каждым разрешением убедитесь, что децентрализованное приложение поступает из надежного источника.
Технические детали: проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отменить.
Метод: вручную введите официальный URL, избегая нажатия на ссылки в социальных сетях или электронной почте.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый значок замка). Будьте осторожны с опечатками или лишними символами.
Холодный кошелек: хранение большинства активов в аппаратном кошельке, подключение к сети только при необходимости.
Мультиподпись: для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск единой точки сбоя.
Шаги: Каждый раз, когда вы подписываете транзакцию, внимательно читайте детали транзакции в всплывающем окне кошелька. Некоторые кошельки могут показывать поле "Данные"; если оно содержит непонятные функции (например, "TransferFrom"), откажитесь от подписания.
Инструменты: используйте функцию декодирования блокчейн-обозревателя для анализа содержимого подписи или проконсультируйтесь с техническим специалистом.
Рекомендация: создайте отдельный кошелек для высокорисковых операций и храните в нем небольшое количество активов.
Стратегия: после получения неизвестного токена не взаимодействуйте. Отметьте его как "спам" или скройте.
Проверьте: через блокчейн-эксплорер подтвердите источник токена, если это массовая отправка, будьте очень внимательны.
Предотвращение: избегайте раскрытия адреса кошелька или используйте новый адрес для проведения чувствительных операций.
Заключение
С помощью реализации вышеупомянутых мер безопасности пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем, но настоящая безопасность — это не просто победа технологий. Когда аппаратные кошельки создают физическую защиту, а мультиподписи распределяют риски, именно понимание пользователем логики авторизации и осторожное поведение на блокчейне являются последней крепостью против атак. Каждый анализ данных перед подписанием и каждая проверка прав после авторизации — это клятва на защиту собственных цифровых прав.
В будущем, независимо от того, как будет развиваться технология, самой важной линией защиты всегда будет: внутренняя инкорпорация осознания безопасности в мышечную память и установление вечного баланса между доверием и проверкой. В конце концов, в мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда записываются в цепочке и не могут быть изменены.