Потенційні пастки світу Блокчейн: як смартконтракти можуть стати зброєю атак
Криптовалюти та технології Блокчейн переосмислюють концепцію фінансової свободи, але ця революція також принесла нові виклики. Шахраї більше не просто використовують технологічні вразливості, а перетворюють самі смартконтракти Блокчейну на інструменти атаки. Завдяки ретельно спроектованим соціально-інженерним пасткам вони використовують прозорість і незворотність Блокчейну, щоб перетворити довіру користувачів на засіб крадіжки активів. Від підробки смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані та складні для виявлення, але й завдяки їх "легітимному" вигляду вони є ще більш оманливими. У цій статті буде проаналізовано на прикладах, як шахраї використовують протоколи для атак, а також запропоновано всебічні стратегії захисту, які допоможуть користувачам безпечно рухатися у децентралізованому світі.
Один. Як угода перетворюється на інструмент шахрайства?
Блокчейн протоколи повинні забезпечувати безпеку та довіру, але шахраї використовують їхні особливості, поєднуючи з недбалістю користувачів, щоб створити різноманітні приховані способи атаки. Нижче наведені деякі поширені методи та їхні технічні деталі:
(1) Шкідливе смартконтрактне авторизація
Технічний принцип:
На таких Блокчейн, як Ефіріум, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третю сторону (зазвичай смартконтракт) витягувати з їх гаманця вказану кількість токенів. Ця функція широко використовується в децентралізованих фінансових протоколах, де користувачі повинні уповноважити смартконтракт для завершення транзакцій, стейкінгу або ліквідного видобутку. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Шахраї створюють децентралізований додаток, що маскується під легальний проєкт, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на перший погляд є авторизацією невеликої кількості токенів, але насправді може бути безмежним лімітом. Як тільки авторизація завершена, адреса контракту шахраїв отримує доступ і може в будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Приклад:
На початку 2023 року фішинговий веб-сайт, що маскувався під оновлення певного DEX, призвів до втрати великої кількості стейблкоїнів та ETH сотнями користувачів. Дані в блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, жертвам важко відновити активи через юридичні заходи, оскільки авторизація була підписана добровільно.
(2) підписне фішинг
Технічні принципи:
Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб довести законність транзакції. Гаманець зазвичай показує запит на підпис, після підтвердження користувачем транзакція транслюється в мережу. Шахраї використовують цей процес для підробки запитів на підписання з метою крадіжки активів.
Спосіб роботи:
Користувач отримує електронний лист або повідомлення, що маскується під офіційне повідомлення, наприклад, "Ваш NFT airdrop чекає на отримання, будь ласка, підтвердіть гаманець". Натиснувши на посилання, користувача перенаправляють на шкідливий вебсайт, де від нього вимагають підключити гаманець і підписати "транзакцію підтвердження". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить активи з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що надає шахраям контроль над колекцією NFT користувача.
Приклад:
У спільноті відомого NFT-проекту сталася атака фішингу з підписом, внаслідок якої кілька користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених угод "отримання аirdrop". Зловмисники використали стандарт підпису EIP-712, підробивши запити, які здавалися безпечними.
(3) Фальшиві токени та "атака пилу"
Технічний принцип:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо одержувач не зробив активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, які володіють гаманцями.
Спосіб роботи:
Атакуючи, надсилають невелику кількість криптовалюти на різні адреси, а потім намагаються з'ясувати, які адреси належать одному й тому ж гаманцю. Потім атакуючий використовує цю інформацію для здійснення фішингових атак або загроз по відношенню до жертви. У більшості випадків ці "пилові" токени розподіляються у формі аеродропу до гаманців користувачів, ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний веб-сайт для отримання деталей.
Приклад:
У минулому на мережі Ethereum відбулася певна атака "безкоштовними токенами", яка вплинула на тисячі гаманців. Частина користувачів втратила ETH та токени ERC-20 через цікавість до взаємодії.
Два, чому ці шахрайства важко помітити?
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко розпізнати їх зловмисну природу. Ось кілька ключових причин:
Технічна складність: код смартконтрактів та запити на підпис для нетехнічних користувачів є складними для розуміння.
Законність на ланцюгу: всі транзакції записуються на Блокчейн, здається прозорими, але жертви часто усвідомлюють наслідки авторизації або підпису лише згодом.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Майстерне маскування: Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть покращуючи довіру за допомогою сертифікатів HTTPS.
Три, як захистити свій криптовалютний гаманець?
Стикаючись з цими шахрайствами, які поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії. Нижче наведені детальні заходи запобігання:
Перевірка та управління правами доступу
Використовуйте інструменти на Блокчейн для перевірки записів авторизації гаманця.
Регулярно скасовуйте непотрібні дозволи, особливо на безлімітні дозволи для невідомих адрес.
Перед кожним наданням доступу переконайтеся, що додаток походить з надійного джерела.
підтвердження посилання та джерела
Введіть офіційний URL вручну, уникайте натискання на посилання в соціальних мережах або електронних листах.
Переконайтеся, що веб-сайт використовує правильне доменне ім'я та SSL сертифікат.
Будьте обережні з орфографічними помилками або зайвими символами.
Використання холодного гаманця та мультипідпису
Зберігайте більшість активів у апаратних гаманцях, підключайте до мережі лише в разі необхідності.
Для великих активів використовуйте інструменти мультипідпису, що вимагають підтвердження транзакції кількома ключами.
Обережно обробляйте запити на підпис
Кожного разу, коли підписуєте, уважно читайте деталі транзакції у спливаючому вікні гаманця.
Використовуйте функцію аналізу блокчейн-оглядача для розуміння вмісту підпису.
Створіть окремий гаманець для високоризикованих операцій, зберігайте невелику кількість активів.
реагування на атаки пилом
Після отримання невідомих токенів не взаємодійте з ними. Позначте їх як "сміття" або сховайте.
Підтвердіть джерело токенів через Блокчейн-браузер, якщо це масова відправка, будьте дуже обережні.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Завдяки впровадженню зазначених вище заходів безпеки користувачі можуть значно знизити ризик стати жертвою складних шахрайських схем. Проте справжня безпека не залежить лише від технологій. Коли апаратні гаманці створюють фізичний захист, а мультипідписи розподіляють ризики, саме розуміння користувачем логіки авторизації та обережність щодо поведінки на ланцюгу є останньою бар'єрною лінією проти атак.
У майбутньому, незалежно від того, як технології будуть еволюціонувати, найголовніша лінія оборони завжди полягатиме в тому, щоб внутрішньо усвідомити безпеку як звичку, встановити баланс між довірою та перевіркою. У світі Блокчейн, де код є законом, кожна дія назавжди фіксується і не може бути змінена. Тому бути уважним і обережним є вкрай важливим.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
22 лайків
Нагородити
22
9
Репост
Поділіться
Прокоментувати
0/400
CryptoCross-TalkClub
· 11хв. тому
От і все? Нові невдахи навпаки погано обдурюють людей, як лохів, встановивши старих невдах, відразу збирають.
Переглянути оригіналвідповісти на0
TradFiRefugee
· 13год тому
Я ще не охолодив каву, а вже прийшов памп.
Переглянути оригіналвідповісти на0
StablecoinArbitrageur
· 17год тому
*с sigh* неефективні учасники ринку знову отримують рект... статистично неминуче з цими векторами атак, якщо чесно
Переглянути оригіналвідповісти на0
RugDocDetective
· 08-10 13:58
новачок входить, не дивлячись на навчальні посібники, невдахи обдурювати людей, як лохів.
Переглянути оригіналвідповісти на0
Degentleman
· 08-10 13:58
знову обдурювали людей, як лохів, щоб запам'ятати
Переглянути оригіналвідповісти на0
MondayYoloFridayCry
· 08-10 13:58
Знову треба розважитися, давайте піднімемо настрій!
Переглянути оригіналвідповісти на0
RooftopVIP
· 08-10 13:52
невдахи вже обдурені до кінця, справді не бояться Криптографії
Переглянути оригіналвідповісти на0
RetailTherapist
· 08-10 13:49
Добре, хлопці, один більш високий за інший пастка.
Переглянути оригіналвідповісти на0
BoredStaker
· 08-10 13:47
Слухаючи вас, новачок обов'язково повинен зберегти
Смартконтракти шахрайства нові методи: від авторизаційної фішингової атаки до пилової атаки Захист активів повний посібник
Потенційні пастки світу Блокчейн: як смартконтракти можуть стати зброєю атак
Криптовалюти та технології Блокчейн переосмислюють концепцію фінансової свободи, але ця революція також принесла нові виклики. Шахраї більше не просто використовують технологічні вразливості, а перетворюють самі смартконтракти Блокчейну на інструменти атаки. Завдяки ретельно спроектованим соціально-інженерним пасткам вони використовують прозорість і незворотність Блокчейну, щоб перетворити довіру користувачів на засіб крадіжки активів. Від підробки смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані та складні для виявлення, але й завдяки їх "легітимному" вигляду вони є ще більш оманливими. У цій статті буде проаналізовано на прикладах, як шахраї використовують протоколи для атак, а також запропоновано всебічні стратегії захисту, які допоможуть користувачам безпечно рухатися у децентралізованому світі.
Один. Як угода перетворюється на інструмент шахрайства?
Блокчейн протоколи повинні забезпечувати безпеку та довіру, але шахраї використовують їхні особливості, поєднуючи з недбалістю користувачів, щоб створити різноманітні приховані способи атаки. Нижче наведені деякі поширені методи та їхні технічні деталі:
(1) Шкідливе смартконтрактне авторизація
Технічний принцип: На таких Блокчейн, як Ефіріум, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третю сторону (зазвичай смартконтракт) витягувати з їх гаманця вказану кількість токенів. Ця функція широко використовується в децентралізованих фінансових протоколах, де користувачі повинні уповноважити смартконтракт для завершення транзакцій, стейкінгу або ліквідного видобутку. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи: Шахраї створюють децентралізований додаток, що маскується під легальний проєкт, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на перший погляд є авторизацією невеликої кількості токенів, але насправді може бути безмежним лімітом. Як тільки авторизація завершена, адреса контракту шахраїв отримує доступ і може в будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Приклад: На початку 2023 року фішинговий веб-сайт, що маскувався під оновлення певного DEX, призвів до втрати великої кількості стейблкоїнів та ETH сотнями користувачів. Дані в блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, жертвам важко відновити активи через юридичні заходи, оскільки авторизація була підписана добровільно.
(2) підписне фішинг
Технічні принципи: Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб довести законність транзакції. Гаманець зазвичай показує запит на підпис, після підтвердження користувачем транзакція транслюється в мережу. Шахраї використовують цей процес для підробки запитів на підписання з метою крадіжки активів.
Спосіб роботи: Користувач отримує електронний лист або повідомлення, що маскується під офіційне повідомлення, наприклад, "Ваш NFT airdrop чекає на отримання, будь ласка, підтвердіть гаманець". Натиснувши на посилання, користувача перенаправляють на шкідливий вебсайт, де від нього вимагають підключити гаманець і підписати "транзакцію підтвердження". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить активи з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що надає шахраям контроль над колекцією NFT користувача.
Приклад: У спільноті відомого NFT-проекту сталася атака фішингу з підписом, внаслідок якої кілька користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених угод "отримання аirdrop". Зловмисники використали стандарт підпису EIP-712, підробивши запити, які здавалися безпечними.
(3) Фальшиві токени та "атака пилу"
Технічний принцип: Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо одержувач не зробив активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, які володіють гаманцями.
Спосіб роботи: Атакуючи, надсилають невелику кількість криптовалюти на різні адреси, а потім намагаються з'ясувати, які адреси належать одному й тому ж гаманцю. Потім атакуючий використовує цю інформацію для здійснення фішингових атак або загроз по відношенню до жертви. У більшості випадків ці "пилові" токени розподіляються у формі аеродропу до гаманців користувачів, ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний веб-сайт для отримання деталей.
Приклад: У минулому на мережі Ethereum відбулася певна атака "безкоштовними токенами", яка вплинула на тисячі гаманців. Частина користувачів втратила ETH та токени ERC-20 через цікавість до взаємодії.
Два, чому ці шахрайства важко помітити?
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко розпізнати їх зловмисну природу. Ось кілька ключових причин:
Технічна складність: код смартконтрактів та запити на підпис для нетехнічних користувачів є складними для розуміння.
Законність на ланцюгу: всі транзакції записуються на Блокчейн, здається прозорими, але жертви часто усвідомлюють наслідки авторизації або підпису лише згодом.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Майстерне маскування: Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть покращуючи довіру за допомогою сертифікатів HTTPS.
Три, як захистити свій криптовалютний гаманець?
Стикаючись з цими шахрайствами, які поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії. Нижче наведені детальні заходи запобігання:
Перевірка та управління правами доступу
підтвердження посилання та джерела
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис
реагування на атаки пилом
Висновок
Завдяки впровадженню зазначених вище заходів безпеки користувачі можуть значно знизити ризик стати жертвою складних шахрайських схем. Проте справжня безпека не залежить лише від технологій. Коли апаратні гаманці створюють фізичний захист, а мультипідписи розподіляють ризики, саме розуміння користувачем логіки авторизації та обережність щодо поведінки на ланцюгу є останньою бар'єрною лінією проти атак.
У майбутньому, незалежно від того, як технології будуть еволюціонувати, найголовніша лінія оборони завжди полягатиме в тому, щоб внутрішньо усвідомити безпеку як звичку, встановити баланс між довірою та перевіркою. У світі Блокчейн, де код є законом, кожна дія назавжди фіксується і не може бути змінена. Тому бути уважним і обережним є вкрай важливим.