Нові загрози в світі Блокчейн: коли смартконтракти стають інструментом шахрайства
Криптовалюти та Блокчейн-технології перебудовують фінансовий ландшафт, але ця революція також принесла нові виклики безпеки. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі протоколи смартконтрактів Блокчейн на засоби нападу. Завдяки ретельно спланованим соціально-інженерним пасткам, вони використовують прозорість та незворотність Блокчейн, перетворюючи довіру користувачів на інструменти крадіжки активів. Від підробки смартконтрактів до маніпуляцій з крос-ланцюговими транзакціями, ці атаки не лише приховані і важко виявити, але й завдяки їх "легітимному" вигляду ще більш обманливі. У цій статті ми проаналізуємо на прикладах, як шахраї перетворюють протоколи на засоби атак, і надамо всеосяжні рішення, від технічного захисту до поведінкових запобіжних заходів, щоб допомогти вам безпечно рухатися у децентралізованому світі.
Один. Як легальні угоди стають інструментами шахрайства?
Проектування Блокчейн-протоколів має на меті забезпечити безпеку та довіру, але шахраї використовують його особливості в поєднанні з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Ось деякі методи та їх технічні деталі:
(1) Зловмисне надання доступу смартконтрактам
Технічні принципи:
На Блокчейн, таких як Ефір, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай це смартконтракти) вилучати з їх гаманця вказану кількість токенів. Ця функція широко використовується в протоколах DeFi, де користувачі повинні уповноважити смартконтракти для завершення угод, стейкінгу або добування ліквідності. Однак шахраї використовують цей механізм для створення зловмисних контрактів.
Спосіб роботи:
Шахраї створюють DApp, що маскується під легальний проєкт, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці і їх спонукають натиснути "Approve", що на перший погляд є авторизацією незначної кількості токенів, але насправді може бути безмежним лімітом (значення uint256.max). Щойно авторизація завершена, адреса контракту шахраїв отримує права і може будь-коли викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Справжній випадок:
На початку 2023 року фішинг-сайт, що маскувався під "оновлення Uniswap V3", призвів до втрати мільйонів доларів США у USDT та ETH сотнями користувачів. Дані в блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, жертви навіть не можуть повернути свої кошти через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) Підпис фішинг
Технічний принцип:
Блокчейн-транзакції потребують від користувачів генерації підпису за допомогою приватного ключа, щоб підтвердити легітимність транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувачем транзакція передається в мережу. Шахраї використовують цей процес для підробки запитів на підпис та викрадення активів.
Спосіб роботи:
Користувач отримує електронний лист або повідомлення, що маскується під офіційне сповіщення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, підтвердіть гаманець". Після натискання на посилання користувача перенаправляють на шкідливий вебсайт, де від нього вимагають підключити гаманець і підписати "транзакцію підтвердження". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", яка надає шахраю контроль над колекцією NFT користувача.
Справжній випадок:
Спільнота відомого NFT проекту зазнала атаки фішингу підписів, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу". Зловмисники використали стандарт підпису EIP-712, підробляючи запити, які здаються безпечними.
(3) Фальшиві токени та "атака пилом"
Технічний принцип:
Відкритість Блокчейн дозволяє кожному відправляти токени на будь-яку адресу, навіть якщо одержувач не робив активного запиту. Шахраї використовують це, відправляючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, що володіють гаманцем.
Спосіб роботи:
Атакуюча сторона надсилає невелику кількість криптовалюти на різні адреси, а потім намагається з’ясувати, які з них належать одному й тому ж гаманцю. Ці "порошки" зазвичай розподіляються у формі аеродропів до гаманців користувачів і можуть мати привабливі назви або метадані. Користувачі можуть захотіти обміняти ці токени, щоб отримати доступ до веб-сайту, запропонованого атакуючими. Потім атакуючі можуть отримати доступ до гаманця користувача через контрактну адресу, що супроводжує токени, або шляхом аналізу подальших транзакцій користувача, щоб зафіксувати активні адреси гаманців та реалізувати більш точні шахрайства.
Реальний випадок:
В минулому на мережі Ethereum виникли атаки "пилових токенів GAS", які вплинули на тисячі гаманців. Деякі користувачі через цікавість втратили ETH та ERC-20 токени.
Два, чому ці шахрайства важко помітити?
Ці шахрайства успішні, в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко відрізнити їх зловмисну природу. Ось кілька ключових причин:
Технічна складність: код смартконтрактів і запити на підпис для нетехнічних користувачів є незрозумілими. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані, такі як "0x095ea7b3...", що не дозволяє користувачам інтуїтивно зрозуміти його зміст.
Законність на ланцюзі: всі транзакції записуються на Блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже неможливо повернути.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність ("отримайте безкоштовно 1000 доларів США токенів"), страх ("необхідна перевірка через аномалію в обліковому записі") або довіру (прикидаючись службою підтримки).
Витончена маскування: Фішингові сайти можуть використовувати URL, схожі на офіційний домен, навіть через HTTPS сертифікати для підвищення довіри.
Три, як захистити ваш гаманець криптовалюти?
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії. Нижче наведено детальні заходи безпеки:
Перевірка та управління правами доступу
Використовуйте інструмент перевірки авторизації блокчейн-браузера для перевірки записів авторизації гаманця.
Регулярно відкликайтесь від непотрібних дозволів, особливо на безмежні дозволи для невідомих адрес.
Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.
Перевірте значення "Allowance", якщо воно "нескінченне" (наприклад, 2^256-1), його слід негайно скасувати.
перевірити посилання та джерело
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Переконайтеся, що вебсайт використовує правильне доменне ім'я та сертифікат SSL (зелена іконка замка).
Будьте обережні з помилками в написанні або зайвими символами.
Якщо ви отримали підозрілий варіант домену, негайно підозрюйте його автентичність.
Використання холодного гаманця та мультипідпису
Зберігайте більшість активів у апаратних гаманцях, підключайтеся до мережі лише за необхідності.
Для великих активів використовуйте інструменти багатопідпису, що вимагають підтвердження транзакцій кількома ключами, що знижує ризик одноточкових помилок.
Навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.
Обережно обробляйте запити на підпис
Під час кожного підпису уважно читайте деталі транзакції у спливаючому вікні гаманця.
Зверніть увагу на поле "дані". Якщо воно містить невідомі функції (наприклад, "TransferFrom"), відмовтеся підписувати.
Використовуйте функцію "Decode Input Data" блокчейн-браузера для аналізу підписаного вмісту або зверніться до технічного експерта.
Створіть окремий гаманець для високоризикованих операцій, зберігайте невелику кількість активів.
Реакція на атаки пилу
Після отримання невідомих токенів не взаємодійте з ними. Позначте їх як "сміття" або сховайте.
Через платформу браузера Блокчейн підтвердіть походження токена, якщо це масова відправка, будьте особливо обережні.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, звичайні користувачі можуть значно знизити ризик стати жертвою складних шахрайських схем, але справжня безпека далеко не одностороння технологічна перемога. Коли апаратні гаманці створюють фізичну лінію оборони, а мультипідписи розподіляють ризики, лише розуміння користувачами логіки авторизації та обережність щодо поведінки в мережі є останнім бастіоном проти атак. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації - це клятва на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології розвиваються, найважливішою лінією оборони завжди буде: інкорпорувати усвідомлення безпеки в звичку, встановити вічний баланс між довірою та перевіркою. Адже в світі Блокчейн, де код — це закон, кожен клік, кожна транзакція назавжди записуються в світі ланцюга і не можуть бути змінені.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
6
Поділіться
Прокоментувати
0/400
SmartContractRebel
· 12год тому
зайняти протилежну позицію скасувало дозвіл, а ще хочеш вкрасти мою монету що?
Переглянути оригіналвідповісти на0
LiquidityWizard
· 12год тому
теоретично кажучи, 99.7% цих "взломів" — це просто помилка користувача, смх
Блокчейн протоколи перетворюються на новий інструмент шахрайства. Як захистити свої шифрування активи.
Нові загрози в світі Блокчейн: коли смартконтракти стають інструментом шахрайства
Криптовалюти та Блокчейн-технології перебудовують фінансовий ландшафт, але ця революція також принесла нові виклики безпеки. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі протоколи смартконтрактів Блокчейн на засоби нападу. Завдяки ретельно спланованим соціально-інженерним пасткам, вони використовують прозорість та незворотність Блокчейн, перетворюючи довіру користувачів на інструменти крадіжки активів. Від підробки смартконтрактів до маніпуляцій з крос-ланцюговими транзакціями, ці атаки не лише приховані і важко виявити, але й завдяки їх "легітимному" вигляду ще більш обманливі. У цій статті ми проаналізуємо на прикладах, як шахраї перетворюють протоколи на засоби атак, і надамо всеосяжні рішення, від технічного захисту до поведінкових запобіжних заходів, щоб допомогти вам безпечно рухатися у децентралізованому світі.
Один. Як легальні угоди стають інструментами шахрайства?
Проектування Блокчейн-протоколів має на меті забезпечити безпеку та довіру, але шахраї використовують його особливості в поєднанні з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Ось деякі методи та їх технічні деталі:
(1) Зловмисне надання доступу смартконтрактам
Технічні принципи: На Блокчейн, таких як Ефір, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай це смартконтракти) вилучати з їх гаманця вказану кількість токенів. Ця функція широко використовується в протоколах DeFi, де користувачі повинні уповноважити смартконтракти для завершення угод, стейкінгу або добування ліквідності. Однак шахраї використовують цей механізм для створення зловмисних контрактів.
Спосіб роботи: Шахраї створюють DApp, що маскується під легальний проєкт, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці і їх спонукають натиснути "Approve", що на перший погляд є авторизацією незначної кількості токенів, але насправді може бути безмежним лімітом (значення uint256.max). Щойно авторизація завершена, адреса контракту шахраїв отримує права і може будь-коли викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Справжній випадок: На початку 2023 року фішинг-сайт, що маскувався під "оновлення Uniswap V3", призвів до втрати мільйонів доларів США у USDT та ETH сотнями користувачів. Дані в блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, жертви навіть не можуть повернути свої кошти через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) Підпис фішинг
Технічний принцип: Блокчейн-транзакції потребують від користувачів генерації підпису за допомогою приватного ключа, щоб підтвердити легітимність транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувачем транзакція передається в мережу. Шахраї використовують цей процес для підробки запитів на підпис та викрадення активів.
Спосіб роботи: Користувач отримує електронний лист або повідомлення, що маскується під офіційне сповіщення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, підтвердіть гаманець". Після натискання на посилання користувача перенаправляють на шкідливий вебсайт, де від нього вимагають підключити гаманець і підписати "транзакцію підтвердження". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", яка надає шахраю контроль над колекцією NFT користувача.
Справжній випадок: Спільнота відомого NFT проекту зазнала атаки фішингу підписів, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу". Зловмисники використали стандарт підпису EIP-712, підробляючи запити, які здаються безпечними.
(3) Фальшиві токени та "атака пилом"
Технічний принцип: Відкритість Блокчейн дозволяє кожному відправляти токени на будь-яку адресу, навіть якщо одержувач не робив активного запиту. Шахраї використовують це, відправляючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, що володіють гаманцем.
Спосіб роботи: Атакуюча сторона надсилає невелику кількість криптовалюти на різні адреси, а потім намагається з’ясувати, які з них належать одному й тому ж гаманцю. Ці "порошки" зазвичай розподіляються у формі аеродропів до гаманців користувачів і можуть мати привабливі назви або метадані. Користувачі можуть захотіти обміняти ці токени, щоб отримати доступ до веб-сайту, запропонованого атакуючими. Потім атакуючі можуть отримати доступ до гаманця користувача через контрактну адресу, що супроводжує токени, або шляхом аналізу подальших транзакцій користувача, щоб зафіксувати активні адреси гаманців та реалізувати більш точні шахрайства.
Реальний випадок: В минулому на мережі Ethereum виникли атаки "пилових токенів GAS", які вплинули на тисячі гаманців. Деякі користувачі через цікавість втратили ETH та ERC-20 токени.
Два, чому ці шахрайства важко помітити?
Ці шахрайства успішні, в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко відрізнити їх зловмисну природу. Ось кілька ключових причин:
Технічна складність: код смартконтрактів і запити на підпис для нетехнічних користувачів є незрозумілими. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані, такі як "0x095ea7b3...", що не дозволяє користувачам інтуїтивно зрозуміти його зміст.
Законність на ланцюзі: всі транзакції записуються на Блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже неможливо повернути.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність ("отримайте безкоштовно 1000 доларів США токенів"), страх ("необхідна перевірка через аномалію в обліковому записі") або довіру (прикидаючись службою підтримки).
Витончена маскування: Фішингові сайти можуть використовувати URL, схожі на офіційний домен, навіть через HTTPS сертифікати для підвищення довіри.
Три, як захистити ваш гаманець криптовалюти?
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії. Нижче наведено детальні заходи безпеки:
Перевірка та управління правами доступу
перевірити посилання та джерело
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис
Реакція на атаки пилу
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, звичайні користувачі можуть значно знизити ризик стати жертвою складних шахрайських схем, але справжня безпека далеко не одностороння технологічна перемога. Коли апаратні гаманці створюють фізичну лінію оборони, а мультипідписи розподіляють ризики, лише розуміння користувачами логіки авторизації та обережність щодо поведінки в мережі є останнім бастіоном проти атак. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації - це клятва на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології розвиваються, найважливішою лінією оборони завжди буде: інкорпорувати усвідомлення безпеки в звичку, встановити вічний баланс між довірою та перевіркою. Адже в світі Блокчейн, де код — це закон, кожен клік, кожна транзакція назавжди записуються в світі ланцюга і не можуть бути змінені.