Nuevas amenazas de seguridad en la cadena de bloques: los contratos inteligentes se convierten en herramientas de fraude, análisis completo de estrategias de prevención.
Activos Cripto y seguridad en la Cadena de bloques: Nuevas amenazas y estrategias de prevención
La encriptación y la tecnología de la Cadena de bloques están reformulando el concepto de libertad financiera, pero esta revolución también ha traído nuevos desafíos de seguridad. A diferencia de los ataques de vulnerabilidades tecnológicas tradicionales, los estafadores de hoy están convirtiendo astutamente los propios protocolos de contratos inteligentes de la Cadena de bloques en herramientas de ataque. Ellos utilizan la transparencia e irreversibilidad de la Cadena de bloques, combinadas con trampas de ingeniería social cuidadosamente diseñadas, para transformar la confianza de los usuarios en herramientas de robo de activos.
Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos métodos de ataque son no solo difíciles de detectar, sino que también tienen una gran capacidad de engaño debido a su apariencia "legalizada". Este artículo analizará casos reales para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y proporcionará soluciones integrales que van desde la protección técnica hasta la prevención conductual, ayudando a los usuarios a avanzar de manera segura en un mundo descentralizado.
Uno, ¿cómo se convierte un protocolo en una herramienta de fraude?
El protocolo de cadena de bloques fue diseñado para garantizar la seguridad y la confianza, pero los estafadores han aprovechado astutamente sus características, combinándolas con la negligencia del usuario, creando así múltiples formas encubiertas de ataque. A continuación se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contrato inteligente malicioso
Principio Técnico:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos de finanzas descentralizadas (DeFi), donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.
Forma de operar:
Los estafadores crean una aplicación descentralizada (DApp) que se disfraza como un proyecto legítimo, a menudo promovida a través de sitios web de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que superficialmente parece autorizar una pequeña cantidad de moneda, pero en realidad puede ser un límite ilimitado (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permisos y puede invocar la función "TransferFrom" en cualquier momento, extrayendo todas las monedas correspondientes de la billetera del usuario.
Caso:
A principios de 2023, un sitio web de phishing disfrazado de una actualización de cierto DEX causó que cientos de usuarios perdieran millones de dólares en monedas estables y Activos Cripto de uso común. Los datos en la cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas ni siquiera pudieron recuperar su dinero a través de medios legales, ya que la autorización fue firmada de manera voluntaria.
(2) firma de phishing
Principios técnicos:
Las transacciones en la Cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para demostrar la legalidad de la transacción. Normalmente, la billetera mostrará una solicitud de firma, y después de la confirmación del usuario, la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar:
El usuario recibe un correo electrónico o un mensaje de comunicación instantánea disfrazado como una notificación oficial, por ejemplo, "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que solicita conectar su billetera y firmar una "transacción de verificación". Esta transacción en realidad podría estar llamando a la función "Transfer", trasladando directamente los activos cripto de la billetera a la dirección del estafador; o podría ser una operación "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.
Caso:
Una comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, donde varios usuarios perdieron NFT por un valor de millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes utilizaron el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico:
La apertura de la Cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección, incluso si el destinatario no lo solicita activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de Activos Cripto a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla con la persona o empresa que posee la billetera.
Forma de operar:
Los atacantes primero envían "polvo" - enviando pequeñas cantidades de Activos Cripto a diferentes direcciones, y luego intentan analizar qué direcciones pertenecen a la misma billetera. A continuación, los atacantes utilizan esta información para llevar a cabo ataques de phishing o amenazas contra la víctima.
En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye a las billeteras de los usuarios en forma de airdrop, y estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para obtener más detalles. Cuando los usuarios desean canjear estos tokens, los atacantes pueden acceder a la billetera del usuario a través de la dirección del contrato acompañante de los tokens. Aún más encubierto, el ataque de polvo utiliza ingeniería social, analiza las transacciones posteriores del usuario y localiza las direcciones de billetera activas del usuario, lo que permite llevar a cabo estafas más precisas.
Caso:
En la red de Ethereum, se produjo un ataque de polvo de "token GAS", que afectó a miles de carteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estas estafas se debe en gran medida a que se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. Las principales razones incluyen:
Complejidad técnica: El código de los contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Aprobar" puede mostrarse como datos hexadecimales complejos, y el usuario no puede juzgar intuitivamente su significado.
Legalidad en la cadena: Todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma solo después, momento en el que los activos ya no se pueden recuperar.
Ingeniería social: Los estafadores aprovechan las debilidades humanas, como la codicia ("recibe grandes monedas gratis"), el miedo ("se requiere verificación debido a actividad anormal en la cuenta") o la confianza (suplantándose como servicio al cliente oficial).
Disfraz sofisticado: Los sitios web de phishing pueden usar URLs que son extremadamente similares al nombre de dominio oficial, e incluso aumentar su credibilidad mediante certificados HTTPS.
Tres, ¿cómo proteger su billetera de Activos Cripto?
Frente a estas estafas que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples niveles. A continuación se presentan medidas preventivas detalladas:
Revisar y gestionar permisos de autorización
Utiliza la herramienta de verificación de autorizaciones del explorador de bloques para revisar el historial de autorizaciones de la moneda.
Revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Antes de cada autorización, asegúrate de que el DApp provenga de una fuente confiable.
Verifica el valor de "Allowance"; si es "ilimitado" (por ejemplo, 2^256-1), debe ser revocado de inmediato.
Verificar enlace y origen
Introduzca manualmente la URL oficial, evite hacer clic en enlaces de redes sociales o correos electrónicos.
Asegúrate de que el sitio web utilice el nombre de dominio correcto y un certificado SSL (ícono de candado verde).
Tenga cuidado con los errores de ortografía o caracteres adicionales en el nombre de dominio.
utiliza billetera fría y firma múltiple
Almacene la mayor parte de sus activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
Para activos de gran valor, utilice herramientas de firma múltiple que requieran la confirmación de varias claves para realizar transacciones, reduciendo el riesgo de errores de un solo punto.
Incluso si la billetera caliente es comprometida, los activos en almacenamiento frío siguen siendo seguros.
Maneje con precaución las solicitudes de firma
Lee detenidamente los detalles de la transacción en la ventana emergente de la billetera cada vez que firmes.
Utilice la función "decodificar datos de entrada" del explorador de la cadena de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
Crear una billetera independiente para operaciones de alto riesgo, almacenando una pequeña cantidad de activos.
respuesta a ataques de polvo
Después de recibir tokens desconocidos, no interactúe. Márquelos como "basura" o ocultarlos.
Confirma la fuente del token a través del explorador de la cadena de bloques, si es un envío masivo, ten mucha precaución.
Evitar publicar la dirección de la billetera, o usar una nueva dirección para realizar operaciones sensibles.
Conclusión
La implementación de las medidas de seguridad mencionadas puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado, pero la verdadera seguridad no depende únicamente de la tecnología. Cuando los dispositivos de billetera de hardware construyen una línea de defensa física y la firma múltiple distribuye el riesgo, la comprensión del usuario sobre la lógica de autorización y la cautela en sus acciones en la cadena son el último bastión contra los ataques. Cada análisis de datos antes de firmar, cada revisión de permisos después de la autorización, es un juramento a su soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como un hábito, estableciendo un equilibrio entre la confianza y la verificación. En el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente e inalterable. Por lo tanto, es crucial mantenerse alerta y actuar con precaución.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
7
Compartir
Comentar
0/400
GasFeeBarbecue
· 07-21 19:03
tontos门特烦这种 trampa了
Ver originalesResponder0
MEVSandwichVictim
· 07-21 05:16
Otra vez Ser engañados.
Ver originalesResponder0
LeekCutter
· 07-18 21:47
tontos nacen para ser tomados por tontos
Ver originalesResponder0
GateUser-2fce706c
· 07-18 21:38
Ya se ha dicho que el camino de la cadena de bloques está lleno de peligros. Mira ahora el campo de tontos que están siendo tomados por tontos.
Ver originalesResponder0
PensionDestroyer
· 07-18 21:31
Rug Pull fue la única verdad
Ver originalesResponder0
GasGrillMaster
· 07-18 21:31
Les aconsejo a todos que no toquen los contratos inteligentes, ¿han perdido?
Ver originalesResponder0
SignatureVerifier
· 07-18 21:19
técnicamente hablando... otro caso de protocolos de validación insuficientes smh. ¿cuándo aprenderán a implementar auditorías de seguridad adecuadas?
Nuevas amenazas de seguridad en la cadena de bloques: los contratos inteligentes se convierten en herramientas de fraude, análisis completo de estrategias de prevención.
Activos Cripto y seguridad en la Cadena de bloques: Nuevas amenazas y estrategias de prevención
La encriptación y la tecnología de la Cadena de bloques están reformulando el concepto de libertad financiera, pero esta revolución también ha traído nuevos desafíos de seguridad. A diferencia de los ataques de vulnerabilidades tecnológicas tradicionales, los estafadores de hoy están convirtiendo astutamente los propios protocolos de contratos inteligentes de la Cadena de bloques en herramientas de ataque. Ellos utilizan la transparencia e irreversibilidad de la Cadena de bloques, combinadas con trampas de ingeniería social cuidadosamente diseñadas, para transformar la confianza de los usuarios en herramientas de robo de activos.
Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos métodos de ataque son no solo difíciles de detectar, sino que también tienen una gran capacidad de engaño debido a su apariencia "legalizada". Este artículo analizará casos reales para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y proporcionará soluciones integrales que van desde la protección técnica hasta la prevención conductual, ayudando a los usuarios a avanzar de manera segura en un mundo descentralizado.
Uno, ¿cómo se convierte un protocolo en una herramienta de fraude?
El protocolo de cadena de bloques fue diseñado para garantizar la seguridad y la confianza, pero los estafadores han aprovechado astutamente sus características, combinándolas con la negligencia del usuario, creando así múltiples formas encubiertas de ataque. A continuación se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contrato inteligente malicioso
Principio Técnico: En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos de finanzas descentralizadas (DeFi), donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.
Forma de operar: Los estafadores crean una aplicación descentralizada (DApp) que se disfraza como un proyecto legítimo, a menudo promovida a través de sitios web de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que superficialmente parece autorizar una pequeña cantidad de moneda, pero en realidad puede ser un límite ilimitado (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permisos y puede invocar la función "TransferFrom" en cualquier momento, extrayendo todas las monedas correspondientes de la billetera del usuario.
Caso: A principios de 2023, un sitio web de phishing disfrazado de una actualización de cierto DEX causó que cientos de usuarios perdieran millones de dólares en monedas estables y Activos Cripto de uso común. Los datos en la cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas ni siquiera pudieron recuperar su dinero a través de medios legales, ya que la autorización fue firmada de manera voluntaria.
(2) firma de phishing
Principios técnicos: Las transacciones en la Cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para demostrar la legalidad de la transacción. Normalmente, la billetera mostrará una solicitud de firma, y después de la confirmación del usuario, la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar: El usuario recibe un correo electrónico o un mensaje de comunicación instantánea disfrazado como una notificación oficial, por ejemplo, "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que solicita conectar su billetera y firmar una "transacción de verificación". Esta transacción en realidad podría estar llamando a la función "Transfer", trasladando directamente los activos cripto de la billetera a la dirección del estafador; o podría ser una operación "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.
Caso: Una comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, donde varios usuarios perdieron NFT por un valor de millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes utilizaron el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico: La apertura de la Cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección, incluso si el destinatario no lo solicita activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de Activos Cripto a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla con la persona o empresa que posee la billetera.
Forma de operar: Los atacantes primero envían "polvo" - enviando pequeñas cantidades de Activos Cripto a diferentes direcciones, y luego intentan analizar qué direcciones pertenecen a la misma billetera. A continuación, los atacantes utilizan esta información para llevar a cabo ataques de phishing o amenazas contra la víctima.
En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye a las billeteras de los usuarios en forma de airdrop, y estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para obtener más detalles. Cuando los usuarios desean canjear estos tokens, los atacantes pueden acceder a la billetera del usuario a través de la dirección del contrato acompañante de los tokens. Aún más encubierto, el ataque de polvo utiliza ingeniería social, analiza las transacciones posteriores del usuario y localiza las direcciones de billetera activas del usuario, lo que permite llevar a cabo estafas más precisas.
Caso: En la red de Ethereum, se produjo un ataque de polvo de "token GAS", que afectó a miles de carteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estas estafas se debe en gran medida a que se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. Las principales razones incluyen:
Complejidad técnica: El código de los contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Aprobar" puede mostrarse como datos hexadecimales complejos, y el usuario no puede juzgar intuitivamente su significado.
Legalidad en la cadena: Todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma solo después, momento en el que los activos ya no se pueden recuperar.
Ingeniería social: Los estafadores aprovechan las debilidades humanas, como la codicia ("recibe grandes monedas gratis"), el miedo ("se requiere verificación debido a actividad anormal en la cuenta") o la confianza (suplantándose como servicio al cliente oficial).
Disfraz sofisticado: Los sitios web de phishing pueden usar URLs que son extremadamente similares al nombre de dominio oficial, e incluso aumentar su credibilidad mediante certificados HTTPS.
Tres, ¿cómo proteger su billetera de Activos Cripto?
Frente a estas estafas que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples niveles. A continuación se presentan medidas preventivas detalladas:
Revisar y gestionar permisos de autorización
Verificar enlace y origen
utiliza billetera fría y firma múltiple
Maneje con precaución las solicitudes de firma
respuesta a ataques de polvo
Conclusión
La implementación de las medidas de seguridad mencionadas puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado, pero la verdadera seguridad no depende únicamente de la tecnología. Cuando los dispositivos de billetera de hardware construyen una línea de defensa física y la firma múltiple distribuye el riesgo, la comprensión del usuario sobre la lógica de autorización y la cautela en sus acciones en la cadena son el último bastión contra los ataques. Cada análisis de datos antes de firmar, cada revisión de permisos después de la autorización, es un juramento a su soberanía digital.
En el futuro, independientemente de cómo evolucione la tecnología, la defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como un hábito, estableciendo un equilibrio entre la confianza y la verificación. En el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente e inalterable. Por lo tanto, es crucial mantenerse alerta y actuar con precaución.