Nouvelles menaces pour la sécurité de la Blockchain : les smart contracts deviennent des outils de fraude, analyse complète des stratégies de prévention.
Cryptoactifs et Blockchain sécurité : nouvelles menaces et stratégies de prévention
Les Cryptoactifs et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution a également apporté de nouveaux défis en matière de sécurité. Contrairement aux attaques de vulnérabilités techniques traditionnelles, les escrocs d'aujourd'hui transforment habilement les protocoles de contrats intelligents Blockchain eux-mêmes en outils d'attaque. Ils exploitent la transparence et l'irréversibilité de la Blockchain, combinées à des pièges d'ingénierie sociale soigneusement conçus, pour transformer la confiance des utilisateurs en outils de vol d'actifs.
Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces méthodes d'attaque sont non seulement discrètes et difficiles à détecter, mais possèdent également un fort pouvoir de tromperie en raison de leur apparence "légitimée". Cet article analysera des cas réels pour révéler comment les escrocs transforment les protocoles en vecteurs d'attaque, et proposera des solutions complètes allant de la protection technique à la prévention comportementale, afin d'aider les utilisateurs à avancer en toute sécurité dans un monde décentralisé.
I. Comment un protocole peut-il devenir un outil de fraude ?
Les protocoles Blockchain sont à l'origine conçus pour garantir la sécurité et la confiance, mais les escrocs exploitent habilement leurs caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques courantes et leurs détails techniques :
(1) autorisation de contrat intelligent malveillant
Principes techniques :
Sur des blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un contrat intelligent) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles de finance décentralisée (DeFi), où les utilisateurs doivent autoriser des contrats intelligents pour effectuer des transactions, du staking ou du minage de liquidités. Cependant, des fraudeurs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les escrocs créent une application décentralisée (DApp) qui se fait passer pour un projet légitime, généralement promue par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser une petite quantité de jetons, mais en réalité pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient l'autorisation d'appeler la fonction "TransferFrom" à tout moment pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Exemple :
Début 2023, un site de phishing déguisé en mise à niveau d'un certain DEX a entraîné la perte de millions de dollars en stablecoins et en cryptoactifs par des centaines d'utilisateurs. Les données en chaîne montrent que ces transactions sont entièrement conformes à la norme ERC-20, et les victimes ne peuvent même pas récupérer leurs fonds par des moyens juridiques, car l'autorisation a été signée volontairement.
(2) Signature de phishing
Principes techniques :
Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Le portefeuille affiche généralement une demande de signature, que l'utilisateur confirme, après quoi la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message de messagerie instantanée déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter le portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement les cryptoactifs du portefeuille vers l'adresse de l'escroc ; ou il pourrait s'agir d'une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection de NFT de l'utilisateur.
Exemple :
Une communauté d'un projet NFT bien connu a été victime d'une attaque par hameçonnage par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "réclamant des airdrops" falsifiées. Les attaquants ont profité de la norme de signature EIP-712 pour falsifier des demandes semblant sécurisées.
(3) jetons faux et "attaque par poussière"
Principes techniques :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les fraudeurs exploitent cela en envoyant une petite quantité de Cryptoactifs à plusieurs adresses de portefeuille, afin de suivre l'activité des portefeuilles et de la relier aux individus ou aux entreprises qui possèdent les portefeuilles.
Mode de fonctionnement :
L'attaquant envoie d'abord des "poussières" - en envoyant une petite quantité de cryptoactifs à différentes adresses, puis essaie d'analyser quelles adresses appartiennent au même portefeuille. Ensuite, l'attaquant utilise ces informations pour lancer des attaques de phishing ou des menaces contre la victime.
Dans la plupart des cas, la "poussière" utilisée dans les attaques par poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs, ces jetons pouvant avoir des noms ou des métadonnées attrayants, incitant les utilisateurs à visiter un certain site pour plus de détails. Lorsque les utilisateurs souhaitent encaisser ces jetons, les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse de contrat associée aux jetons. Plus insidieusement, les attaques par poussière utilisent l'ingénierie sociale pour analyser les transactions ultérieures des utilisateurs, ciblant ainsi les adresses de portefeuille actives des utilisateurs afin de mettre en œuvre des escroqueries plus précises.
Exemple :
Une attaque par "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 par curiosité.
Deux, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces arnaques réussissent en grande partie parce qu'elles se cachent derrière des mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Complexité technique : Le code des contrats intelligents et les demandes de signature sont obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous forme de données hexadécimales complexes, rendant difficile pour l'utilisateur de comprendre son sens.
Légalité en chaîne : Toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes prennent souvent conscience des conséquences de l'autorisation ou de la signature après coup, moment où les actifs sont déjà irrécupérables.
Ingénierie sociale : Les fraudeurs exploitent les faiblesses humaines, comme la cupidité ("recevoir gratuitement de gros jetons"), la peur ("anomalie de compte nécessitant une vérification") ou la confiance (se faisant passer pour le service client officiel).
Déguisement subtil : Les sites de phishing peuvent utiliser des URL très similaires à celles du domaine officiel, voire obtenir des certificats HTTPS pour accroître leur crédibilité.
Trois, comment protéger votre portefeuille de cryptoactifs ?
Face à ces arnaques qui mêlent techniques et guerre psychologique, la protection des actifs nécessite des stratégies multilevel. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Utiliser l'outil de vérification des autorisations du navigateur Blockchain pour vérifier les enregistrements d'autorisation du portefeuille.
Révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour des adresses inconnues.
Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Vérifiez la valeur "Allowance", si elle est "illimitée" (comme 2^256-1), elle doit être immédiatement révoquée.
Vérifiez le lien et la source
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL (icône de cadenas vert).
Méfiez-vous des fautes d'orthographe ou des caractères superflus dans les noms de domaine.
Utiliser un portefeuille froid et une signature multiple
Stockez la plupart de vos actifs dans un portefeuille matériel et ne connectez-le au réseau que lorsque c'est nécessaire.
Pour les actifs de grande valeur, utilisez des outils de multi-signature, exigeant la confirmation de la transaction par plusieurs clés, réduisant ainsi le risque d'erreur unique.
Même si le portefeuille chaud est compromis, les actifs en stockage à froid restent sécurisés.
Traitez les demandes de signature avec prudence
À chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utilisez la fonction "Décoder les données d'entrée" du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Créer un portefeuille indépendant pour les opérations à haut risque, en y stockant une petite quantité d'actifs.
faire face aux attaques de poussière
Après avoir reçu un jeton inconnu, ne pas interagir. Marquez-le comme "indésirable" ou cachez-le.
Confirmez la source du jeton via le navigateur Blockchain, soyez très vigilant en cas d'envoi en masse.
Évitez de rendre publique votre adresse de portefeuille, ou utilisez une nouvelle adresse pour des opérations sensibles.
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut réduire considérablement le risque de devenir victime de programmes de fraude avancés, mais la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels créent une barrière physique et que la signature multiple répartit les risques, la compréhension par l'utilisateur de la logique d'autorisation et la prudence concernant les comportements on-chain sont la dernière forteresse contre les attaques. Chaque analyse de données avant la signature et chaque examen des autorisations après l'autorisation sont un serment de la souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, établir un équilibre entre confiance et vérification. Dans le monde du Blockchain où le code est loi, chaque clic, chaque transaction est enregistré de manière permanente et ne peut être modifié. Par conséquent, il est crucial de rester vigilant et d'agir avec prudence.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
7
Partager
Commentaire
0/400
GasFeeBarbecue
· 07-21 19:03
Les pigeons sont vraiment agacés par ce genre de piège.
Voir l'originalRépondre0
MEVSandwichVictim
· 07-21 05:16
Encore se faire prendre pour des cons.
Voir l'originalRépondre0
LeekCutter
· 07-18 21:47
Les pigeons sont nés pour être pris pour des idiots.
Voir l'originalRépondre0
GateUser-2fce706c
· 07-18 21:38
J'ai déjà dit que le secteur du Blockchain est plein de dangers. Regardez maintenant le champ de pigeons.
Voir l'originalRépondre0
PensionDestroyer
· 07-18 21:31
Rug Pull est la seule vérité.
Voir l'originalRépondre0
GasGrillMaster
· 07-18 21:31
Je conseille à tout le monde de ne pas toucher aux smart contracts, vous allez y perdre.
Voir l'originalRépondre0
SignatureVerifier
· 07-18 21:19
techniquement parlant... un autre cas de protocoles de validation insuffisants smh. quand apprendront-ils à mettre en œuvre des audits de sécurité appropriés ?
Nouvelles menaces pour la sécurité de la Blockchain : les smart contracts deviennent des outils de fraude, analyse complète des stratégies de prévention.
Cryptoactifs et Blockchain sécurité : nouvelles menaces et stratégies de prévention
Les Cryptoactifs et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution a également apporté de nouveaux défis en matière de sécurité. Contrairement aux attaques de vulnérabilités techniques traditionnelles, les escrocs d'aujourd'hui transforment habilement les protocoles de contrats intelligents Blockchain eux-mêmes en outils d'attaque. Ils exploitent la transparence et l'irréversibilité de la Blockchain, combinées à des pièges d'ingénierie sociale soigneusement conçus, pour transformer la confiance des utilisateurs en outils de vol d'actifs.
Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces méthodes d'attaque sont non seulement discrètes et difficiles à détecter, mais possèdent également un fort pouvoir de tromperie en raison de leur apparence "légitimée". Cet article analysera des cas réels pour révéler comment les escrocs transforment les protocoles en vecteurs d'attaque, et proposera des solutions complètes allant de la protection technique à la prévention comportementale, afin d'aider les utilisateurs à avancer en toute sécurité dans un monde décentralisé.
I. Comment un protocole peut-il devenir un outil de fraude ?
Les protocoles Blockchain sont à l'origine conçus pour garantir la sécurité et la confiance, mais les escrocs exploitent habilement leurs caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques courantes et leurs détails techniques :
(1) autorisation de contrat intelligent malveillant
Principes techniques : Sur des blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un contrat intelligent) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles de finance décentralisée (DeFi), où les utilisateurs doivent autoriser des contrats intelligents pour effectuer des transactions, du staking ou du minage de liquidités. Cependant, des fraudeurs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement : Les escrocs créent une application décentralisée (DApp) qui se fait passer pour un projet légitime, généralement promue par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser une petite quantité de jetons, mais en réalité pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient l'autorisation d'appeler la fonction "TransferFrom" à tout moment pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Exemple : Début 2023, un site de phishing déguisé en mise à niveau d'un certain DEX a entraîné la perte de millions de dollars en stablecoins et en cryptoactifs par des centaines d'utilisateurs. Les données en chaîne montrent que ces transactions sont entièrement conformes à la norme ERC-20, et les victimes ne peuvent même pas récupérer leurs fonds par des moyens juridiques, car l'autorisation a été signée volontairement.
(2) Signature de phishing
Principes techniques : Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Le portefeuille affiche généralement une demande de signature, que l'utilisateur confirme, après quoi la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : L'utilisateur reçoit un e-mail ou un message de messagerie instantanée déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter le portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement les cryptoactifs du portefeuille vers l'adresse de l'escroc ; ou il pourrait s'agir d'une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection de NFT de l'utilisateur.
Exemple : Une communauté d'un projet NFT bien connu a été victime d'une attaque par hameçonnage par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "réclamant des airdrops" falsifiées. Les attaquants ont profité de la norme de signature EIP-712 pour falsifier des demandes semblant sécurisées.
(3) jetons faux et "attaque par poussière"
Principes techniques : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les fraudeurs exploitent cela en envoyant une petite quantité de Cryptoactifs à plusieurs adresses de portefeuille, afin de suivre l'activité des portefeuilles et de la relier aux individus ou aux entreprises qui possèdent les portefeuilles.
Mode de fonctionnement : L'attaquant envoie d'abord des "poussières" - en envoyant une petite quantité de cryptoactifs à différentes adresses, puis essaie d'analyser quelles adresses appartiennent au même portefeuille. Ensuite, l'attaquant utilise ces informations pour lancer des attaques de phishing ou des menaces contre la victime.
Dans la plupart des cas, la "poussière" utilisée dans les attaques par poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs, ces jetons pouvant avoir des noms ou des métadonnées attrayants, incitant les utilisateurs à visiter un certain site pour plus de détails. Lorsque les utilisateurs souhaitent encaisser ces jetons, les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse de contrat associée aux jetons. Plus insidieusement, les attaques par poussière utilisent l'ingénierie sociale pour analyser les transactions ultérieures des utilisateurs, ciblant ainsi les adresses de portefeuille actives des utilisateurs afin de mettre en œuvre des escroqueries plus précises.
Exemple : Une attaque par "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 par curiosité.
Deux, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces arnaques réussissent en grande partie parce qu'elles se cachent derrière des mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Complexité technique : Le code des contrats intelligents et les demandes de signature sont obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous forme de données hexadécimales complexes, rendant difficile pour l'utilisateur de comprendre son sens.
Légalité en chaîne : Toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes prennent souvent conscience des conséquences de l'autorisation ou de la signature après coup, moment où les actifs sont déjà irrécupérables.
Ingénierie sociale : Les fraudeurs exploitent les faiblesses humaines, comme la cupidité ("recevoir gratuitement de gros jetons"), la peur ("anomalie de compte nécessitant une vérification") ou la confiance (se faisant passer pour le service client officiel).
Déguisement subtil : Les sites de phishing peuvent utiliser des URL très similaires à celles du domaine officiel, voire obtenir des certificats HTTPS pour accroître leur crédibilité.
Trois, comment protéger votre portefeuille de cryptoactifs ?
Face à ces arnaques qui mêlent techniques et guerre psychologique, la protection des actifs nécessite des stratégies multilevel. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Vérifiez le lien et la source
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
faire face aux attaques de poussière
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut réduire considérablement le risque de devenir victime de programmes de fraude avancés, mais la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels créent une barrière physique et que la signature multiple répartit les risques, la compréhension par l'utilisateur de la logique d'autorisation et la prudence concernant les comportements on-chain sont la dernière forteresse contre les attaques. Chaque analyse de données avant la signature et chaque examen des autorisations après l'autorisation sont un serment de la souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, établir un équilibre entre confiance et vérification. Dans le monde du Blockchain où le code est loi, chaque clic, chaque transaction est enregistré de manière permanente et ne peut être modifié. Par conséquent, il est crucial de rester vigilant et d'agir avec prudence.