Блокчейн світу приховані загрози: аналіз та запобігання шахрайствам зі смартконтрактами

Криптовалюти та технології блокчейн переосмислюють фінансову сферу, але разом із цим виникає новий тип загрози. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі протоколи смартконтрактів на інструменти атаки. Завдяки ретельно спланованим соціальним інженерним пасткам вони використовують прозорість і незворотність блокчейну, перетворюючи довіру користувачів на засоби крадіжки активів. Від підроблених смартконтрактів до маніпуляцій з міжланцюговими транзакціями, ці атаки не тільки приховані та важко відстежуються, але й мають ще більшу обманливість завдяки своїй "легітимній" зовнішності. Ця стаття проаналізує приклади, щоб показати, як шахраї перетворюють протоколи на носії атак, та надасть комплексне рішення від технічного захисту до поведінкових запобіжних заходів, щоб допомогти користувачам безпечно просуватися в децентралізованому світі.

Один. Як легальна угода перетворюється на інструмент шахрайства?

Блокчейн протокол спочатку був розроблений для забезпечення безпеки та довіри, але шахраї використовують його особливості, поєднуючи їх з недбалістю користувачів, щоб створити різні приховані способи атаки. Ось деякі поширені методи та їх технічні деталі:

(1) Шкідливе смартконтрактне授权

Технологічний принцип: На Блокчейнах, таких як ефір, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай смартконтракт) витягувати з їхнього гаманця вказану кількість токенів. Ця функція широко використовується в DeFi-протоколах, де користувачі повинні уповноважити смартконтракт для виконання транзакцій, стейкінгу або ліквідного видобутку. Однак шахраї використовують цю механіку для створення шкідливих контрактів.

Спосіб роботи: Шахраї створюють DApp, що маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на перший погляд є наданням дозволу на невелику кількість токенів, але насправді може бути безмежним обсягом (значення uint256.max). Як тільки дозвіл надано, адреса контракту шахраїв отримує права і може в будь-який час викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.

Справжній випадок: На початку 2023 року фішинг-сайт, замаскований під "оновлення певного DEX", призвів до втрат сотень користувачів на мільйони доларів у USDT та ETH. Дані на блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, жертви навіть не можуть повернути свої кошти через суд, оскільки авторизація була підписана добровільно.

(2) Підписування фішингу

Технічний принцип: Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб підтвердити легітимність транзакції. Гаманець зазвичай висвічує запит на підпис, і після підтвердження користувача, транзакція транслюється в мережу. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.

Спосіб роботи: Користувач отримує лист, що маскується під офіційне повідомлення, або соціальне повідомлення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, підтвердіть гаманець". Після натискання на посилання користувача перенаправляють на шкідливий вебсайт, де його просять підключити гаманець і підписати "транзакцію підтвердження". Ця транзакція насправді може викликати функцію "Transfer", що безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", яка надає шахраям контроль над колекцією NFT користувача.

Реальний випадок: Відомий NFT проект став жертвою фішингової атаки з підписами, внаслідок чого кілька користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених "транзакцій для отримання аірдропу". Зловмисники використали стандарт підпису EIP-712, підробивши запити, які виглядали безпечними.

(3) Фальшиві токени та "атакa пилу"

Технічний принцип: Відкритість Блокчейн дозволяє будь-кому відправляти токени на будь-яку адресу, навіть якщо отримувач не надіслав запит. Шахраї використовують це, відправляючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов'язувати її з особами або компаніями, які володіють цими гаманцями.

Спосіб роботи: У більшості випадків, "пил" для атак пилу надається у вигляді аірдропу на гаманці користувачів, ці токени можуть мати назву або метадані (такі як "FREE_AIRDROP"), спонукаючи користувачів відвідати певний веб-сайт для отримання деталей. Користувачі зазвичай хочуть обміняти ці токени, і тоді зловмисники можуть отримати доступ до гаманця користувачів через адресу контракту, що супроводжує токени. Приховано, атаки пилу здійснюються через соціальну інженерію, аналізуючи наступні транзакції користувачів, фіксуючи активні адреси гаманців, щоб реалізувати більш точне шахрайство.

Реальний випадок: Атака "пилу" GAS-токенів, що виникла в мережі Ethereum, вплинула на тисячі гаманців. Деякі користувачі втратили ETH та токени ERC-20 через цікавість до взаємодії.

Два, чому ці шахрайства важко виявити?

Ці шахрайства стали успішними, в значній мірі, тому що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їх злісну природу. Ось кілька ключових причин:

• Технічна складність: Код смартконтрактів та запити на підпис складні для розуміння нетехнічними користувачами. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані на кшталт "0x095ea7b3...", і користувач не може інтуїтивно зрозуміти його значення.

• Законність на ланцюгу: всі угоди записуються на Блокчейн, здається прозорими, але жертви часто усвідомлюють наслідки авторизації або підпису лише пізніше, коли активи вже неможливо повернути.

• Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність ("отримати безкоштовно 1000 доларів токенів"), страх ("необхідна перевірка аномалій у рахунку") або довіру (маскуються під службу підтримки).

• Витончена маскування: фішингові сайти можуть використовувати URL-адреси, схожі на офіційні домени, навіть збільшуючи довіру через HTTPS-сертифікати.

Три, як захистити свій криптовалютний гаманець?

Зіткнувшись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії. Ось детальні заходи запобігання:

перевірка та управління правами доступу

• Інструменти: використовуйте перевірник авторизацій блокчейн-браузера або спеціальний інструмент для відкликання, щоб перевірити записи авторизацій гаманця.
• Дії: регулярно скасовуйте непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес. Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.
• Технічні деталі: перевірте значення "Allowance"; якщо воно "нескінченне" (наприклад, 2^256-1), його слід негайно скасувати.

перевірте посилання та джерело

• Метод: вручну введіть офіційний URL, уникайте натискання на посилання в соціальних мережах або електронних листах.
• Перевірка: переконайтесь, що веб-сайт використовує правильне ім'я домену та SSL-сертифікат (зелена іконка замка). Будьте обережні щодо помилок у написанні чи зайвих символів.
• Приклад: якщо ви отримали модифікацію з офіційного сайту (наприклад, з додаванням додаткових символів), відразу підозрійте в її достовірності.

Використання холодного гаманця та мультипідпису

• Холодний гаманець: зберігайте більшість активів у апаратному гаманці, підключаючи до мережі лише за необхідності.
• Багатопідпис: для великих активів використовуйте багатопідписний інструмент, що вимагає підтвердження транзакції кількома ключами, зменшуючи ризик одноточкової помилки.
• Перевага: навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.

Обережно обробляйте запити на підпис

• Кроки: щоразу підписуючи, уважно читайте деталі транзакції у спливаючому вікні гаманця. Деякі гаманці відображатимуть поле "Дані", якщо воно містить невідомі функції (такі як "TransferFrom"), відмовтеся від підписання.
• Інструменти: Використовуйте функцію "Decode Input Data" блокчейн-браузера для розшифровки підписаного вмісту або зверніться до технічного експерта.
• Рекомендація: створіть окремий гаманець для високоризикових операцій, зберігайте невелику кількість активів.

реагування на атаки пилу

• Стратегія: після отримання невідомих токенів не взаємодіяти. Позначте їх як "сміття" або приховайте.
• Перевірка: за допомогою Блокчейн браузера підтвердьте джерело токена, якщо це масова розсилка, будьте дуже обережні.
• Профілактика: уникайте публікації адреси гаманця або використовуйте нову адресу для виконання чутливих операцій.

Висновок

Завдяки впровадженню вищезгаданих заходів безпеки, звичайні користувачі можуть значно знизити ризик стати жертвою висококласних шахрайських схем, але справжня безпека зовсім не є односторонньою перемогою технологій. Коли апаратні гаманці створюють фізичну лінію оборони, а багатопідписові транзакції розподіляють ризики, лише розуміння користувачами логіки авторизації та обережність щодо їхніх дій в Блокчейн є останнім бастіоном проти атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації - це клятва на захист власного цифрового суверенітету.

У майбутньому, незалежно від того, як технології будуть ітеруватися, найголовніша лінія оборони завжди полягатиме в наступному: інтерналізувати усвідомлення безпеки як м’язову пам’ять, встановити вічну рівновагу між довірою та перевіркою. Адже в світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди фіксуються в ланцюзі, їх неможливо змінити.