Ativos de criptografia e segurança do Blockchain: novas ameaças e estratégias de prevenção
Ativos de criptografia e tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas esta revolução também trouxe novos desafios de segurança. Diferente dos ataques tradicionais a falhas técnicas, os golpistas de hoje estão habilmente a transformar os próprios protocolos de contratos inteligentes da Blockchain em ferramentas de ataque. Eles utilizam a transparência e a irreversibilidade da Blockchain, combinadas com armadilhas de engenharia social cuidadosamente projetadas, para transformar a confiança dos usuários em ferramentas de roubo de ativos.
Desde contratos inteligentes falsificados até a manipulação de transações entre cadeias, esses métodos de ataque não só são encobertos e difíceis de rastrear, mas também são altamente enganosos devido à sua aparência "legalizada". Este artigo analisará casos reais, revelando como os golpistas transformam protocolos em veículos de ataque, e fornecerá soluções abrangentes que vão desde a proteção técnica até a prevenção comportamental, ajudando os usuários a avançar com segurança no mundo descentralizado.
I. Como os protocolos se tornam ferramentas de fraude?
O protocolo Blockchain foi projetado para garantir segurança e confiança, mas os golpistas conseguem habilmente utilizar suas características, combinadas com a negligência dos usuários, para criar várias formas ocultas de ataque. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização de contrato inteligente malicioso
Princípios técnicos:
No Blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem um terceiro (geralmente um contrato inteligente) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente usada em protocolos de Finanças Descentralizadas (DeFi), onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, os golpistas aproveitam esse mecanismo para projetar contratos maliciosos.
Modo de operação:
Os golpistas criam uma aplicação descentralizada (DApp) disfarçada de um projeto legítimo, geralmente promovida através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Aprovar", que aparentemente autoriza uma pequena quantidade de ativos de criptografia, mas na realidade pode ser um limite infinito (valor uint256.max). Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os ativos de criptografia correspondentes da carteira do usuário.
Caso:
No início de 2023, um site de phishing disfarçado como uma atualização de um DEX resultou na perda de milhões de dólares em stablecoins e ativos de criptografia populares para centenas de usuários. Os dados na blockchain mostram que essas transações estão totalmente em conformidade com o padrão ERC-20, e as vítimas nem conseguem recuperar seus fundos por meios legais, uma vez que a autorização foi assinada voluntariamente.
(2) assinatura de phishing
Princípio técnico:
As transações de Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legitimidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é divulgada na rede. Os golpistas exploram esse processo para falsificar pedidos de assinatura e roubar ativos.
Como funciona:
Os utilizadores recebem um e-mail ou mensagem de comunicação instantânea disfarçada como um aviso oficial, como "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a sua carteira". Ao clicar no link, os utilizadores são direcionados para um site malicioso, onde são solicitados a conectar a sua carteira e assinar uma "transação de verificação". Esta transação pode, na verdade, estar a chamar a função "Transfer", transferindo diretamente os Ativos de criptografia da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do utilizador.
Exemplo:
Uma comunidade de um conhecido projeto NFT foi alvo de um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações falsas de "recebimento de airdrop". Os atacantes exploraram o padrão de assinatura EIP-712, falsificando pedidos que pareciam seguros.
(3) Tokens falsos e "Ataques de poeira"
Princípio técnico:
A abertura do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de ativos de criptografia para vários endereços de carteira, a fim de rastrear as atividades da carteira e ligá-las a indivíduos ou empresas que possuem a carteira.
Modo de Operação:
O atacante primeiro envia "poeira" - enviando pequenas quantidades de ativos de criptografia para diferentes endereços, e depois tenta analisar quais endereços pertencem à mesma carteira. Em seguida, o atacante utiliza essas informações para lançar ataques de phishing ou ameaças contra a vítima.
Na maioria dos casos, o "pó" usado nos ataques de pó é distribuído para as carteiras dos usuários na forma de airdrops; esses tokens podem ter nomes ou metadados atraentes, induzindo os usuários a visitar um site para consultar detalhes. Quando os usuários desejam converter esses tokens, os atacantes podem acessar a carteira dos usuários através do endereço do contrato anexado aos tokens. Mais discretamente, os ataques de pó utilizam engenharia social para analisar as transações subsequentes dos usuários, bloqueando os endereços de carteira ativos dos usuários, a fim de implementar fraudes mais precisas.
Caso:
No network Ethereum, houve um ataque de poeira de "tokens GAS", que afetou milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de perceber?
Esses golpes são bem-sucedidos, em grande parte, porque se escondem nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. As principais razões incluem:
Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são obscuros para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais complexos, e o usuário não consegue avaliar intuitivamente seu significado.
Legalidade na Blockchain: Todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes percebem as consequências da autorização ou da assinatura apenas depois, e nesse momento os ativos já não podem ser recuperados.
Engenharia social: Os golpistas exploram as fraquezas humanas, como a ganância ("receber grandes quantidades de moeda gratuitamente"), o medo ("anomalias na conta precisam de verificação") ou a confiança (disfarçando-se como suporte oficial).
Disfarce elaborado: Sites de phishing podem usar URLs extremamente semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de ativos de criptografia?
Diante dessas fraudes que coexistem com questões técnicas e psicológicas, a proteção de ativos requer uma estratégia de múltiplas camadas. Abaixo estão as medidas preventivas detalhadas:
Verifique e gerencie as permissões de autorização
Utilize a ferramenta de verificação de autorização do explorador de Blockchain para verificar o registro de autorizações da carteira.
Revogar periodicamente autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Verifique o valor de "Allowance"; se for "ilimitado" (como 2^256-1), deve ser imediatamente revogado.
Verifique o link e a origem
Digite manualmente a URL oficial, evitando clicar em links de redes sociais ou e-mails.
Certifique-se de que o site utiliza o domínio correto e o certificado SSL (ícone de cadeado verde).
Esteja atento a erros de ortografia ou caracteres a mais em nomes de domínio.
usar uma carteira fria e assinatura múltipla
Armazenar a maior parte dos ativos em carteiras de hardware, conectando-se à rede apenas quando necessário.
Para ativos de grande valor, use ferramentas de múltiplas assinaturas, exigindo a confirmação de transações por várias chaves, reduzindo o risco de erro de ponto único.
Mesmo que a carteira quente seja comprometida, os ativos de armazenamento a frio permanecem seguros.
Trate com cautela os pedidos de assinatura
Antes de cada assinatura, leia atentamente os detalhes da transação na janela do carteira.
Utilize a funcionalidade "decodificar dados de entrada" do explorador de blockchain para analisar o conteúdo da assinatura, ou consulte um especialista técnico.
Criar uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
resposta a ataques de poeira
Após receber um token desconhecido, não interaja. Marque-o como "lixo" ou oculte-o.
Confirme a origem do token através do explorador de blockchain, se for um envio em massa, esteja em alta alerta.
Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Implementar as medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de esquemas de fraude avançados, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a múltipla assinatura dispersa o risco, a compreensão dos usuários sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são a última fortaleza contra ataques. Cada análise de dados antes da assinatura e cada revisão de permissões após a autorização são um juramento à sua própria soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais importante sempre estará em: internalizar a consciência de segurança como um hábito, estabelecendo um equilíbrio entre confiança e verificação. No mundo do blockchain onde o código é a lei, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Portanto, é crucial permanecer vigilante e agir com cautela.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
7
Compartilhar
Comentário
0/400
GasFeeBarbecue
· 11h atrás
idiotas门特烦这种 armadilha了
Ver originalResponder0
MEVSandwichVictim
· 07-21 05:16
Outra vez fui enganado por idiotas.
Ver originalResponder0
LeekCutter
· 07-18 21:47
idiotas天生就该被 fazer as pessoas de parvas
Ver originalResponder0
GateUser-2fce706c
· 07-18 21:38
Já disse que o setor de Blockchain é cheio de perigos. Veja agora o campo de colheita de idiotas.
Ver originalResponder0
PensionDestroyer
· 07-18 21:31
Puxar o tapete é a única verdade.
Ver originalResponder0
GasGrillMaster
· 07-18 21:31
Aconselho todos a não mexerem com contratos inteligentes, podem acabar por se prejudicar.
Ver originalResponder0
SignatureVerifier
· 07-18 21:19
tecnicamente falando... mais um caso de protocolos de validação insuficientes smh. quando aprenderão a implementar auditorias de segurança adequadas?
Blockchain segurança nova ameaça: contratos inteligentes se tornam ferramentas de fraude Estratégias de prevenção totalmente analisadas
Ativos de criptografia e segurança do Blockchain: novas ameaças e estratégias de prevenção
Ativos de criptografia e tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas esta revolução também trouxe novos desafios de segurança. Diferente dos ataques tradicionais a falhas técnicas, os golpistas de hoje estão habilmente a transformar os próprios protocolos de contratos inteligentes da Blockchain em ferramentas de ataque. Eles utilizam a transparência e a irreversibilidade da Blockchain, combinadas com armadilhas de engenharia social cuidadosamente projetadas, para transformar a confiança dos usuários em ferramentas de roubo de ativos.
Desde contratos inteligentes falsificados até a manipulação de transações entre cadeias, esses métodos de ataque não só são encobertos e difíceis de rastrear, mas também são altamente enganosos devido à sua aparência "legalizada". Este artigo analisará casos reais, revelando como os golpistas transformam protocolos em veículos de ataque, e fornecerá soluções abrangentes que vão desde a proteção técnica até a prevenção comportamental, ajudando os usuários a avançar com segurança no mundo descentralizado.
I. Como os protocolos se tornam ferramentas de fraude?
O protocolo Blockchain foi projetado para garantir segurança e confiança, mas os golpistas conseguem habilmente utilizar suas características, combinadas com a negligência dos usuários, para criar várias formas ocultas de ataque. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização de contrato inteligente malicioso
Princípios técnicos: No Blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem um terceiro (geralmente um contrato inteligente) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente usada em protocolos de Finanças Descentralizadas (DeFi), onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, os golpistas aproveitam esse mecanismo para projetar contratos maliciosos.
Modo de operação: Os golpistas criam uma aplicação descentralizada (DApp) disfarçada de um projeto legítimo, geralmente promovida através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Aprovar", que aparentemente autoriza uma pequena quantidade de ativos de criptografia, mas na realidade pode ser um limite infinito (valor uint256.max). Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os ativos de criptografia correspondentes da carteira do usuário.
Caso: No início de 2023, um site de phishing disfarçado como uma atualização de um DEX resultou na perda de milhões de dólares em stablecoins e ativos de criptografia populares para centenas de usuários. Os dados na blockchain mostram que essas transações estão totalmente em conformidade com o padrão ERC-20, e as vítimas nem conseguem recuperar seus fundos por meios legais, uma vez que a autorização foi assinada voluntariamente.
(2) assinatura de phishing
Princípio técnico: As transações de Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legitimidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é divulgada na rede. Os golpistas exploram esse processo para falsificar pedidos de assinatura e roubar ativos.
Como funciona: Os utilizadores recebem um e-mail ou mensagem de comunicação instantânea disfarçada como um aviso oficial, como "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a sua carteira". Ao clicar no link, os utilizadores são direcionados para um site malicioso, onde são solicitados a conectar a sua carteira e assinar uma "transação de verificação". Esta transação pode, na verdade, estar a chamar a função "Transfer", transferindo diretamente os Ativos de criptografia da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do utilizador.
Exemplo: Uma comunidade de um conhecido projeto NFT foi alvo de um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações falsas de "recebimento de airdrop". Os atacantes exploraram o padrão de assinatura EIP-712, falsificando pedidos que pareciam seguros.
(3) Tokens falsos e "Ataques de poeira"
Princípio técnico: A abertura do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de ativos de criptografia para vários endereços de carteira, a fim de rastrear as atividades da carteira e ligá-las a indivíduos ou empresas que possuem a carteira.
Modo de Operação: O atacante primeiro envia "poeira" - enviando pequenas quantidades de ativos de criptografia para diferentes endereços, e depois tenta analisar quais endereços pertencem à mesma carteira. Em seguida, o atacante utiliza essas informações para lançar ataques de phishing ou ameaças contra a vítima.
Na maioria dos casos, o "pó" usado nos ataques de pó é distribuído para as carteiras dos usuários na forma de airdrops; esses tokens podem ter nomes ou metadados atraentes, induzindo os usuários a visitar um site para consultar detalhes. Quando os usuários desejam converter esses tokens, os atacantes podem acessar a carteira dos usuários através do endereço do contrato anexado aos tokens. Mais discretamente, os ataques de pó utilizam engenharia social para analisar as transações subsequentes dos usuários, bloqueando os endereços de carteira ativos dos usuários, a fim de implementar fraudes mais precisas.
Caso: No network Ethereum, houve um ataque de poeira de "tokens GAS", que afetou milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de perceber?
Esses golpes são bem-sucedidos, em grande parte, porque se escondem nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. As principais razões incluem:
Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são obscuros para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais complexos, e o usuário não consegue avaliar intuitivamente seu significado.
Legalidade na Blockchain: Todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes percebem as consequências da autorização ou da assinatura apenas depois, e nesse momento os ativos já não podem ser recuperados.
Engenharia social: Os golpistas exploram as fraquezas humanas, como a ganância ("receber grandes quantidades de moeda gratuitamente"), o medo ("anomalias na conta precisam de verificação") ou a confiança (disfarçando-se como suporte oficial).
Disfarce elaborado: Sites de phishing podem usar URLs extremamente semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de ativos de criptografia?
Diante dessas fraudes que coexistem com questões técnicas e psicológicas, a proteção de ativos requer uma estratégia de múltiplas camadas. Abaixo estão as medidas preventivas detalhadas:
Verifique e gerencie as permissões de autorização
Verifique o link e a origem
usar uma carteira fria e assinatura múltipla
Trate com cautela os pedidos de assinatura
resposta a ataques de poeira
Conclusão
Implementar as medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de esquemas de fraude avançados, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a múltipla assinatura dispersa o risco, a compreensão dos usuários sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são a última fortaleza contra ataques. Cada análise de dados antes da assinatura e cada revisão de permissões após a autorização são um juramento à sua própria soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais importante sempre estará em: internalizar a consciência de segurança como um hábito, estabelecendo um equilíbrio entre confiança e verificação. No mundo do blockchain onde o código é a lei, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Portanto, é crucial permanecer vigilante e agir com cautela.