Криптоактивы и безопасность Блокчейн: новые угрозы и стратегии защиты
Криптоактивы и технологии Блокчейн меняют концепцию финансовой свободы, но эта революция также принесла новые проблемы безопасности. В отличие от традиционных атак на уязвимости технологий, современные мошенники хитро превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. Они используют прозрачность и необратимость Блокчейн, сочетая это с тщательно продуманными ловушками социальной инженерии, превращая доверие пользователей в инструмент кражи активов.
От подделки смарт-контрактов до манипуляции кросс-цепочными транзакциями, эти способы атак не только скрытны и трудны для обнаружения, но также обладают высокой степенью обмана благодаря своему "легитимному" виду. В этой статье мы проанализируем реальные случаи, чтобы показать, как мошенники превращают протоколы в средства атаки, и предложим комплексные решения от технической защиты до поведенческой профилактики, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как протокол может стать инструментом мошенничества?
Протокол Блокчейн был разработан для обеспечения безопасности и доверия, но мошенники ловко используют его особенности, сочетая их с неосторожностью пользователей, чтобы создать множество скрытых методов атаки. Ниже приведены несколько распространенных приемов и их технические детали:
(1) Злоумышленное разрешение на смарт-контракт
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токена ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьи стороны (обычно смарт-контракты) извлекать определенное количество токенов из их кошельков. Эта функция широко используется в протоколах децентрализованных финансов (DeFi), где пользователи должны уполномочить смарт-контракты для завершения транзакций, стекинга или ликвидного майнинга. Однако мошенники используют этот механизм для создания злонамеренных контрактов.
Способ работы:
Мошенники создают децентрализованное приложение (DApp), маскирующееся под легитимный проект, часто продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошельки и их подталкивают нажать "Approve", что на поверхности выглядит как разрешение на небольшое количество токенов, на самом деле это может быть безлимитный лимит (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает доступ и может в любое время вызвать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Пример:
В начале 2023 года фишинговый сайт, замаскированный под обновление одного из DEX, привел к потере миллионов долларов в стейблкоинах и основных криптоактивах для сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические меры, поскольку авторизация была добровольно подписана.
(2) Подписанный фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы:
Пользователь получает электронное письмо или сообщение в мессенджере, замаскированное под официальное уведомление, например, "Ваш NFT airdrop готов к получению, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, который требует подключить кошелек и подписать сделку "проверки транзакции". Эта сделка на самом деле может вызывать функцию "Transfer", которая напрямую переводит шифрованные активы из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", предоставляющая мошеннику контроль над коллекцией NFT пользователя.
Пример:
Некоторые известные сообщества NFT-проектов подверглись атакам фишинга через подпись, в результате чего несколько пользователей потеряли NFT на сумму в несколько миллионов долларов из-за подписания поддельных транзакций "получения airdrop". Нападающие использовали стандарт подписи EIP-712, подделывая казалось бы безопасные запросы.
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это активно. Мошенники используют это, отправляя небольшие количества Криптоактивов на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками.
Способ работы:
Атакующий сначала отправляет "пыль" — отправляет небольшое количество криптоактивов на разные адреса, а затем пытается проанализировать, какие адреса принадлежат одному и тому же кошельку. Затем атакующий использует эту информацию для проведения фишинг-атак или угроз против жертвы.
В большинстве случаев "пыль", используемая в атаках с пылью, распределяется в виде аирдропов на кошельки пользователей. Эти токены могут иметь привлекательные названия или метаданные, которые побуждают пользователей посетить определенный веб-сайт для получения подробной информации. Когда пользователи хотят конвертировать эти токены, злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прикрепленный к токену. Более скрытым является то, что атаки с пылью используют социальную инженерию, анализируя последующие транзакции пользователей, чтобы зафиксировать активные адреса кошельков пользователей и, таким образом, осуществлять более точные мошенничества.
Пример:
На сети Эфириума произошла атака "пылевых токенов GAS", затронувшая тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и токены ERC-20.
Два, почему эти мошенничества трудно заметить?
Эти мошенничества успешны в значительной степени потому, что они скрыты в легитимных механизмах Блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть трудными для понимания для нетехнических пользователей. Например, запрос "Approve" может отображаться как сложные шестнадцатеричные данные, и пользователи не могут интуитивно понять его значение.
Законность в Блокчейне: Все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, и в это время активы уже невозможно вернуть.
Социальная инженерия: Мошенники используют слабости человеческой натуры, такие как жадность ("получите большие токены бесплатно"), страх ("необходима проверка из-за аномалий в аккаунте") или доверие (выдавая себя за официальную службу поддержки).
Искусное маскировка: Фишинговые сайты могут использовать URL, которые очень похожи на официальный домен, и даже повышать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш кошелек для криптоактивов?
Столкнувшись с этими мошенничествами, сочетающими в себе технические и психологические войны, защита активов требует многослойной стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями доступа
Используйте инструмент проверки авторизации блокчейн-обозревателя для проверки записей авторизации кошелька.
Регулярно отменяйте ненужные полномочия, особенно безлимитные полномочия для неизвестных адресов.
Перед каждым авторизацией убедитесь, что DApp поступает из надежного источника.
Проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно аннулировать.
Проверьте ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый значок замка).
Будьте осторожны с ошибками в написании или лишними символами в доменных именах.
Использование холодного кошелька и мультиподписи
Храните большую часть активов в аппаратных кошельках и подключайте сеть только при необходимости.
Для крупных активов используйте инструменты многоподписей, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск ошибок в одной точке.
Даже если горячий кошелек будет взломан, активы в холодном хранилище останутся в безопасности.
Будьте осторожны при обработке запросов на подпись
При каждом подписании внимательно читайте детали сделки в всплывающем окне кошелька.
Используйте функцию "Декодировать входные данные" в блокчейн-браузере для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Создайте отдельный кошелек для высокорисковых операций и храните там небольшое количество активов.
Ответ на атаки пыли
После получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "спам" или скройте.
Подтвердите источник токена через Блокчейн браузер, если это массовая отправка, будьте очень осторожны.
Избегайте публичного размещения адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Реализация вышеуказанных мер безопасности может значительно снизить риск стать жертвой высококлассной мошеннической схемы, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осмотрительность в поведении на Блокчейне становятся последней крепостью в защите от атак. Каждая интерпретация данных перед подписью, каждая проверка полномочий после авторизации — это клятва в отношении собственного цифрового суверенитета.
В будущем, независимо от того, как будет меняться технология, самая важная линия защиты всегда будет заключаться в том, чтобы внутренне усвоить осознание безопасности и установить баланс между доверием и проверкой. В мире Блокчейн, где код является законом, каждое нажатие, каждая транзакция навсегда записываются и не подлежат изменению. Поэтому крайне важно оставаться настороженным и действовать осторожно.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
7
Поделиться
комментарий
0/400
GasFeeBarbecue
· 07-21 19:03
неудачники门特烦这种 ловушка了
Посмотреть ОригиналОтветить0
MEVSandwichVictim
· 07-21 05:16
Снова будут играть для лохов.
Посмотреть ОригиналОтветить0
LeekCutter
· 07-18 21:47
неудачники天生就该被 разыгрывайте людей как лохов
Посмотреть ОригиналОтветить0
GateUser-2fce706c
· 07-18 21:38
Я давно говорил, что в Блокчейн-сфере много опасностей. Посмотрите на сегодняшние неудачники, которых разыгрывают людей как лохов.
Посмотреть ОригиналОтветить0
PensionDestroyer
· 07-18 21:31
Мошенничество стало единственной истиной
Посмотреть ОригиналОтветить0
GasGrillMaster
· 07-18 21:31
Советую всем не связываться со смарт-контрактами, это приведет к убыткам.
Посмотреть ОригиналОтветить0
SignatureVerifier
· 07-18 21:19
технически говоря... еще один случай недостаточной валидации Протоколов, смх. когда они научатся внедрять надлежащие аудиты безопасности?
Блокчейн безопасность новые угрозы: смарт-контракты становятся инструментом мошенничества стратегии предотвращения полное разъяснение
Криптоактивы и безопасность Блокчейн: новые угрозы и стратегии защиты
Криптоактивы и технологии Блокчейн меняют концепцию финансовой свободы, но эта революция также принесла новые проблемы безопасности. В отличие от традиционных атак на уязвимости технологий, современные мошенники хитро превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. Они используют прозрачность и необратимость Блокчейн, сочетая это с тщательно продуманными ловушками социальной инженерии, превращая доверие пользователей в инструмент кражи активов.
От подделки смарт-контрактов до манипуляции кросс-цепочными транзакциями, эти способы атак не только скрытны и трудны для обнаружения, но также обладают высокой степенью обмана благодаря своему "легитимному" виду. В этой статье мы проанализируем реальные случаи, чтобы показать, как мошенники превращают протоколы в средства атаки, и предложим комплексные решения от технической защиты до поведенческой профилактики, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как протокол может стать инструментом мошенничества?
Протокол Блокчейн был разработан для обеспечения безопасности и доверия, но мошенники ловко используют его особенности, сочетая их с неосторожностью пользователей, чтобы создать множество скрытых методов атаки. Ниже приведены несколько распространенных приемов и их технические детали:
(1) Злоумышленное разрешение на смарт-контракт
Технический принцип: На таких Блокчейнах, как Эфириум, стандарт токена ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьи стороны (обычно смарт-контракты) извлекать определенное количество токенов из их кошельков. Эта функция широко используется в протоколах децентрализованных финансов (DeFi), где пользователи должны уполномочить смарт-контракты для завершения транзакций, стекинга или ликвидного майнинга. Однако мошенники используют этот механизм для создания злонамеренных контрактов.
Способ работы: Мошенники создают децентрализованное приложение (DApp), маскирующееся под легитимный проект, часто продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошельки и их подталкивают нажать "Approve", что на поверхности выглядит как разрешение на небольшое количество токенов, на самом деле это может быть безлимитный лимит (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает доступ и может в любое время вызвать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Пример: В начале 2023 года фишинговый сайт, замаскированный под обновление одного из DEX, привел к потере миллионов долларов в стейблкоинах и основных криптоактивах для сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические меры, поскольку авторизация была добровольно подписана.
(2) Подписанный фишинг
Технический принцип: Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы: Пользователь получает электронное письмо или сообщение в мессенджере, замаскированное под официальное уведомление, например, "Ваш NFT airdrop готов к получению, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, который требует подключить кошелек и подписать сделку "проверки транзакции". Эта сделка на самом деле может вызывать функцию "Transfer", которая напрямую переводит шифрованные активы из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", предоставляющая мошеннику контроль над коллекцией NFT пользователя.
Пример: Некоторые известные сообщества NFT-проектов подверглись атакам фишинга через подпись, в результате чего несколько пользователей потеряли NFT на сумму в несколько миллионов долларов из-за подписания поддельных транзакций "получения airdrop". Нападающие использовали стандарт подписи EIP-712, подделывая казалось бы безопасные запросы.
(3) Ложные токены и "атака пыли"
Технический принцип: Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это активно. Мошенники используют это, отправляя небольшие количества Криптоактивов на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками.
Способ работы: Атакующий сначала отправляет "пыль" — отправляет небольшое количество криптоактивов на разные адреса, а затем пытается проанализировать, какие адреса принадлежат одному и тому же кошельку. Затем атакующий использует эту информацию для проведения фишинг-атак или угроз против жертвы.
В большинстве случаев "пыль", используемая в атаках с пылью, распределяется в виде аирдропов на кошельки пользователей. Эти токены могут иметь привлекательные названия или метаданные, которые побуждают пользователей посетить определенный веб-сайт для получения подробной информации. Когда пользователи хотят конвертировать эти токены, злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прикрепленный к токену. Более скрытым является то, что атаки с пылью используют социальную инженерию, анализируя последующие транзакции пользователей, чтобы зафиксировать активные адреса кошельков пользователей и, таким образом, осуществлять более точные мошенничества.
Пример: На сети Эфириума произошла атака "пылевых токенов GAS", затронувшая тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и токены ERC-20.
Два, почему эти мошенничества трудно заметить?
Эти мошенничества успешны в значительной степени потому, что они скрыты в легитимных механизмах Блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть трудными для понимания для нетехнических пользователей. Например, запрос "Approve" может отображаться как сложные шестнадцатеричные данные, и пользователи не могут интуитивно понять его значение.
Законность в Блокчейне: Все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, и в это время активы уже невозможно вернуть.
Социальная инженерия: Мошенники используют слабости человеческой натуры, такие как жадность ("получите большие токены бесплатно"), страх ("необходима проверка из-за аномалий в аккаунте") или доверие (выдавая себя за официальную службу поддержки).
Искусное маскировка: Фишинговые сайты могут использовать URL, которые очень похожи на официальный домен, и даже повышать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш кошелек для криптоактивов?
Столкнувшись с этими мошенничествами, сочетающими в себе технические и психологические войны, защита активов требует многослойной стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями доступа
Проверьте ссылку и источник
Использование холодного кошелька и мультиподписи
Будьте осторожны при обработке запросов на подпись
Ответ на атаки пыли
Заключение
Реализация вышеуказанных мер безопасности может значительно снизить риск стать жертвой высококлассной мошеннической схемы, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осмотрительность в поведении на Блокчейне становятся последней крепостью в защите от атак. Каждая интерпретация данных перед подписью, каждая проверка полномочий после авторизации — это клятва в отношении собственного цифрового суверенитета.
В будущем, независимо от того, как будет меняться технология, самая важная линия защиты всегда будет заключаться в том, чтобы внутренне усвоить осознание безопасности и установить баланс между доверием и проверкой. В мире Блокчейн, где код является законом, каждое нажатие, каждая транзакция навсегда записываются и не подлежат изменению. Поэтому крайне важно оставаться настороженным и действовать осторожно.