Криптоактиви та безпека Блокчейн: нові загрози та стратегії запобігання
Криптоактиви та технології Блокчейн переосмислюють концепцію фінансової свободи, але ця революція також принесла нові виклики безпеки. На відміну від традиційних атак на вразливості технологій, сучасні шахраї хитро перетворюють протоколи смарт-контрактів Блокчейн на інструменти атак. Вони використовують прозорість та незворотність Блокчейн, поєднуючи це з ретельно розробленими пастками соціальної інженерії, перетворюючи довіру користувачів на інструмент для крадіжки активів.
Від підроблених смарт-контрактів до маніпуляцій з крос-ланцюговими транзакціями, ці способи атаки не лише приховані та важкі для виявлення, але також мають дуже сильну обманливість через свою "легалізовану" зовнішність. У цій статті будуть проаналізовані реальні випадки, щоб виявити, як шахраї перетворюють протоколи на засоби атаки, а також буде надано комплексне рішення від технічного захисту до поведінкових запобіжників, щоб допомогти користувачам безпечно просуватися в децентралізованому світі.
Один. Як угода стає інструментом шахрайства?
Блокчейн протокол спочатку був розроблений для забезпечення безпеки та довіри, але шахраї хитро використовують його характеристики, поєднуючи їх з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Ось кілька поширених методів та їх технічні деталі:
(1) авторизація шкідливого смарт-контракту
Технічні принципи:
На таких Блокчейнах, як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай це смарт-контракт) витягувати з їх гаманця вказану кількість монет. Ця функція широко використовується в протоколах децентралізованих фінансів (DeFi), де користувачам потрібно уповноважити смарт-контракти для завершення угод, стейкінгу або ліквідного видобутку. Проте шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Шахраї створюють децентралізований додаток (DApp), який маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці та їх спонукають натиснути "Approve", що на перший погляд є наданням дозволу на невелику кількість монет, але насправді може бути безмежним обсягом (значення uint256.max). Як тільки дозвіл надано, адреса контракту шахраїв отримує права і може в будь-який момент викликати функцію "TransferFrom", щоб вилучити всі відповідні монети з гаманця користувача.
Приклад:
На початку 2023 року фішинговий веб-сайт, що маскувався під оновлення певного DEX, призвів до втрати сотень користувачів на мільйони доларів у стейблкоїнах та основних криптоактивах. Дані в мережі показують, що ці транзакції повністю відповідали стандарту ERC-20, жертви навіть не змогли б повернути втрачене через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) Підпис фішинг
Технологічний принцип:
Блокчейн-транзакції потребують від користувачів генерації підпису за допомогою приватного ключа для підтвердження легітимності транзакції. Гаманець зазвичай виводить запит на підпис, і після підтвердження користувачем, транзакція транслюється в мережу. Шахраї використовують цей процес, підробляючи запити на підпис, щоб вкрасти активи.
Спосіб роботи:
Користувач отримує електронний лист або повідомлення миттєвого зв'язку, що маскується під офіційне повідомлення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, перевірте гаманець". Після натискання на посилання користувача перенаправляють на шкідливий сайт, де від нього вимагають підключити гаманець і підписати "транзакцію перевірки". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо передає Криптоактиви з гаманця на адресу шахрая; або ж це може бути операція "SetApprovalForAll", що дозволяє шахраям контролювати колекцію NFT користувача.
Приклад:
Відоме співтовариство NFT-проєкту зазнало фішингової атаки з підписами, внаслідок чого кілька користувачів втратили NFT вартістю кілька мільйонів доларів, підписавши підроблені "транзакції на отримання аірдропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши запити, які виглядали безпечними.
(3) Фальшиві токени та "атака пилу"
Технічний принцип:
Відкритість Блокчейну дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не запитує їх. Шахраї використовують це, надсилаючи невелику кількість Криптоактивів на кілька гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, які володіють цими гаманцями.
Спосіб роботи:
Зловмисники спочатку надсилають "пил" — відправляючи невелику кількість криптоактивів на різні адреси, а потім намагаються проаналізувати, які адреси належать одному гаманцю. Після цього зловмисники використовують цю інформацію для атаки на жертву за допомогою фішингу або погроз.
У більшості випадків "пил" у атаках з використанням пилу розподіляється у формі аерозольного скидання до гаманців користувачів, ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний веб-сайт для отримання деталей. Коли користувачі хочуть обміняти ці токени на готівку, зловмисники можуть отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Ще більш приховано, атаки з пилу можуть використовувати соціальну інженерію, аналізуючи подальші транзакції користувачів, щоб визначити активні адреси гаманців користувачів, що дозволяє здійснити більш точне шахрайство.
Приклад:
У мережі Ethereum відбулася атака "пилу GAS токенів", яка вплинула на тисячі гаманців. Частина користувачів через цікавість втратила ETH та ERC-20 токени.
Два, чому ці шахрайства важко виявити?
Ці схеми шахрайства успішні, в значній мірі, тому що вони приховані в законних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню злочинну природу. Основні причини включають:
Технічна складність: Код смарт-контракту та запити на підписання можуть бути незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися у вигляді складних шістнадцяткових даних, і користувач не може інтуїтивно зрозуміти його значення.
Правова легітимність на ланцюгу: Усі транзакції записуються в Блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже неможливо повернути.
Соціальна інженерія: Шахраї використовують людські слабкості, такі як жадібність ("безкоштовно отримати великі монети"), страх ("необхідна перевірка через аномалії в рахунку") або довіру (маскуються під офіційних представників служби підтримки).
**Маскування: ** Фішингові сайти можуть використовувати URL, які дуже схожі на офіційні домени, навіть підвищуючи довіру через HTTPS сертифікати.
Три, як захистити ваші Криптоактиви гаманець?
Стикаючись із цими шахрайствами, які поєднують технологічні та психологічні війни, захист активів вимагає багатошарового підходу. Ось детальні заходи безпеки:
Перевірте та керуйте правами доступу
Використовуйте інструмент перевірки авторизацій у блокчейн-браузері для перевірки записів авторизації гаманця.
Регулярно скасовуйте непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
Перед кожним авторизацією переконайтеся, що DApp походить з надійного джерела.
Перевірте значення "Allowance", якщо воно "нескінченне" (наприклад, 2^256-1), слід негайно скасувати.
Перевірте посилання та джерело
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Переконайтеся, що веб-сайт використовує правильний домен і сертифікат SSL (зелена іконка замка).
Будьте обережні з помилками в написанні або зайвими символами в доменному імені.
Використання холодного гаманця та багатопідпису
Зберігайте більшість активів у апаратному гаманці і підключайте до мережі лише за необхідності.
Для великих активів використовуйте інструменти з багатопідписом, що вимагають підтвердження угоди кількома ключами, зменшуючи ризик помилки в одній точці.
Навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.
Обережно обробляйте запити на підпис
Уважно читайте деталі транзакції у спливаючому вікні гаманця кожного разу, коли підписуєте.
Використовуйте функцію "декодування вхідних даних" блокчейн-браузера для аналізу підписаного вмісту або проконсультуйтеся з технічним експертом.
Створіть незалежний гаманець для високоризикових операцій, зберігайте невелику кількість активів.
Реакція на атаки пилу
Після отримання невідомого токена не взаємодійте з ним. Позначте його як "сміття" або сховайте.
Підтвердьте джерело токена через Блокчейн-браузер, якщо це масова відправка, будьте особливо обережні.
Уникайте відкриття адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Впровадження вищезазначених заходів безпеки може суттєво знизити ризик стати жертвою складних шахрайських схем, але справжня безпека не залежить лише від технологій. Коли апаратні гаманці створюють фізичну перешкоду, а мультипідписи розподіляють ризики, розуміння користувачем логіки авторизації та обережність щодо поведінки в мережі є останньою фортецею проти атак. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації - це клятва на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології будуть ітеруватися, найважливішою лінією оборони завжди залишатиметься: інтеграція усвідомлення безпеки в звичку, встановлення балансу між довірою та перевіркою. У світі Блокчейн, де код є законом, кожен клік, кожна транзакція назавжди записуються і не можуть бути змінені. Тому підтримка пильності та обережності є надзвичайно важливою.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
7
Поділіться
Прокоментувати
0/400
GasFeeBarbecue
· 07-21 19:03
невдахи门特烦这种 пастка了
Переглянути оригіналвідповісти на0
MEVSandwichVictim
· 07-21 05:16
Знову обдурювали людей, як лохів
Переглянути оригіналвідповісти на0
LeekCutter
· 07-18 21:47
невдахи天生就该被 обдурювати людей, як лохів
Переглянути оригіналвідповісти на0
GateUser-2fce706c
· 07-18 21:38
Я вже давно казав, що у Блокчейн-індустрії небезпек безліч. Подивіться на теперішнє обдурювання людей, як лохів.
Переглянути оригіналвідповісти на0
PensionDestroyer
· 07-18 21:31
Шахрайство стало єдиною правдою
Переглянути оригіналвідповісти на0
GasGrillMaster
· 07-18 21:31
Рекомендую всім не чіпати смартконтракти, інакше постраждаєте.
Переглянути оригіналвідповісти на0
SignatureVerifier
· 07-18 21:19
технічно кажучи... ще один випадок недостатньої валідації протоколів смх. коли ж вони навчаться впроваджувати належні аудити безпеки?
Нові загрози безпеці Блокчейн: смартконтракти стали інструментом шахрайства. Повний аналіз стратегій запобігання.
Криптоактиви та безпека Блокчейн: нові загрози та стратегії запобігання
Криптоактиви та технології Блокчейн переосмислюють концепцію фінансової свободи, але ця революція також принесла нові виклики безпеки. На відміну від традиційних атак на вразливості технологій, сучасні шахраї хитро перетворюють протоколи смарт-контрактів Блокчейн на інструменти атак. Вони використовують прозорість та незворотність Блокчейн, поєднуючи це з ретельно розробленими пастками соціальної інженерії, перетворюючи довіру користувачів на інструмент для крадіжки активів.
Від підроблених смарт-контрактів до маніпуляцій з крос-ланцюговими транзакціями, ці способи атаки не лише приховані та важкі для виявлення, але також мають дуже сильну обманливість через свою "легалізовану" зовнішність. У цій статті будуть проаналізовані реальні випадки, щоб виявити, як шахраї перетворюють протоколи на засоби атаки, а також буде надано комплексне рішення від технічного захисту до поведінкових запобіжників, щоб допомогти користувачам безпечно просуватися в децентралізованому світі.
Один. Як угода стає інструментом шахрайства?
Блокчейн протокол спочатку був розроблений для забезпечення безпеки та довіри, але шахраї хитро використовують його характеристики, поєднуючи їх з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Ось кілька поширених методів та їх технічні деталі:
(1) авторизація шкідливого смарт-контракту
Технічні принципи: На таких Блокчейнах, як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай це смарт-контракт) витягувати з їх гаманця вказану кількість монет. Ця функція широко використовується в протоколах децентралізованих фінансів (DeFi), де користувачам потрібно уповноважити смарт-контракти для завершення угод, стейкінгу або ліквідного видобутку. Проте шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи: Шахраї створюють децентралізований додаток (DApp), який маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці та їх спонукають натиснути "Approve", що на перший погляд є наданням дозволу на невелику кількість монет, але насправді може бути безмежним обсягом (значення uint256.max). Як тільки дозвіл надано, адреса контракту шахраїв отримує права і може в будь-який момент викликати функцію "TransferFrom", щоб вилучити всі відповідні монети з гаманця користувача.
Приклад: На початку 2023 року фішинговий веб-сайт, що маскувався під оновлення певного DEX, призвів до втрати сотень користувачів на мільйони доларів у стейблкоїнах та основних криптоактивах. Дані в мережі показують, що ці транзакції повністю відповідали стандарту ERC-20, жертви навіть не змогли б повернути втрачене через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) Підпис фішинг
Технологічний принцип: Блокчейн-транзакції потребують від користувачів генерації підпису за допомогою приватного ключа для підтвердження легітимності транзакції. Гаманець зазвичай виводить запит на підпис, і після підтвердження користувачем, транзакція транслюється в мережу. Шахраї використовують цей процес, підробляючи запити на підпис, щоб вкрасти активи.
Спосіб роботи: Користувач отримує електронний лист або повідомлення миттєвого зв'язку, що маскується під офіційне повідомлення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, перевірте гаманець". Після натискання на посилання користувача перенаправляють на шкідливий сайт, де від нього вимагають підключити гаманець і підписати "транзакцію перевірки". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо передає Криптоактиви з гаманця на адресу шахрая; або ж це може бути операція "SetApprovalForAll", що дозволяє шахраям контролювати колекцію NFT користувача.
Приклад: Відоме співтовариство NFT-проєкту зазнало фішингової атаки з підписами, внаслідок чого кілька користувачів втратили NFT вартістю кілька мільйонів доларів, підписавши підроблені "транзакції на отримання аірдропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши запити, які виглядали безпечними.
(3) Фальшиві токени та "атака пилу"
Технічний принцип: Відкритість Блокчейну дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не запитує їх. Шахраї використовують це, надсилаючи невелику кількість Криптоактивів на кілька гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, які володіють цими гаманцями.
Спосіб роботи: Зловмисники спочатку надсилають "пил" — відправляючи невелику кількість криптоактивів на різні адреси, а потім намагаються проаналізувати, які адреси належать одному гаманцю. Після цього зловмисники використовують цю інформацію для атаки на жертву за допомогою фішингу або погроз.
У більшості випадків "пил" у атаках з використанням пилу розподіляється у формі аерозольного скидання до гаманців користувачів, ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний веб-сайт для отримання деталей. Коли користувачі хочуть обміняти ці токени на готівку, зловмисники можуть отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Ще більш приховано, атаки з пилу можуть використовувати соціальну інженерію, аналізуючи подальші транзакції користувачів, щоб визначити активні адреси гаманців користувачів, що дозволяє здійснити більш точне шахрайство.
Приклад: У мережі Ethereum відбулася атака "пилу GAS токенів", яка вплинула на тисячі гаманців. Частина користувачів через цікавість втратила ETH та ERC-20 токени.
Два, чому ці шахрайства важко виявити?
Ці схеми шахрайства успішні, в значній мірі, тому що вони приховані в законних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню злочинну природу. Основні причини включають:
Технічна складність: Код смарт-контракту та запити на підписання можуть бути незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися у вигляді складних шістнадцяткових даних, і користувач не може інтуїтивно зрозуміти його значення.
Правова легітимність на ланцюгу: Усі транзакції записуються в Блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже неможливо повернути.
Соціальна інженерія: Шахраї використовують людські слабкості, такі як жадібність ("безкоштовно отримати великі монети"), страх ("необхідна перевірка через аномалії в рахунку") або довіру (маскуються під офіційних представників служби підтримки).
**Маскування: ** Фішингові сайти можуть використовувати URL, які дуже схожі на офіційні домени, навіть підвищуючи довіру через HTTPS сертифікати.
Три, як захистити ваші Криптоактиви гаманець?
Стикаючись із цими шахрайствами, які поєднують технологічні та психологічні війни, захист активів вимагає багатошарового підходу. Ось детальні заходи безпеки:
Перевірте та керуйте правами доступу
Перевірте посилання та джерело
Використання холодного гаманця та багатопідпису
Обережно обробляйте запити на підпис
Реакція на атаки пилу
Висновок
Впровадження вищезазначених заходів безпеки може суттєво знизити ризик стати жертвою складних шахрайських схем, але справжня безпека не залежить лише від технологій. Коли апаратні гаманці створюють фізичну перешкоду, а мультипідписи розподіляють ризики, розуміння користувачем логіки авторизації та обережність щодо поведінки в мережі є останньою фортецею проти атак. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації - це клятва на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології будуть ітеруватися, найважливішою лінією оборони завжди залишатиметься: інтеграція усвідомлення безпеки в звичку, встановлення балансу між довірою та перевіркою. У світі Блокчейн, де код є законом, кожен клік, кожна транзакція назавжди записуються і не можуть бути змінені. Тому підтримка пильності та обережності є надзвичайно важливою.