Autoridad de contratos inteligentes: la espada de doble filo de la Cadena de bloques
Las criptomonedas y la tecnología de la Cadena de bloques están remodelando el campo financiero, pero esta transformación también ha traído nuevos desafíos de seguridad. Los atacantes ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que transforman el propio protocolo de Cadena de bloques en una herramienta de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irrevocabilidad de la Cadena de bloques para convertir la confianza del usuario en un medio para robar activos. Desde contratos inteligentes meticulosamente construidos hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que su apariencia "legítima" los hace aún más engañosos. Este artículo analizará casos reales, revelando cómo los atacantes convierten los protocolos en vehículos de ataque y proporcionará soluciones integrales, desde la protección técnica hasta la prevención conductual, para ayudarle a avanzar de manera segura en un mundo descentralizado.
Uno, ¿cómo se convierte un acuerdo en una herramienta de fraude?
El protocolo de la cadena de bloques originalmente tiene como objetivo garantizar la seguridad y la confianza, pero los atacantes han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear diversas formas encubiertas de ataque. A continuación se presentan algunos métodos y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a extraer una cantidad determinada de tokens de su billetera mediante la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los atacantes utilizan este mecanismo para diseñar contratos maliciosos.
Forma de operación:
Los atacantes crean DApps que se disfrazan como proyectos legítimos, a menudo promocionándolos a través de sitios web de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del atacante obtiene permiso para llamar a la función "TransferFrom" en cualquier momento, extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real:
A principios de 2023, un sitio web de phishing disfrazado como "actualización de cierto DEX" causó pérdidas de millones de dólares en USDT y ETH a cientos de usuarios. Los datos en la cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas ni siquiera pueden recuperar su dinero mediante acciones legales, ya que la autorización fue firmada de manera voluntaria.
(2) firma de phishing
Principio técnico:
Las transacciones de la Cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para demostrar la legalidad de la transacción. La billetera normalmente mostrará una solicitud de firma, y tras la confirmación del usuario, la transacción se envía a la red. Los atacantes aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Modo de operación:
Los usuarios reciben correos electrónicos o mensajes en redes sociales disfrazados de notificaciones oficiales, como "Su airdrop de NFT está disponible para reclamar, por favor verifique su billetera". Al hacer clic en el enlace, los usuarios son dirigidos a un sitio web malicioso que les pide conectar su billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del atacante; o una operación "SetApprovalForAll", que autoriza al atacante a controlar la colección de NFT del usuario.
Caso real:
Una comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, donde varios usuarios, al firmar transacciones falsas de "reclamo de airdrop", perdieron NFT por un valor de varios millones de dólares. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico:
La apertura de la Cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los atacantes aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y asociarlas con las personas o empresas que poseen las billeteras.
Forma de operar:
Los atacantes envían pequeñas cantidades de criptomonedas a diferentes direcciones, intentando descubrir cuáles pertenecen a la misma billetera. Luego, utilizan esta información para lanzar ataques de phishing o amenazas contra las víctimas. En la mayoría de los casos, la "polvo" utilizada en un ataque de polvo se distribuye en forma de airdrop a las billeteras de los usuarios, y estos tokens pueden tener nombres específicos o metadatos que inducen a los usuarios a visitar un sitio web para consultar detalles.
Caso real:
Se produjo un ataque de polvo de "token GAS" en la red de Ethereum, afectando a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
Estos engaños tienen éxito en gran medida porque se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. Las principales razones incluyen:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos.
Legalidad en la cadena: Todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo solo se dan cuenta de las consecuencias de la autorización o firma después.
Ingeniería social: Los atacantes aprovechan las debilidades de la naturaleza humana, como la codicia, el miedo o la confianza.
Disfraz sofisticado: Los sitios web de phishing pueden utilizar URLs similares a los nombres de dominio oficiales, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples capas. A continuación se presentan medidas de prevención detalladas:
Revisar y gestionar los permisos de autorización
Utilice la herramienta de verificación de autorización del explorador de bloques para comprobar regularmente los registros de autorización de la billetera.
Revocar autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Antes de cada autorización, asegúrate de que la DApp provenga de una fuente confiable.
Verificar el enlace y la fuente
Ingrese manualmente la URL oficial, evite hacer clic en enlaces de redes sociales o correos electrónicos.
Asegúrate de que el sitio web utilice el nombre de dominio y el certificado SSL correctos.
Tenga cuidado con los nombres de dominio que contengan errores de ortografía o caracteres adicionales.
uso de billetera fría y firma múltiple
Almacene la mayor parte de los activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
Para activos de gran valor, utiliza herramientas de firma múltiple que requieran la confirmación de varias claves para realizar transacciones.
Maneje con precaución las solicitudes de firma
Cada vez que firmes, lee detenidamente los detalles de la transacción en la ventana emergente de la billetera.
Utilizar la función de decodificación del explorador de la cadena de bloques para analizar el contenido de la firma, o consultar a un experto técnico.
Crear una billetera independiente para operaciones de alto riesgo, almacenando una pequeña cantidad de activos.
hacer frente a ataques de polvo
Después de recibir tokens desconocidos, no interactúe. Márquelos como "basura" o escóndalos.
Confirme la procedencia del token a través del explorador de cadenas de bloques, si se trata de un envío masivo, mantenga una alta vigilancia.
Evita publicar la dirección de la billetera, o utiliza una nueva dirección para operaciones sensibles.
Conclusión
La implementación de las medidas de seguridad mencionadas puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado, pero la verdadera seguridad no solo depende de la tecnología. Cuando los monederos de hardware establecen una defensa física y las firmas múltiples dispersan el riesgo, la comprensión del usuario sobre la lógica de autorización y la precaución en el comportamiento en la cadena son la última línea de defensa contra los ataques.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa más crucial siempre radicará en: internalizar la conciencia de seguridad como un hábito, estableciendo un equilibrio entre la confianza y la verificación. En el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente e inalterable. Mantenerse alerta y actuar con precaución es la clave para avanzar de manera segura en este emergente campo de las finanzas digitales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
6 me gusta
Recompensa
6
4
Republicar
Compartir
Comentar
0/400
Degen4Breakfast
· 08-17 05:27
Cadena de bloques siempre tontos
Ver originalesResponder0
WagmiWarrior
· 08-17 05:15
Antes de autorizar, ¡abrid bien los ojos todos!
Ver originalesResponder0
WalletWhisperer
· 08-17 05:10
Chico energético, especializado en Pérdida impermanente
Ver originalesResponder0
MEV_Whisperer
· 08-17 05:07
¡Recuerda, la trazabilidad es el camino a seguir! Pasar todo el día investigando autorizaciones no es tan útil como estudiar los principios de MEV.
Riesgos de autorización de contratos inteligentes: nuevos desafíos de seguridad en la cadena de bloques y estrategias de protección
Autoridad de contratos inteligentes: la espada de doble filo de la Cadena de bloques
Las criptomonedas y la tecnología de la Cadena de bloques están remodelando el campo financiero, pero esta transformación también ha traído nuevos desafíos de seguridad. Los atacantes ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que transforman el propio protocolo de Cadena de bloques en una herramienta de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irrevocabilidad de la Cadena de bloques para convertir la confianza del usuario en un medio para robar activos. Desde contratos inteligentes meticulosamente construidos hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que su apariencia "legítima" los hace aún más engañosos. Este artículo analizará casos reales, revelando cómo los atacantes convierten los protocolos en vehículos de ataque y proporcionará soluciones integrales, desde la protección técnica hasta la prevención conductual, para ayudarle a avanzar de manera segura en un mundo descentralizado.
Uno, ¿cómo se convierte un acuerdo en una herramienta de fraude?
El protocolo de la cadena de bloques originalmente tiene como objetivo garantizar la seguridad y la confianza, pero los atacantes han aprovechado sus características, combinadas con la negligencia de los usuarios, para crear diversas formas encubiertas de ataque. A continuación se presentan algunos métodos y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a extraer una cantidad determinada de tokens de su billetera mediante la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los atacantes utilizan este mecanismo para diseñar contratos maliciosos.
Forma de operación:
Los atacantes crean DApps que se disfrazan como proyectos legítimos, a menudo promocionándolos a través de sitios web de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del atacante obtiene permiso para llamar a la función "TransferFrom" en cualquier momento, extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real:
A principios de 2023, un sitio web de phishing disfrazado como "actualización de cierto DEX" causó pérdidas de millones de dólares en USDT y ETH a cientos de usuarios. Los datos en la cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas ni siquiera pueden recuperar su dinero mediante acciones legales, ya que la autorización fue firmada de manera voluntaria.
(2) firma de phishing
Principio técnico:
Las transacciones de la Cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para demostrar la legalidad de la transacción. La billetera normalmente mostrará una solicitud de firma, y tras la confirmación del usuario, la transacción se envía a la red. Los atacantes aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Modo de operación:
Los usuarios reciben correos electrónicos o mensajes en redes sociales disfrazados de notificaciones oficiales, como "Su airdrop de NFT está disponible para reclamar, por favor verifique su billetera". Al hacer clic en el enlace, los usuarios son dirigidos a un sitio web malicioso que les pide conectar su billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del atacante; o una operación "SetApprovalForAll", que autoriza al atacante a controlar la colección de NFT del usuario.
Caso real:
Una comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, donde varios usuarios, al firmar transacciones falsas de "reclamo de airdrop", perdieron NFT por un valor de varios millones de dólares. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico:
La apertura de la Cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los atacantes aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y asociarlas con las personas o empresas que poseen las billeteras.
Forma de operar:
Los atacantes envían pequeñas cantidades de criptomonedas a diferentes direcciones, intentando descubrir cuáles pertenecen a la misma billetera. Luego, utilizan esta información para lanzar ataques de phishing o amenazas contra las víctimas. En la mayoría de los casos, la "polvo" utilizada en un ataque de polvo se distribuye en forma de airdrop a las billeteras de los usuarios, y estos tokens pueden tener nombres específicos o metadatos que inducen a los usuarios a visitar un sitio web para consultar detalles.
Caso real:
Se produjo un ataque de polvo de "token GAS" en la red de Ethereum, afectando a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
Estos engaños tienen éxito en gran medida porque se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. Las principales razones incluyen:
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples capas. A continuación se presentan medidas de prevención detalladas:
Revisar y gestionar los permisos de autorización
Verificar el enlace y la fuente
uso de billetera fría y firma múltiple
Maneje con precaución las solicitudes de firma
hacer frente a ataques de polvo
Conclusión
La implementación de las medidas de seguridad mencionadas puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado, pero la verdadera seguridad no solo depende de la tecnología. Cuando los monederos de hardware establecen una defensa física y las firmas múltiples dispersan el riesgo, la comprensión del usuario sobre la lógica de autorización y la precaución en el comportamiento en la cadena son la última línea de defensa contra los ataques.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa más crucial siempre radicará en: internalizar la conciencia de seguridad como un hábito, estableciendo un equilibrio entre la confianza y la verificación. En el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente e inalterable. Mantenerse alerta y actuar con precaución es la clave para avanzar de manera segura en este emergente campo de las finanzas digitales.