smart contracts autorisation : Blockchain, une épée à double tranchant
Les cryptomonnaies et la technologie Blockchain transforment le secteur financier, mais cette transformation a également apporté de nouveaux défis en matière de sécurité. Les attaquants ne se contentent plus d'exploiter des vulnérabilités techniques, mais transforment les protocoles Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en un moyen de voler des actifs. Des smart contracts soigneusement construits à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitime". Cet article analysera des cas réels, révélant comment les attaquants transforment les protocoles en vecteurs d'attaque, et proposera des solutions complètes allant de la protection technique à la prévention comportementale, vous aidant à naviguer en toute sécurité dans un monde décentralisé.
I. Comment un protocole peut-il devenir un outil de fraude ?
Le protocole Blockchain est à l'origine destiné à garantir la sécurité et la confiance, mais les attaquants exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques et leurs détails techniques :
(1) Autorisation de smart contracts malveillants
Principes techniques :
Sur des blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, des attaquants exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les attaquants créent des DApps déguisés en projets légitimes, souvent promus via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser une petite quantité de jetons, mais en réalité pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation complétée, l'adresse du contrat de l'attaquant obtient le droit d'appeler la fonction "TransferFrom" à tout moment, pour extraire tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing déguisé en "mise à niveau d'un certain DEX" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectent entièrement le standard ERC-20, et les victimes ne peuvent même pas récupérer leurs fonds par des moyens légaux, car l'autorisation a été signée de manière volontaire.
(2) Phishing de signature
Principe technique :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via leur clé privée pour prouver la légitimité de la transaction. Les portefeuilles affichent généralement une demande de signature, et une fois confirmée par l'utilisateur, la transaction est diffusée sur le réseau. Les attaquants exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit des e-mails ou des messages sur les réseaux sociaux déguisés en notifications officielles, par exemple "Votre airdrop NFT est en attente de réception, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est redirigé vers un site malveillant qui demande de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les tokens du portefeuille vers l'adresse de l'attaquant ; ou il peut s'agir d'une opération "SetApprovalForAll", autorisant l'attaquant à contrôler la collection NFT de l'utilisateur.
Cas réel :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "de réception d'airdrop" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Jetons frauduleux et "attaque de poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas demandé activement. Les attaquants exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre les activités des portefeuilles et de les relier aux individus ou entreprises qui possèdent les portefeuilles.
Mode de fonctionnement :
Les attaquants envoient de petites quantités de cryptomonnaie à différentes adresses, essayant de déterminer lesquelles appartiennent au même portefeuille. Ensuite, ils utilisent ces informations pour lancer des attaques de phishing ou des menaces contre les victimes. Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs, et ces jetons peuvent porter des noms spécifiques ou des métadonnées, incitant les utilisateurs à visiter un site web pour consulter les détails.
Cas réel :
Une attaque de poussière de "token GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des tokens ERC-20 par curiosité.
Deuxièmement, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent sous les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Complexité technique : Le code des smart contracts et les demandes de signature sont obscurs pour les utilisateurs non techniques.
Légalité sur la chaîne : Toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes prennent souvent conscience des conséquences de l'autorisation ou de la signature uniquement après coup.
Ingénierie sociale : Les attaquants exploitent les faiblesses humaines, comme la cupidité, la peur ou la confiance.
Dissimulation habile : Les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de crypto-monnaies ?
Face à ces arnaques alliant techniques et guerre psychologique, la protection des actifs nécessite des stratégies à plusieurs niveaux. Voici les mesures préventives détaillées :
Vérifiez et gérez les autorisations d'accès.
Utilisez l'outil de vérification des autorisations du navigateur Blockchain pour vérifier régulièrement les enregistrements d'autorisation de votre portefeuille.
Révoquez les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Vérifiez le lien et la source
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL.
Méfiez-vous des noms de domaine avec des fautes d'orthographe ou des caractères en trop.
Utiliser un portefeuille froid et une signature multiple
Stockez la plupart de vos actifs dans un portefeuille matériel et ne connectez le réseau que lorsque cela est nécessaire.
Pour les actifs de grande valeur, utilisez des outils de multi-signature, exigeant la confirmation de la transaction par plusieurs clés.
Traitez les demandes de signature avec prudence
Lors de chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utilisez la fonction de décodage du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Créez un portefeuille indépendant pour les opérations à haut risque et stockez une petite quantité d'actifs.
faire face aux attaques de poussière
Après avoir reçu des jetons inconnus, ne pas interagir. Marquez-les comme "spam" ou cachez-les.
Vérifiez la source du jeton via le Blockchain Explorer, si c'est un envoi en masse, soyez très vigilant.
Évitez de rendre votre adresse de portefeuille publique, ou utilisez une nouvelle adresse pour des opérations sensibles.
Conclusion
La mise en œuvre des mesures de sécurité susmentionnées peut réduire considérablement le risque de devenir victime de programmes de fraude avancés, mais la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple répartit les risques, la compréhension par l'utilisateur de la logique d'autorisation et la prudence quant aux comportements sur la Blockchain constituent le dernier rempart contre les attaques.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, établir un équilibre entre la confiance et la vérification. Dans le monde de la Blockchain où le code est loi, chaque clic, chaque transaction est enregistré de manière permanente et ne peut pas être modifié. Restez vigilant, agissez avec prudence pour avancer en toute sécurité dans ce nouveau domaine de la finance numérique.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
6 J'aime
Récompense
6
4
Reposter
Partager
Commentaire
0/400
Degen4Breakfast
· 08-17 05:27
Blockchain éternel des pigeons
Voir l'originalRépondre0
WagmiWarrior
· 08-17 05:15
Avant d'autoriser, ouvrez grand les yeux, tout le monde.
Voir l'originalRépondre0
WalletWhisperer
· 08-17 05:10
Jeune homme énergique, spécialisé dans la Perte impermanente
Voir l'originalRépondre0
MEV_Whisperer
· 08-17 05:07
N'oubliez pas, la traçabilité est la clé ! Passer la journée à étudier l'autorisation n'est pas aussi utile que d'étudier le principe de MEV.
Risques d'autorisation des smart contracts : nouveaux défis de la sécurité Blockchain et stratégies de protection
smart contracts autorisation : Blockchain, une épée à double tranchant
Les cryptomonnaies et la technologie Blockchain transforment le secteur financier, mais cette transformation a également apporté de nouveaux défis en matière de sécurité. Les attaquants ne se contentent plus d'exploiter des vulnérabilités techniques, mais transforment les protocoles Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en un moyen de voler des actifs. Des smart contracts soigneusement construits à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitime". Cet article analysera des cas réels, révélant comment les attaquants transforment les protocoles en vecteurs d'attaque, et proposera des solutions complètes allant de la protection technique à la prévention comportementale, vous aidant à naviguer en toute sécurité dans un monde décentralisé.
I. Comment un protocole peut-il devenir un outil de fraude ?
Le protocole Blockchain est à l'origine destiné à garantir la sécurité et la confiance, mais les attaquants exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques et leurs détails techniques :
(1) Autorisation de smart contracts malveillants
Principes techniques :
Sur des blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, des attaquants exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les attaquants créent des DApps déguisés en projets légitimes, souvent promus via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser une petite quantité de jetons, mais en réalité pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation complétée, l'adresse du contrat de l'attaquant obtient le droit d'appeler la fonction "TransferFrom" à tout moment, pour extraire tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing déguisé en "mise à niveau d'un certain DEX" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectent entièrement le standard ERC-20, et les victimes ne peuvent même pas récupérer leurs fonds par des moyens légaux, car l'autorisation a été signée de manière volontaire.
(2) Phishing de signature
Principe technique :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via leur clé privée pour prouver la légitimité de la transaction. Les portefeuilles affichent généralement une demande de signature, et une fois confirmée par l'utilisateur, la transaction est diffusée sur le réseau. Les attaquants exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit des e-mails ou des messages sur les réseaux sociaux déguisés en notifications officielles, par exemple "Votre airdrop NFT est en attente de réception, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est redirigé vers un site malveillant qui demande de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les tokens du portefeuille vers l'adresse de l'attaquant ; ou il peut s'agir d'une opération "SetApprovalForAll", autorisant l'attaquant à contrôler la collection NFT de l'utilisateur.
Cas réel :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "de réception d'airdrop" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Jetons frauduleux et "attaque de poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas demandé activement. Les attaquants exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre les activités des portefeuilles et de les relier aux individus ou entreprises qui possèdent les portefeuilles.
Mode de fonctionnement :
Les attaquants envoient de petites quantités de cryptomonnaie à différentes adresses, essayant de déterminer lesquelles appartiennent au même portefeuille. Ensuite, ils utilisent ces informations pour lancer des attaques de phishing ou des menaces contre les victimes. Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs, et ces jetons peuvent porter des noms spécifiques ou des métadonnées, incitant les utilisateurs à visiter un site web pour consulter les détails.
Cas réel :
Une attaque de poussière de "token GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des tokens ERC-20 par curiosité.
Deuxièmement, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent sous les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Trois, comment protéger votre portefeuille de crypto-monnaies ?
Face à ces arnaques alliant techniques et guerre psychologique, la protection des actifs nécessite des stratégies à plusieurs niveaux. Voici les mesures préventives détaillées :
Vérifiez et gérez les autorisations d'accès.
Vérifiez le lien et la source
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
faire face aux attaques de poussière
Conclusion
La mise en œuvre des mesures de sécurité susmentionnées peut réduire considérablement le risque de devenir victime de programmes de fraude avancés, mais la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple répartit les risques, la compréhension par l'utilisateur de la logique d'autorisation et la prudence quant aux comportements sur la Blockchain constituent le dernier rempart contre les attaques.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, établir un équilibre entre la confiance et la vérification. Dans le monde de la Blockchain où le code est loi, chaque clic, chaque transaction est enregistré de manière permanente et ne peut pas être modifié. Restez vigilant, agissez avec prudence pour avancer en toute sécurité dans ce nouveau domaine de la finance numérique.