Криптовалюты и технологии Блокчейн меняют финансовую сферу, но эта трансформация также принесла новые проблемы безопасности. Атакующие больше не ограничиваются использованием технических уязвимостей, а превращают сами протоколы Блокчейн в инструменты атаки. Через тщательно спланированные социальные инженерные ловушки они используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в средства кражи активов. От тщательно сконструированных смарт-контрактов до манипуляций с межсетевыми транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и более обманчивы из-за их "законного" внешнего вида. В данной статье будут проанализированы реальные примеры, раскрывающие, как атакующие превращают протоколы в средства атаки, и предложены комплексные решения от технической защиты до поведенческих мер, чтобы вы могли безопасно двигаться в децентрализованном мире.
Один. Как соглашение становится инструментом мошенничества?
Блокчейн протокол изначально предназначен для обеспечения безопасности и доверия, но злоумышленники используют его особенности, сочетая с неосторожностью пользователей, создавая различные скрытые способы атак. Вот некоторые методы и их технические детали:
(1) Мошеннические смарт-контракты
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям с помощью функции "Approve" разрешать третьим лицам (обычно смарт-контрактам) извлечение указанного количества токенов из их кошельков. Эта функция широко используется в протоколах DeFi, пользователи должны разрешить смарт-контрактам завершение транзакций, стекинг или ликвидность. Однако злоумышленники используют этот механизм для разработки вредоносных контрактов.
Способ работы:
Атакующие создают DApp, замаскированные под легитимные проекты, обычно продвигая их через фишинговые сайты или социальные сети. Пользователи подключают кошельки и их обманывают, заставляя нажать «Approve», что на поверхности выглядит как разрешение на небольшое количество токенов, но на самом деле может быть безлимитным (значение uint256.max). Как только авторизация завершена, адрес контракта атакующего получает разрешение и может в любой момент вызвать функцию «TransferFrom», чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, замаскированный под "обновление какого-то DEX", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства законным путем, так как авторизация была подписана добровольно.
(2) Подпись Фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователей генерировать подпись с помощью приватного ключа для подтверждения законности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция транслируется в сеть. Злоумышленники используют этот процесс для подделки запроса на подпись и кражи активов.
Способ работы:
Пользователи получают письма или сообщения в социальных сетях, замаскированные под официальные уведомления, например, "Ваш NFT airdrop готов к получению, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователи направляются на вредоносный сайт, где их просят подключить кошелек и подписать "транзакцию проверки". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес злоумышленника; или это может быть операция "SetApprovalForAll", которая позволяет злоумышленнику контролировать коллекцию NFT пользователя.
Реальный случай:
Некоторые известные сообщества NFT проектов стали жертвами фишинговой атаки на подписи, в результате чего несколько пользователей потеряли NFTs на сумму в несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Злоумышленники использовали стандарт подписи EIP-712 для подделки на вид безопасных запросов.
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал этого активно. Злоумышленники используют это, отправляя небольшие количества криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками.
Способ работы:
Атакующие отправляют небольшие суммы криптовалюты на разные адреса, пытаясь выяснить, какие из них принадлежат одному и тому же кошельку. Затем, используя эту информацию, они начинают фишинговые атаки или угрожают жертве. В большинстве случаев "пыль", используемая в пыльевых атаках, распределяется в виде аирдропа в кошельки пользователей; эти токены могут иметь определенные названия или метаданные, чтобы诱导用户访问某个网站查询详情.
Реальный случай:
На сети Эфириум произошла атака "пылевыми токенами GAS", затронувшая тысячи кошельков. Некоторые пользователи, проявив любопытство, потеряли ETH и токены ERC-20.
Два, почему эти мошенничества трудно обнаружить?
Эти схемы мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную сущность. Основные причины включают:
Техническая сложность: Код смарт-контрактов и запросы на подпись для нетехнических пользователей непонятны.
Законность на блокчейне: Все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже.
Социальная инженерия: Нападающие используют человеческие слабости, такие как жадность, страх или доверие.
Сложная маскировка: Фишинговые сайты могут использовать URL, похожие на официальные домены, и даже повышать доверие с помощью сертификатов HTTPS.
Три. Как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, которые сочетают в себе технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями
Регулярно проверяйте записи авторизации кошелька с помощью инструмента проверки авторизации блокчейн-эксплорера.
Отмените ненужные разрешения, особенно неограниченные разрешения для неизвестных адресов.
Перед каждой авторизацией убедитесь, что DApp поступает из надежного источника.
Проверьте ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат.
Будьте осторожны с ошибками в написании или лишними символами в доменных именах.
Используйте холодный кошелек и мультиподпись
Храните большую часть активов в аппаратных кошельках и подключайте к сети только в случае необходимости.
Для крупных активов используйте инструменты многофакторной подписи, требующие подтверждения транзакции несколькими ключами.
Осторожно обрабатывайте запросы на подпись
При каждом подписании внимательно читайте детали транзакции в всплывающем окне кошелька.
Используйте функцию декодирования блокчейн-браузера для анализа содержимого подписи, или проконсультируйтесь с техническим экспертом.
Создайте отдельный кошелек для высокорисковых операций и храните в нем небольшое количество активов.
Противодействие атакам с пылью
После получения неизвестных токенов не взаимодействуйте с ними. Отметьте их как "спам" или скройте.
Подтвердите источник токена через Блокчейн браузер, если это массовая отправка, будьте крайне внимательны.
Избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Реализация вышеуказанных мер безопасности может значительно снизить риск стать жертвой сложных мошеннических схем, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осмотрительность в поведении на блокчейне становятся последней крепостью для защиты от атак.
В будущем, независимо от того, как будет развиваться технология, наиболее важная линия защиты всегда будет заключаться в следующем: внутреннее усвоение осознания безопасности в привычку, установление баланса между доверием и проверкой. В мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда фиксируется и не может быть изменена. Будьте бдительны, действуйте осторожно, чтобы безопасно продвигаться в этой новой области цифровых финансов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
6 Лайков
Награда
6
4
Репост
Поделиться
комментарий
0/400
Degen4Breakfast
· 08-17 05:27
Блокчейн навсегда неудачники
Посмотреть ОригиналОтветить0
WagmiWarrior
· 08-17 05:15
Дайте разрешение, пусть все смотрят с открытыми глазами
Посмотреть ОригиналОтветить0
WalletWhisperer
· 08-17 05:10
精神小伙 专做 Непостоянные потери
Посмотреть ОригиналОтветить0
MEV_Whisperer
· 08-17 05:07
Помните, что отслеживание — это ключ к успеху! Исследование авторизации весь день не сравнится с изучением принципов MEV.
Риски авторизации смарт-контрактов: новые вызовы и стратегии защиты безопасности Блокчейн
Смарт-контракты авторизация: Блокчейн безопасный двойной меч
Криптовалюты и технологии Блокчейн меняют финансовую сферу, но эта трансформация также принесла новые проблемы безопасности. Атакующие больше не ограничиваются использованием технических уязвимостей, а превращают сами протоколы Блокчейн в инструменты атаки. Через тщательно спланированные социальные инженерные ловушки они используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в средства кражи активов. От тщательно сконструированных смарт-контрактов до манипуляций с межсетевыми транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и более обманчивы из-за их "законного" внешнего вида. В данной статье будут проанализированы реальные примеры, раскрывающие, как атакующие превращают протоколы в средства атаки, и предложены комплексные решения от технической защиты до поведенческих мер, чтобы вы могли безопасно двигаться в децентрализованном мире.
Один. Как соглашение становится инструментом мошенничества?
Блокчейн протокол изначально предназначен для обеспечения безопасности и доверия, но злоумышленники используют его особенности, сочетая с неосторожностью пользователей, создавая различные скрытые способы атак. Вот некоторые методы и их технические детали:
(1) Мошеннические смарт-контракты
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям с помощью функции "Approve" разрешать третьим лицам (обычно смарт-контрактам) извлечение указанного количества токенов из их кошельков. Эта функция широко используется в протоколах DeFi, пользователи должны разрешить смарт-контрактам завершение транзакций, стекинг или ликвидность. Однако злоумышленники используют этот механизм для разработки вредоносных контрактов.
Способ работы:
Атакующие создают DApp, замаскированные под легитимные проекты, обычно продвигая их через фишинговые сайты или социальные сети. Пользователи подключают кошельки и их обманывают, заставляя нажать «Approve», что на поверхности выглядит как разрешение на небольшое количество токенов, но на самом деле может быть безлимитным (значение uint256.max). Как только авторизация завершена, адрес контракта атакующего получает разрешение и может в любой момент вызвать функцию «TransferFrom», чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, замаскированный под "обновление какого-то DEX", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства законным путем, так как авторизация была подписана добровольно.
(2) Подпись Фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователей генерировать подпись с помощью приватного ключа для подтверждения законности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция транслируется в сеть. Злоумышленники используют этот процесс для подделки запроса на подпись и кражи активов.
Способ работы:
Пользователи получают письма или сообщения в социальных сетях, замаскированные под официальные уведомления, например, "Ваш NFT airdrop готов к получению, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователи направляются на вредоносный сайт, где их просят подключить кошелек и подписать "транзакцию проверки". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес злоумышленника; или это может быть операция "SetApprovalForAll", которая позволяет злоумышленнику контролировать коллекцию NFT пользователя.
Реальный случай:
Некоторые известные сообщества NFT проектов стали жертвами фишинговой атаки на подписи, в результате чего несколько пользователей потеряли NFTs на сумму в несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Злоумышленники использовали стандарт подписи EIP-712 для подделки на вид безопасных запросов.
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал этого активно. Злоумышленники используют это, отправляя небольшие количества криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками.
Способ работы:
Атакующие отправляют небольшие суммы криптовалюты на разные адреса, пытаясь выяснить, какие из них принадлежат одному и тому же кошельку. Затем, используя эту информацию, они начинают фишинговые атаки или угрожают жертве. В большинстве случаев "пыль", используемая в пыльевых атаках, распределяется в виде аирдропа в кошельки пользователей; эти токены могут иметь определенные названия или метаданные, чтобы诱导用户访问某个网站查询详情.
Реальный случай:
На сети Эфириум произошла атака "пылевыми токенами GAS", затронувшая тысячи кошельков. Некоторые пользователи, проявив любопытство, потеряли ETH и токены ERC-20.
Два, почему эти мошенничества трудно обнаружить?
Эти схемы мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную сущность. Основные причины включают:
Три. Как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, которые сочетают в себе технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями
Проверьте ссылку и источник
Используйте холодный кошелек и мультиподпись
Осторожно обрабатывайте запросы на подпись
Противодействие атакам с пылью
Заключение
Реализация вышеуказанных мер безопасности может значительно снизить риск стать жертвой сложных мошеннических схем, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осмотрительность в поведении на блокчейне становятся последней крепостью для защиты от атак.
В будущем, независимо от того, как будет развиваться технология, наиболее важная линия защиты всегда будет заключаться в следующем: внутреннее усвоение осознания безопасности в привычку, установление баланса между доверием и проверкой. В мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда фиксируется и не может быть изменена. Будьте бдительны, действуйте осторожно, чтобы безопасно продвигаться в этой новой области цифровых финансов.