смартконтракти авторизація: Децентралізовані фінанси світу двосічний меч

Криптовалюти та технології блокчейн перебудовують концепцію фінансової свободи, але ця революція також принесла нові виклики. Шахраї більше не обмежуються використанням технологічних вразливостей, а перетворюють самі протоколи смартконтрактів блокчейн на інструменти атак. Через ретельно сплановані соціальні інженерні пастки вони використовують прозорість та незворотність блокчейну, перетворюючи довіру користувачів на засіб для крадіжки активів. Від підроблених смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані та важкі для виявлення, але й завдяки своїй "легітимній" зовнішності мають надзвичайно сильну обманність. У цій статті буде проаналізовано реальні випадки, щоб продемонструвати, як шахраї перетворюють протоколи на носії атак, а також буде надано комплексне рішення, яке охоплює від технічного захисту до поведінкових запобіжників, щоб допомогти вам безпечно просуватися у світі децентралізації.

Один. Як угода стає інструментом шахрайства?

Проектування блокчейн-протоколів спочатку було спрямоване на забезпечення безпеки та довіри, але шахраї використовують його особливості, поєднуючи їх з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Ось деякі методи та технічні деталі їх пояснення:

(1) зловмисне надання прав смартконтракту

Технічний принцип:

На блокчейнах, таких як Ефір, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай смартконтракти) витягувати з їхнього гаманця вказану кількість токенів. Ця функція широко використовується в Децентралізованих фінансах, таких як певні DEX або платформи кредитування, де користувачам потрібно уповноважити смартконтракти для виконання транзакцій, стейкінгу або видобутку ліквідності. Проте шахраї використовують цей механізм для створення зловмисних контрактів.

Спосіб роботи:

Шахраї створюють DApp, що маскується під легальний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці і їх спонукають натиснути "Approve", що на перший погляд є авторизацією невеликої кількості токенів, насправді це може бути безмежний ліміт (значення uint256.max). Як тільки авторизація завершена, адреса контракту шахраїв отримує дозволи і може в будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.

Справжній випадок:

На початку 2023 року фішинговий сайт, який маскувався під оновлення одного з DEX, призвів до втрати сотень користувачів мільйонів доларів стабільних монет та основних криптовалют. Дані в блокчейні показують, що ці транзакції повністю відповідають стандарту ERC-20, а жертви навіть не можуть повернути свої кошти через законні засоби, оскільки авторизація була підписана добровільно.

(2) підпис риболовля

Технічний принцип:

Блокчейн-транзакції потребують, щоб користувачі генерували підпис через приватний ключ, щоб підтвердити легітимність транзакції. Гаманець зазвичай відображає запит на підпис, після підтвердження користувача транзакція транслюється в мережу. Шахраї використовують цей процес для підробки запитів на підпис з метою крадіжки активів.

Спосіб роботи:

Користувач отримує листа, що маскується під офіційне повідомлення, або миттєве повідомлення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, перевірте гаманець". Клікнувши на посилання, користувач перенаправляється на зловмисний сайт, де просять підключити гаманець і підписати "перевірочну транзакцію". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить активи з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що надає шахраям контроль над колекцією NFT користувача.

Справжній випадок:

У спільноті відомого NFT-проєкту сталася атака риболовлі через підпис, внаслідок якої кілька користувачів, підписавши підроблену угоду на "отримання аеродропу", втратили NFT на суму в кілька мільйонів доларів. Зловмисники використали стандарт підпису EIP-712, підробивши, здавалося б, безпечний запит.

(3) Фальшиві токени та "атака пилу"

Технічний принцип:

Відкритість блокчейну дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не робить активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати діяльність гаманців і пов’язувати їх з особами або компаніями, які їх володіють. Атака починається з надсилання пилу, після чого зловмисник намагається визначити, які з них належать одному й тому ж гаманцю. Потім зловмисник використовує цю інформацію, щоб здійснити фішингові атаки або погрози до жертви.

Спосіб роботи:

Атаки з пилу зазвичай надсилаються у формі аірдропів до гаманців користувачів, ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний вебсайт для отримання деталей. Користувачі можуть захотіти обміняти ці токени, що дозволяє зловмисникам отримати доступ до гаманця користувача через адресу контракту, що додається до токенів. Ще більш приховано, атаки з пилу можуть використовувати соціальну інженерію, аналізуючи подальші транзакції користувача, щоб зафіксувати активні адреси гаманців користувачів, що дозволяє реалізувати більш точні шахрайства.

Справжні приклади:

Досі на певній блокчейн-мережі сталося "GAS токен" атака пилу, яка вплинула на тисячі гаманців. Частина користувачів через цікавість взаємодії втратила основні криптовалюти та токени.

Два, чому ці шахрайства важко виявити?

Ці шахрайства стали успішними, в значній мірі тому, що вони приховані в легітимних механізмах блокчейну, звичайним користувачам важко розрізнити їх злочинну природу. Ось кілька ключових причин:

• Технологічна складність: Код смартконтрактів та запити на підпис є незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані на кшталт "0x095ea7b3...", і користувач не може інтуїтивно зрозуміти його значення.

• Онлайн законність: Усі транзакції записуються в блокчейні, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже неможливо повернути.

• Соціальна інженерія: Шахраї використовують слабкості людської природи, такі як жадібність ("безкоштовно отримати токени на 1000 доларів"), страх ("незвичайна активність у вашому акаунті, потрібно підтвердити") або довіру (маскуються під службу підтримки гаманця).

• Маскування майстерне: Фішингові сайти можуть використовувати URL, схожі на офіційний домен, навіть підвищуючи довіру за допомогою HTTPS-сертифікатів.

Три, як захистити свій криптовалютний гаманець?

Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів вимагає багатоаспектної стратегії. Нижче наведено детальні заходи запобігання:

перевірка та управління дозволами

• Використовуйте інструменти перевірки прав доступу для регулярної перевірки записів авторизації гаманця.
• Скасування непотрібних дозволів, особливо на безмежні дозволи для невідомих адрес.
• Перед кожним авторизацією переконайтеся, що DApp походить з надійного джерела.
• Перевірте значення "Allowance", якщо воно "безмежне" (наприклад, 2^256-1), слід негайно скасувати.

перевірка посилання та джерела

• Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
• Переконайтеся, що сайт використовує правильне доменне ім'я та SSL-сертифікат (зелене значок замка).
• Будьте обережні з орфографічними помилками або зайвими символами.

Використання холодного гаманця та мультипідпису

• Зберігайте більшість активів у апаратних гаманцях і підключайте до мережі лише за необхідності.
• Для великих активів використовуйте інструменти мультипідпису, що вимагають підтвердження транзакції кількома ключами, щоб знизити ризик одноточкових помилок.
• Навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.

Обережно обробляйте запити на підпис.

• Щоразу, підписуючи, уважно читайте деталі транзакції у спливаючому вікні гаманця.
• Використовуйте функцію "Decode Input Data" у блокчейн-браузері для解析ування підписаного вмісту або зверніться до технічного експерта.
• Створіть окремий гаманець для високоризикованих операцій, зберігайте невелику кількість активів.

реагувати на атаки пилу

• Після отримання невідомих токенів не взаємодійте. Позначте їх як "сміття" або приховайте.
• Підтверджуйте джерело токенів через блокчейн-броузер, якщо це масова відправка, будьте дуже обережні.
• Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.

Висновок

Завдяки впровадженню вищезгаданих заходів безпеки, користувачі можуть суттєво знизити ризик стати жертвами розширених шахрайських схем, але справжня безпека ніколи не є односторонньою перемогою технологій. Коли апаратні гаманці створюють фізичну лінію оборони, а мультипідписи розподіляють ризикові експозиції, саме розуміння користувачами логіки авторизації та обережність щодо поведінки в мережі є останньою фортецею в захисті від атак. Кожен аналіз даних перед підписом та кожна перевірка прав після авторизації є клятвою щодо власного цифрового суверенітету.

У майбутньому, незалежно від того, як будуть ітерувати технології, найосновніша лінія оборони завжди полягатиме в тому, щоб інтерналізувати усвідомлення безпеки в м'язову пам'ять, встановлюючи вічний баланс між довірою та перевіркою. Адже в світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди фіксується в ланцюгу, їх неможливо змінити.