Криптовалюти та технології блокчейн змінюють фінансову сферу, але ця трансформація також принесла нові виклики безпеки. Зловмисники більше не обмежуються використанням технологічних вразливостей, а перетворюють самі протоколи блокчейн на інструменти атаки. Завдяки ретельно спроектованим схемам соціальної інженерії вони використовують прозорість та незворотність блокчейн, перетворюючи довіру користувачів на засіб для викрадення активів. Від ретельно складених смартконтрактів до маніпуляцій з міжланцюговими транзакціями, ці атаки не лише приховані та важкі для виявлення, а й завдяки їх "легітимному" вигляду є більш обманливими. У цій статті буде проаналізовано реальні випадки, розкрито, як зловмисники перетворюють протоколи на засоби атак, і надано всебічні рішення від технологічного захисту до поведінкових запобіжників, щоб ви могли безпечно просуватися у децентралізованому світі.
Одне. Як угода може стати інструментом шахрайства?
Блокчейн протокол спочатку мав на меті забезпечення безпеки та довіри, але зловмисники використовують його особливості, поєднуючи з недбалістю користувачів, щоб створити різноманітні приховані способи атаки. Нижче наведені деякі методи та їх технічні деталі:
(1) Зловмисні смартконтракти на авторизацію
Технічний принцип:
На таких Блокчейн, як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай це смартконтракти) витягувати з їх гаманців вказану кількість токенів. Ця функція широко використовується в DeFi-протоколах, де користувачі повинні уповноважити смартконтракти для завершення угод, стейкінгу або ліквідного майнінгу. Однак зловмисники використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Зловмисники створюють DApp, що маскуються під легітимні проекти, зазвичай просуваючи їх через фішингові сайти або соціальні мережі. Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на вигляд є авторизацією невеликої кількості токенів, але насправді це може бути безмежний ліміт (значення uint256.max). Як тільки авторизація завершена, адреса контракту зловмисника отримує повноваження, що дозволяє в будь-який час викликати функцію "TransferFrom" для вилучення всіх відповідних токенів з гаманця користувача.
Справжній випадок:
На початку 2023 року фішинговий сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів у мільйонах доларів США у USDT та ETH. Дані на блокчейні показують, що ці транзакції повністю відповідали стандарту ERC-20, а жертви навіть не змогли повернути свої кошти через юридичні методи, оскільки авторизація була добровільно підписана.
(2) підписне риболовство
Технічний принцип:
Блокчейн-транзакції вимагають від користувачів створення підпису за допомогою приватного ключа для підтвердження легітимності транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувача транзакція транслюється в мережу. Зловмисники використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб роботи:
Користувач отримує електронні листи або повідомлення в соціальних мережах, що маскуються під офіційні сповіщення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, перевірте гаманець". Натиснувши на посилання, користувач потрапляє на шкідливий вебсайт, де вимагається підключити гаманець і підписати "транзакцію перевірки". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить ETH або токени з гаманця на адресу зловмисника; або ж це може бути операція "SetApprovalForAll", що надає зловмиснику контроль над колекцією NFT користувача.
Реальний випадок:
Відомий NFT проект зазнав атаки фішингу через підписи, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених транзакцій "отримання аеродропу". Зловмисники використали стандарт підпису EIP-712, підробивши запити, які виглядали безпечними.
(3) Фальшиві токени та "атака пилу"
Технічні принципи:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не запитував цього. Зловмисники використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежити активність гаманців і зв'язати їх з особою або компанією, що володіє гаманцем.
Спосіб роботи:
Атакуюча особа відправляє невелику кількість криптовалюти на різні адреси, намагаючись дізнатися, які з них належать одному й тому ж гаманцю. Потім, використовуючи цю інформацію, вона здійснює фішингові атаки або погрози на адресу жертви. У більшості випадків "пилові" атаки використовують "пил", який викидається у формі аерозольних виплат у гаманці користувача, ці токени можуть мати певну назву або метадані, які спонукають користувача відвідати певний веб-сайт для отримання деталей.
Справжній випадок:
В мережі Ethereum виникла "пилова атака GAS-токенів", що вплинула на тисячі гаманців. Деякі користувачі через цікавість втратили ETH та ERC-20 токени.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню злочинну природу. Головні причини включають:
Технічна складність: Код смартконтрактів та запити на підпис для нетехнічних користувачів є незрозумілими.
Правомірність на ланцюзі: Усі транзакції записуються в Блокчейн, здається прозорими, але жертви часто усвідомлюють наслідки авторизації або підпису лише після факту.
Соціальна інженерія: Зловмисники використовують людські слабкості, такі як жадібність, страх або довіра.
Тонка маскування: Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть отримуючи HTTPS-сертифікати для підвищення довіри.
Три, як захистити ваш гаманець для криптовалюти?
Перед обличчям цих шахрайств, що поєднують технічні та психологічні війни, захист активів вимагає багаторівневих стратегій. Ось детальний перелік заходів запобігання:
Скасувати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
Перед кожним авторизацією переконайтеся, що DApp походить з надійного джерела.
перевірка посилання та джерела
Введіть офіційне URL-адресу вручну, уникаючи клацання на посиланнях у соціальних мережах чи електронних листах.
Переконайтеся, що веб-сайт використовує правильне ім'я домену та SSL-сертифікат.
Будьте обережні з помилками в написанні або зайвими символами в домені.
Використання холодного гаманця та мультипідпису
Зберігайте більшість активів у апаратних гаманцях, підключайтеся до мережі лише в разі необхідності.
Для великих активів використовуйте інструменти з багатопідписом, що вимагають підтвердження транзакції кількома ключами.
Обережно обробляйте запити на підпис
При кожному підписанні уважно читайте деталі транзакції у вікні гаманця.
Використовуйте функцію декодування блокчейн-браузера для аналізу змісту підпису або зверніться до технічного експерта.
Створіть незалежний гаманець для високоризикованих операцій, зберігайте невелику кількість активів.
Реакція на атаки пилу
Після отримання невідомих токенів не взаємодійте з ними. Позначте їх як "сміття" або сховайте.
Підтверджуйте походження токена через Блокчейн браузер, якщо це масова відправка, будьте дуже обережні.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Впровадження зазначених заходів безпеки може суттєво знизити ризик стати жертвою висококласних шахрайських схем, але справжня безпека не залежить лише від технологій. Коли апаратні гаманці створюють фізичний бар'єр, а багатопідпис розподіляє ризик, розуміння користувачами логіки авторизації та обережність щодо поведінки в ланцюзі є останнім оплотом для захисту від атак.
У майбутньому, незалежно від того, як технології еволюціонують, найосновніша лінія захисту завжди полягатиме в тому, щоб інтерналізувати усвідомлення безпеки як звичку, встановлюючи баланс між довірою та перевіркою. У світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди фіксуються і не можуть бути змінені. Залишайтеся пильними, дійте обережно, щоб безпечно рухатися в цій новій сфері цифрових фінансів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
6 лайків
Нагородити
6
4
Репост
Поділіться
Прокоментувати
0/400
Degen4Breakfast
· 08-17 05:27
Блокчейн завжди невдахи
Переглянути оригіналвідповісти на0
WagmiWarrior
· 08-17 05:15
Дозвольте чотирьом очам відкритися, друзі
Переглянути оригіналвідповісти на0
WalletWhisperer
· 08-17 05:10
Духовний молодик спеціалізується на Непостійні втрати
Переглянути оригіналвідповісти на0
MEV_Whisperer
· 08-17 05:07
Пам'ятайте, що відстеження - це шлях до успіху! Замість того, щоб цілий день вивчати авторизацію, краще вивчити принципи MEV.
Ризики авторизації смартконтрактів: нові виклики безпеки Блокчейн та стратегії захисту
смартконтракти授权:Блокчейн安全的双刃剑
Криптовалюти та технології блокчейн змінюють фінансову сферу, але ця трансформація також принесла нові виклики безпеки. Зловмисники більше не обмежуються використанням технологічних вразливостей, а перетворюють самі протоколи блокчейн на інструменти атаки. Завдяки ретельно спроектованим схемам соціальної інженерії вони використовують прозорість та незворотність блокчейн, перетворюючи довіру користувачів на засіб для викрадення активів. Від ретельно складених смартконтрактів до маніпуляцій з міжланцюговими транзакціями, ці атаки не лише приховані та важкі для виявлення, а й завдяки їх "легітимному" вигляду є більш обманливими. У цій статті буде проаналізовано реальні випадки, розкрито, як зловмисники перетворюють протоколи на засоби атак, і надано всебічні рішення від технологічного захисту до поведінкових запобіжників, щоб ви могли безпечно просуватися у децентралізованому світі.
Одне. Як угода може стати інструментом шахрайства?
Блокчейн протокол спочатку мав на меті забезпечення безпеки та довіри, але зловмисники використовують його особливості, поєднуючи з недбалістю користувачів, щоб створити різноманітні приховані способи атаки. Нижче наведені деякі методи та їх технічні деталі:
(1) Зловмисні смартконтракти на авторизацію
Технічний принцип:
На таких Блокчейн, як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай це смартконтракти) витягувати з їх гаманців вказану кількість токенів. Ця функція широко використовується в DeFi-протоколах, де користувачі повинні уповноважити смартконтракти для завершення угод, стейкінгу або ліквідного майнінгу. Однак зловмисники використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Зловмисники створюють DApp, що маскуються під легітимні проекти, зазвичай просуваючи їх через фішингові сайти або соціальні мережі. Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на вигляд є авторизацією невеликої кількості токенів, але насправді це може бути безмежний ліміт (значення uint256.max). Як тільки авторизація завершена, адреса контракту зловмисника отримує повноваження, що дозволяє в будь-який час викликати функцію "TransferFrom" для вилучення всіх відповідних токенів з гаманця користувача.
Справжній випадок:
На початку 2023 року фішинговий сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів у мільйонах доларів США у USDT та ETH. Дані на блокчейні показують, що ці транзакції повністю відповідали стандарту ERC-20, а жертви навіть не змогли повернути свої кошти через юридичні методи, оскільки авторизація була добровільно підписана.
(2) підписне риболовство
Технічний принцип:
Блокчейн-транзакції вимагають від користувачів створення підпису за допомогою приватного ключа для підтвердження легітимності транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувача транзакція транслюється в мережу. Зловмисники використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб роботи:
Користувач отримує електронні листи або повідомлення в соціальних мережах, що маскуються під офіційні сповіщення, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, перевірте гаманець". Натиснувши на посилання, користувач потрапляє на шкідливий вебсайт, де вимагається підключити гаманець і підписати "транзакцію перевірки". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить ETH або токени з гаманця на адресу зловмисника; або ж це може бути операція "SetApprovalForAll", що надає зловмиснику контроль над колекцією NFT користувача.
Реальний випадок:
Відомий NFT проект зазнав атаки фішингу через підписи, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених транзакцій "отримання аеродропу". Зловмисники використали стандарт підпису EIP-712, підробивши запити, які виглядали безпечними.
(3) Фальшиві токени та "атака пилу"
Технічні принципи:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не запитував цього. Зловмисники використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежити активність гаманців і зв'язати їх з особою або компанією, що володіє гаманцем.
Спосіб роботи:
Атакуюча особа відправляє невелику кількість криптовалюти на різні адреси, намагаючись дізнатися, які з них належать одному й тому ж гаманцю. Потім, використовуючи цю інформацію, вона здійснює фішингові атаки або погрози на адресу жертви. У більшості випадків "пилові" атаки використовують "пил", який викидається у формі аерозольних виплат у гаманці користувача, ці токени можуть мати певну назву або метадані, які спонукають користувача відвідати певний веб-сайт для отримання деталей.
Справжній випадок:
В мережі Ethereum виникла "пилова атака GAS-токенів", що вплинула на тисячі гаманців. Деякі користувачі через цікавість втратили ETH та ERC-20 токени.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню злочинну природу. Головні причини включають:
Три, як захистити ваш гаманець для криптовалюти?
Перед обличчям цих шахрайств, що поєднують технічні та психологічні війни, захист активів вимагає багаторівневих стратегій. Ось детальний перелік заходів запобігання:
Перевірка та управління дозволами
перевірка посилання та джерела
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис
Реакція на атаки пилу
Висновок
Впровадження зазначених заходів безпеки може суттєво знизити ризик стати жертвою висококласних шахрайських схем, але справжня безпека не залежить лише від технологій. Коли апаратні гаманці створюють фізичний бар'єр, а багатопідпис розподіляє ризик, розуміння користувачами логіки авторизації та обережність щодо поведінки в ланцюзі є останнім оплотом для захисту від атак.
У майбутньому, незалежно від того, як технології еволюціонують, найосновніша лінія захисту завжди полягатиме в тому, щоб інтерналізувати усвідомлення безпеки як звичку, встановлюючи баланс між довірою та перевіркою. У світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди фіксуються і не можуть бути змінені. Залишайтеся пильними, дійте обережно, щоб безпечно рухатися в цій новій сфері цифрових фінансів.