Las trampas ocultas del mundo de la cadena de bloques: cómo los contratos inteligentes pueden convertirse en herramientas de robo de activos
Las criptomonedas y la tecnología de la cadena de bloques están remodelando el concepto de libertad financiera, pero esta revolución también ha traído nuevos desafíos de seguridad. Los estafadores ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que han convertido los propios protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia y la irreversibilidad de la cadena de bloques para transformar la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques son no solo encubiertos y difíciles de rastrear, sino que también son altamente engañosos debido a su apariencia "legalizada".
I. ¿Cómo se convierte un acuerdo legal en una herramienta de fraude?
El protocolo de la Cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores aprovechan ingeniosamente sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación, se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de token ERC-20 permite a los usuarios autorizar a terceros a retirar una cantidad específica de tokens de su billetera mediante la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de funcionamiento:
Los estafadores crean una DApp que se disfraza de un proyecto legítimo, a menudo promovida a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito. Una vez completada la autorización, la dirección del contrato del estafador obtiene permisos para extraer todos los tokens correspondientes de la billetera del usuario en cualquier momento.
Caso real:
A principios de 2023, un sitio web de phishing disfrazado como "una actualización de cierto DEX" causó pérdidas de millones de dólares en USDT y ETH a cientos de usuarios. Los datos en la cadena muestran que estas transacciones cumplen totalmente con el estándar ERC-20, y las víctimas ni siquiera pueden recuperar su dinero por medios legales, ya que la autorización fue firmada de forma voluntaria.
(2) firma de phishing
Principio técnico:
Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para demostrar la legitimidad de la transacción. La billetera generalmente mostrará una solicitud de firma, y una vez que el usuario confirme, la transacción se transmitirá a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operación:
El usuario recibe un correo electrónico o un mensaje en redes sociales disfrazado de notificación oficial, como "Su airdrop de NFT está listo para ser reclamado, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso, que le solicita conectar su billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación de "SetApprovalForAll", que autoriza al estafador a controlar la colección de NFT del usuario.
Caso real:
Una conocida comunidad de proyectos NFT sufrió un ataque de phishing por firma, y varios usuarios perdieron NFT por un valor de millones de dólares al firmar transacciones de "reclamación de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico:
La transparencia de la cadena de bloques permite que cualquier persona envíe tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla con la persona o empresa que posee la billetera.
Método de operación:
En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye a las billeteras de los usuarios en forma de airdrop; estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para consultar detalles. Los usuarios pueden intentar canjear estos tokens, lo que permite a los atacantes acceder a la billetera del usuario a través de la dirección del contrato asociada con el token. Más sutilmente, los atacantes utilizan ingeniería social, analizando las transacciones posteriores del usuario, para identificar la dirección de la billetera activa del usuario y llevar a cabo fraudes más precisos.
Caso real:
Una vez, un ataque de "token de combustible" en la red de Ethereum afectó a miles de billeteras. Algunos usuarios perdieron ETH y tokens ERC-20 por curiosidad al interactuar.
Dos, ¿por qué estas estafas son difíciles de detectar?
El éxito de estas estafas se debe en gran medida a que se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación, se presentan algunas razones clave:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales complejos, lo que hace que el usuario no pueda juzgar intuitivamente su significado.
Legalidad en cadena: todas las transacciones se registran en la Cadena de bloques, parece transparente, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma solo después, y en ese momento los activos ya no se pueden recuperar.
Ingeniería social: Los estafadores aprovechan las debilidades humanas, como la avaricia ("obtener tokens gratis"), el miedo ("se requiere verificación por actividad inusual en la cuenta") o la confianza (suplantando a servicio al cliente).
Camuflaje ingenioso: los sitios web de phishing pueden utilizar URLs que son similares a los nombres de dominio oficiales, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples capas. A continuación se detallan las medidas de prevención:
Verificar y gestionar los permisos de autorización
Utilice la herramienta de verificación de autorización del explorador de cadenas de bloques para verificar el historial de autorizaciones de la billetera.
Revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Antes de cada autorización, asegúrate de que el DApp provenga de una fuente confiable.
Verifique el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Verificar enlace y origen
Ingrese manualmente la URL oficial, evite hacer clic en enlaces de redes sociales o correos electrónicos.
Asegúrese de que el sitio web utilice el nombre de dominio correcto y un certificado SSL (ícono de candado verde).
Tenga cuidado con errores de ortografía o caracteres adicionales.
usar una billetera fría y firmas múltiples
Almacene la mayor parte de los activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
Para activos de gran valor, use herramientas de firma múltiple que requieran la confirmación de la transacción por múltiples claves, reduciendo el riesgo de errores únicos.
Maneje con cuidado las solicitudes de firma
Lee detenidamente los detalles de la transacción en la ventana emergente de la billetera cada vez que firmes.
Utilice la función "Decodificar datos de entrada" del explorador de cadenas de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
Crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
enfrentar ataques de polvo
Después de recibir tokens desconocidos, no interactúe. Márquelos como "correo no deseado" o esconda.
Confirme la procedencia del token a través del explorador de la cadena de bloques, si es un envío masivo, mantenga una alta vigilancia.
Evita hacer público tu dirección de billetera o utiliza una nueva dirección para realizar operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de esquemas de fraude avanzados. Sin embargo, la verdadera seguridad no solo depende de medios técnicos. Cuando las carteras de hardware construyen una defensa física y la firma múltiple dispersa el riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última línea de defensa contra los ataques.
Cada análisis de datos antes de firmar, cada revisión de permisos después de la autorización, es un mantenimiento de la soberanía digital propia. En el futuro, sin importar cómo evolucione la tecnología, la defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como un hábito y mantener un equilibrio entre la confianza y la verificación. En el mundo de la Cadena de bloques, cada clic y cada transacción se registran de manera permanente e inalterable. Por lo tanto, cultivar una actitud prudente y una comprensión profunda será clave para garantizar la seguridad de los activos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
7
Compartir
Comentar
0/400
BridgeJumper
· 07-08 02:25
¿Quién se atreve a firmar contratos inteligentes?
Ver originalesResponder0
Rekt_Recovery
· 07-06 10:45
perdí todos mis ahorros de vida por el apalancamiento... pero estoy aquí para ayudar a otros a evitar mis errores jaja
Ver originalesResponder0
OvertimeSquid
· 07-05 05:06
Realmente el aprendizaje no tiene fin, y los estafadores también se están volviendo cada vez más astutos.
Ver originalesResponder0
LayoffMiner
· 07-05 05:06
¿Los tontos probablemente todos han pasado por esta lección, verdad?
Ver originalesResponder0
DeadTrades_Walking
· 07-05 04:55
Los viejos proyectos se basan en el engaño para comenzar.
Ver originalesResponder0
BrokeBeans
· 07-05 04:45
Al firmar ya no hay dinero, tengo miedo, tengo miedo.
Cadena de bloques contratos inteligentes se convierten en herramientas de robo de activos: Guía completa para prevenir técnicas de fraude avanzadas
Las trampas ocultas del mundo de la cadena de bloques: cómo los contratos inteligentes pueden convertirse en herramientas de robo de activos
Las criptomonedas y la tecnología de la cadena de bloques están remodelando el concepto de libertad financiera, pero esta revolución también ha traído nuevos desafíos de seguridad. Los estafadores ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que han convertido los propios protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia y la irreversibilidad de la cadena de bloques para transformar la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques son no solo encubiertos y difíciles de rastrear, sino que también son altamente engañosos debido a su apariencia "legalizada".
I. ¿Cómo se convierte un acuerdo legal en una herramienta de fraude?
El protocolo de la Cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores aprovechan ingeniosamente sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación, se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico: En cadenas de bloques como Ethereum, el estándar de token ERC-20 permite a los usuarios autorizar a terceros a retirar una cantidad específica de tokens de su billetera mediante la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de funcionamiento: Los estafadores crean una DApp que se disfraza de un proyecto legítimo, a menudo promovida a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito. Una vez completada la autorización, la dirección del contrato del estafador obtiene permisos para extraer todos los tokens correspondientes de la billetera del usuario en cualquier momento.
Caso real: A principios de 2023, un sitio web de phishing disfrazado como "una actualización de cierto DEX" causó pérdidas de millones de dólares en USDT y ETH a cientos de usuarios. Los datos en la cadena muestran que estas transacciones cumplen totalmente con el estándar ERC-20, y las víctimas ni siquiera pueden recuperar su dinero por medios legales, ya que la autorización fue firmada de forma voluntaria.
(2) firma de phishing
Principio técnico: Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para demostrar la legitimidad de la transacción. La billetera generalmente mostrará una solicitud de firma, y una vez que el usuario confirme, la transacción se transmitirá a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operación: El usuario recibe un correo electrónico o un mensaje en redes sociales disfrazado de notificación oficial, como "Su airdrop de NFT está listo para ser reclamado, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso, que le solicita conectar su billetera y firmar una "transacción de verificación". Esta transacción puede ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación de "SetApprovalForAll", que autoriza al estafador a controlar la colección de NFT del usuario.
Caso real: Una conocida comunidad de proyectos NFT sufrió un ataque de phishing por firma, y varios usuarios perdieron NFT por un valor de millones de dólares al firmar transacciones de "reclamación de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico: La transparencia de la cadena de bloques permite que cualquier persona envíe tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla con la persona o empresa que posee la billetera.
Método de operación: En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye a las billeteras de los usuarios en forma de airdrop; estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para consultar detalles. Los usuarios pueden intentar canjear estos tokens, lo que permite a los atacantes acceder a la billetera del usuario a través de la dirección del contrato asociada con el token. Más sutilmente, los atacantes utilizan ingeniería social, analizando las transacciones posteriores del usuario, para identificar la dirección de la billetera activa del usuario y llevar a cabo fraudes más precisos.
Caso real: Una vez, un ataque de "token de combustible" en la red de Ethereum afectó a miles de billeteras. Algunos usuarios perdieron ETH y tokens ERC-20 por curiosidad al interactuar.
Dos, ¿por qué estas estafas son difíciles de detectar?
El éxito de estas estafas se debe en gran medida a que se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación, se presentan algunas razones clave:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales complejos, lo que hace que el usuario no pueda juzgar intuitivamente su significado.
Legalidad en cadena: todas las transacciones se registran en la Cadena de bloques, parece transparente, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma solo después, y en ese momento los activos ya no se pueden recuperar.
Ingeniería social: Los estafadores aprovechan las debilidades humanas, como la avaricia ("obtener tokens gratis"), el miedo ("se requiere verificación por actividad inusual en la cuenta") o la confianza (suplantando a servicio al cliente).
Camuflaje ingenioso: los sitios web de phishing pueden utilizar URLs que son similares a los nombres de dominio oficiales, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples capas. A continuación se detallan las medidas de prevención:
Verificar y gestionar los permisos de autorización
Verificar enlace y origen
usar una billetera fría y firmas múltiples
Maneje con cuidado las solicitudes de firma
enfrentar ataques de polvo
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de esquemas de fraude avanzados. Sin embargo, la verdadera seguridad no solo depende de medios técnicos. Cuando las carteras de hardware construyen una defensa física y la firma múltiple dispersa el riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son la última línea de defensa contra los ataques.
Cada análisis de datos antes de firmar, cada revisión de permisos después de la autorización, es un mantenimiento de la soberanía digital propia. En el futuro, sin importar cómo evolucione la tecnología, la defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como un hábito y mantener un equilibrio entre la confianza y la verificación. En el mundo de la Cadena de bloques, cada clic y cada transacción se registran de manera permanente e inalterable. Por lo tanto, cultivar una actitud prudente y una comprensión profunda será clave para garantizar la seguridad de los activos.