O mundo do Blockchain e as armadilhas ocultas: como os contratos inteligentes podem se tornar ferramentas de roubo de ativos
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas esta revolução também trouxe novos desafios de segurança. Os golpistas não se limitam a explorar vulnerabilidades tecnológicas, mas transformam os próprios protocolos de contratos inteligentes do Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles utilizam a transparência e a irreversibilidade do Blockchain para converter a confiança dos usuários em meios de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não são apenas ocultos e difíceis de rastrear, mas têm uma forte capacidade de engano devido ao seu aspecto "legalizado".
Um. Como é que um contrato legal se torna uma ferramenta de fraude?
Os protocolos de Blockchain deveriam garantir segurança e confiança, mas os golpistas aproveitam-se habilmente das suas características, combinando-as com a negligência dos usuários, criando diversas formas de ataque ocultas. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos
Princípio técnico:
No Blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, golpistas aproveitam este mecanismo para criar contratos maliciosos.
Funcionamento:
Os golpistas criam um DApp disfarçado de um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Aprovar", que supostamente autoriza uma quantidade reduzida de tokens, mas na realidade pode ser um limite infinito. Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Caso real:
No início de 2023, um site de phishing disfarçado de "atualização de algum DEX" resultou na perda de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na blockchain mostram que essas transações estão totalmente em conformidade com o padrão ERC-20, e as vítimas nem sequer conseguem recuperar os fundos por meios legais, pois a autorização foi assinada voluntariamente.
(2) Phishing de assinatura
Princípio técnico:
As transações em Blockchain exigem que os usuários gerem uma assinatura através da chave privada, para provar a legitimidade da transação. As carteiras geralmente exibem um pedido de assinatura, que, após a confirmação do usuário, é transmitido para a rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento:
O usuário recebe um e-mail ou mensagem em redes sociais disfarçado como uma notificação oficial, por exemplo, "O seu airdrop de NFT está pronto para ser reclamado, por favor verifique a carteira". Ao clicar no link, o usuário é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, estar chamando a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Caso real:
Uma comunidade de um famoso projeto NFT sofreu um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "receber airdrop" falsas. Os atacantes exploraram o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.
(3) Tokens falsos e "ataques de poeira"
Princípios técnicos:
A publicidade do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não solicite ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade das carteiras e vinculá-las a indivíduos ou empresas que as possuam.
Funcionamento:
Na maioria dos casos, a "poeira" utilizada nos ataques de poeira é distribuída para as carteiras dos usuários na forma de airdrops. Esses tokens podem ter nomes ou metadados atraentes que induzem os usuários a visitar um determinado site para consultar detalhes. Os usuários podem tentar liquidar esses tokens, permitindo que os atacantes acessem a carteira do usuário através do endereço do contrato associado ao token. De forma mais sutil, os atacantes podem usar engenharia social, analisando as transações subsequentes dos usuários, para identificar os endereços de carteiras ativas dos usuários e, assim, implementar fraudes mais precisas.
Caso real:
No passado, um ataque de poeira a um "token de combustível" que apareceu na rede Ethereum afetou milhares de carteiras. Alguns usuários, por curiosidade em interagir, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes são bem-sucedidas, em grande parte, porque estão ocultas nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernirem sua natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica: O código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos. Por exemplo, um pedido de "Approve" pode aparecer como dados hexadecimais complexos, e o usuário não consegue perceber intuitivamente seu significado.
Legalidade on-chain: todas as transações são registradas no Blockchain, parecem transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois do fato, e nesse momento os ativos já não podem ser recuperados.
Engenharia social: os golpistas exploram fraquezas humanas, como ganância ("receber tokens gratuitos"), medo ("anomalias na conta precisam de verificação") ou confiança (disfarçando-se como atendimento ao cliente).
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, ou até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante dessas fraudes que combinam aspectos técnicos e psicológicos, proteger os ativos requer estratégias em múltiplos níveis. A seguir estão as medidas de prevenção detalhadas:
Verifique e gerencie permissões de autorização
Utilize a ferramenta de verificação de autorização do explorador de Blockchain para verificar os registros de autorização da carteira.
Revogar regularmente autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que o DApp provém de uma fonte confiável.
Verifique o valor de "Allowance"; se for "ilimitado" (como 2^256-1), deve ser imediatamente revogado.
Verifique o link e a origem
Digite manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
Certifique-se de que o site utiliza o domínio correto e o certificado SSL (ícone de cadeado verde).
Esteja atento a erros de ortografia ou caracteres adicionais.
usar carteiras frias e assinaturas múltiplas
Armazenar a maior parte dos ativos em carteiras de hardware, conectando-se à rede apenas quando necessário.
Para ativos de grande valor, utilize ferramentas de múltiplas assinaturas, exigindo a confirmação da transação por várias chaves, reduzindo o risco de erro em um único ponto.
Tenha cuidado ao lidar com solicitações de assinatura
Leia atentamente os detalhes da transação na janela pop-up da carteira a cada assinatura.
Utilize a função "decodificar dados de entrada" do explorador de Blockchain para analisar o conteúdo da assinatura, ou consulte um especialista técnico.
Criar uma carteira independente para operações de alto risco, armazenando uma quantidade reduzida de ativos.
responder a ataques de poeira
Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
Confirme a origem do token através do explorador de Blockchain, se for envio em massa, mantenha grande atenção.
Evite tornar pública a morada da carteira, ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima mencionadas, os usuários podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados. No entanto, a verdadeira segurança não depende apenas de meios tecnológicos. Quando as carteiras de hardware estabelecem uma linha de defesa física e a assinatura múltipla dispersa o risco, a compreensão dos usuários sobre a lógica de autorização e a prudência em relação ao comportamento na Blockchain são a última barreira contra os ataques.
Cada análise de dados antes da assinatura, cada verificação de permissões após a autorização, é uma manutenção da própria soberania digital. No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais fundamental sempre estará em: internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação. No mundo do Blockchain, cada clique, cada transação é registrado permanentemente, não podendo ser alterado. Portanto, cultivar uma atitude prudente e uma compreensão profunda será a chave para garantir a segurança dos ativos.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
15 gostos
Recompensa
15
7
Partilhar
Comentar
0/400
BridgeJumper
· 07-08 02:25
Quem ainda se atreve a assinar contratos inteligentes?
Ver originalResponder0
Rekt_Recovery
· 07-06 10:45
perdi todas as minhas economias de vida devido à alavancagem... mas estou aqui para ajudar os outros a evitarem os meus erros lmao
Ver originalResponder0
OvertimeSquid
· 07-05 05:06
É verdade que o aprendizado não tem fim, e os golpistas estão cada vez mais sofisticados.
Ver originalResponder0
LayoffMiner
· 07-05 05:06
idiotas provavelmente já passaram por esta aula, certo?
Ver originalResponder0
DeadTrades_Walking
· 07-05 04:55
Os projetos antigos baseiam-se na enganação.
Ver originalResponder0
BrokeBeans
· 07-05 04:45
Assinar e já não há dinheiro, estou com medo.
Ver originalResponder0
fren_with_benefits
· 07-05 04:44
Este contrato inteligente é realmente muito astuto.
Blockchain contratos inteligentes tornam-se ferramentas de roubo de ativos: Guia completo para prevenir técnicas de fraude avançadas
O mundo do Blockchain e as armadilhas ocultas: como os contratos inteligentes podem se tornar ferramentas de roubo de ativos
As criptomoedas e a tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas esta revolução também trouxe novos desafios de segurança. Os golpistas não se limitam a explorar vulnerabilidades tecnológicas, mas transformam os próprios protocolos de contratos inteligentes do Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles utilizam a transparência e a irreversibilidade do Blockchain para converter a confiança dos usuários em meios de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não são apenas ocultos e difíceis de rastrear, mas têm uma forte capacidade de engano devido ao seu aspecto "legalizado".
Um. Como é que um contrato legal se torna uma ferramenta de fraude?
Os protocolos de Blockchain deveriam garantir segurança e confiança, mas os golpistas aproveitam-se habilmente das suas características, combinando-as com a negligência dos usuários, criando diversas formas de ataque ocultas. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos
Princípio técnico: No Blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, golpistas aproveitam este mecanismo para criar contratos maliciosos.
Funcionamento: Os golpistas criam um DApp disfarçado de um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Aprovar", que supostamente autoriza uma quantidade reduzida de tokens, mas na realidade pode ser um limite infinito. Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Caso real: No início de 2023, um site de phishing disfarçado de "atualização de algum DEX" resultou na perda de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na blockchain mostram que essas transações estão totalmente em conformidade com o padrão ERC-20, e as vítimas nem sequer conseguem recuperar os fundos por meios legais, pois a autorização foi assinada voluntariamente.
(2) Phishing de assinatura
Princípio técnico: As transações em Blockchain exigem que os usuários gerem uma assinatura através da chave privada, para provar a legitimidade da transação. As carteiras geralmente exibem um pedido de assinatura, que, após a confirmação do usuário, é transmitido para a rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento: O usuário recebe um e-mail ou mensagem em redes sociais disfarçado como uma notificação oficial, por exemplo, "O seu airdrop de NFT está pronto para ser reclamado, por favor verifique a carteira". Ao clicar no link, o usuário é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, estar chamando a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Caso real: Uma comunidade de um famoso projeto NFT sofreu um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "receber airdrop" falsas. Os atacantes exploraram o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.
(3) Tokens falsos e "ataques de poeira"
Princípios técnicos: A publicidade do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não solicite ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade das carteiras e vinculá-las a indivíduos ou empresas que as possuam.
Funcionamento: Na maioria dos casos, a "poeira" utilizada nos ataques de poeira é distribuída para as carteiras dos usuários na forma de airdrops. Esses tokens podem ter nomes ou metadados atraentes que induzem os usuários a visitar um determinado site para consultar detalhes. Os usuários podem tentar liquidar esses tokens, permitindo que os atacantes acessem a carteira do usuário através do endereço do contrato associado ao token. De forma mais sutil, os atacantes podem usar engenharia social, analisando as transações subsequentes dos usuários, para identificar os endereços de carteiras ativas dos usuários e, assim, implementar fraudes mais precisas.
Caso real: No passado, um ataque de poeira a um "token de combustível" que apareceu na rede Ethereum afetou milhares de carteiras. Alguns usuários, por curiosidade em interagir, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes são bem-sucedidas, em grande parte, porque estão ocultas nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernirem sua natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica: O código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos. Por exemplo, um pedido de "Approve" pode aparecer como dados hexadecimais complexos, e o usuário não consegue perceber intuitivamente seu significado.
Legalidade on-chain: todas as transações são registradas no Blockchain, parecem transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois do fato, e nesse momento os ativos já não podem ser recuperados.
Engenharia social: os golpistas exploram fraquezas humanas, como ganância ("receber tokens gratuitos"), medo ("anomalias na conta precisam de verificação") ou confiança (disfarçando-se como atendimento ao cliente).
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, ou até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante dessas fraudes que combinam aspectos técnicos e psicológicos, proteger os ativos requer estratégias em múltiplos níveis. A seguir estão as medidas de prevenção detalhadas:
Verifique e gerencie permissões de autorização
Verifique o link e a origem
usar carteiras frias e assinaturas múltiplas
Tenha cuidado ao lidar com solicitações de assinatura
responder a ataques de poeira
Conclusão
Ao implementar as medidas de segurança acima mencionadas, os usuários podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados. No entanto, a verdadeira segurança não depende apenas de meios tecnológicos. Quando as carteiras de hardware estabelecem uma linha de defesa física e a assinatura múltipla dispersa o risco, a compreensão dos usuários sobre a lógica de autorização e a prudência em relação ao comportamento na Blockchain são a última barreira contra os ataques.
Cada análise de dados antes da assinatura, cada verificação de permissões após a autorização, é uma manutenção da própria soberania digital. No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais fundamental sempre estará em: internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação. No mundo do Blockchain, cada clique, cada transação é registrado permanentemente, não podendo ser alterado. Portanto, cultivar uma atitude prudente e uma compreensão profunda será a chave para garantir a segurança dos ativos.