Сховані пастки світу Блокчейн: як смартконтракти стають інструментом для крадіжки активів
Криптовалюти та технології Блокчейн змінюють концепцію фінансової свободи, але ця революція також принесла нові виклики безпеки. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі протоколи смартконтрактів Блокчейн на інструменти атак. Через ретельно сплановані соціально інженерні пастки вони використовують прозорість і незворотність Блокчейн, перетворюючи довіру користувачів на засоби крадіжки активів. Від підроблених смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані й важкі для відстеження, але й мають сильну обманливу природу через свій "легітимний" вигляд.
Один. Як легітимний контракт стає інструментом шахрайства?
Блокчейн протоколи повинні забезпечувати безпеку і довіру, але шахраї майстерно використовують їхні особливості, поєднуючи їх з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Нижче наведені деякі поширені методи та їхні технічні деталі:
(1) Шкідливе надання доступу до смартконтрактів
Технічний принцип:
На Блокчейні, такому як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третіх осіб витягувати визначену кількість токенів з їхнього гаманця. Ця функція широко використовується в DeFi-протоколах, де користувачі повинні уповноважити смартконтракти для завершення транзакцій, стейкінгу або ліквідного майнінгу. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Шахраї створюють DApp, який маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці і їх спонукають натиснути "Approve", що нібито є авторизацією на незначну кількість токенів, насправді це може бути безмежний ліміт. Як тільки авторизація завершена, адреса контракту шахраїв отримує доступ і може в будь-який момент вилучити всі відповідні токени з гаманця користувача.
Реальний випадок:
На початку 2023 року підроблений веб-сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів, які втратили мільйони доларів США у USDT та ETH. Дані в ланцюгу показують, що ці транзакції повністю відповідали стандарту ERC-20, жертви навіть не змогли повернути свої кошти через юридичні заходи, оскільки авторизація була підписана добровільно.
(2) Підписне фішинг
Технічний принцип:
Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб підтвердити законність транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувача транзакція транслюється в мережу. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.
Спосіб роботи:
Користувач отримує лист, що маскується під офіційне повідомлення, або повідомлення в соціальних мережах, наприклад, "Ваш NFT дроп чекає на отримання, будь ласка, підтвердіть гаманець". Клацнувши на посилання, користувач потрапляє на шкідливий сайт, де його просять підключити гаманець і підписати "підтверджуючу транзакцію". Ця транзакція насправді може викликати функцію "Transfer", що безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", яка надає шахраю контроль над колекцією NFT користувача.
Справжній випадок:
Відоме NFT-проектне співтовариство стало жертвою фішингової атаки з підписами, кілька користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених "транзакцій на отримання аірдропу". Зловмисники використали стандарт підпису EIP-712, підробивши на перший погляд безпечний запит.
(3) Фальшиві токени та "атака пилу"
Технічний принцип:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не робить активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців та пов'язувати їх з особами або компаніями, які володіють гаманцем.
Спосіб роботи:
У більшості випадків "пилові" атаки використовують "пил", який у вигляді аерозолю розподіляється на гаманці користувачів, ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний веб-сайт для отримання деталей. Користувачі можуть спробувати обміняти ці токени, що дозволяє зловмисникам отримати доступ до гаманців користувачів через адреси контрактів, що супроводжують токени. Ще більш приховано, зловмисники за допомогою соціальної інженерії аналізують подальші транзакції користувачів, фіксуючи активні адреси гаманців користувачів, що дозволяє їм реалізувати більш точні шахрайства.
Справжній випадок:
Колись атака "пилу" на певний "паливний токен", що з'явився в мережі Ethereum, вплинула на тисячі гаманців. Частина користувачів через цікавість втратила ETH та токени ERC-20.
Два, чому ці шахрайства важко помітити?
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню злочинну природу. Ось кілька ключових причин:
Технічна складність: Код смартконтракту та запити на підписання є незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як складні шістнадцяткові дані, і користувач не може інтуїтивно зрозуміти його значення.
Легітимність на ланцюгу: всі транзакції записуються в Блокчейн, що виглядає прозоро, але жертви часто усвідомлюють наслідки авторизації або підпису лише згодом, а на цей момент активи вже неможливо повернути.
Соціальна інженерія: шахраї використовують слабкості людської природи, такі як жадібність ("отримати токени безкоштовно"), страх ("необхідна перевірка аномалії облікового запису") або довіру (маскуються під службу підтримки).
Майстерність маскування: Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть через сертифікати HTTPS для підвищення довіри.
Три, як захистити свій криптовалютний гаманець?
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії. Нижче наведені детальні запобіжні заходи:
перевірка та управління правами доступу
Використовуйте інструмент перевірки авторизації блокчейн-браузера для перевірки записів авторизації гаманця.
Регулярно скасовуйте непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.
Перевірте значення "Allowance"; якщо воно "нескінченне" (наприклад, 2^256-1), слід негайно скасувати.
перевірка посилання та джерела
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Переконайтеся, що веб-сайт використовує правильне доменне ім'я та SSL-сертифікат (зелене значок замка).
Будьте обережні з орфографічними помилками або зайвими символами.
Використання холодного гаманця та мультипідпису
Зберігайте більшість активів у апаратному гаманці та підключайте до мережі лише за необхідності.
Для великих активів використовуйте інструменти мультипідпису, які вимагають підтвердження транзакцій кількома ключами, щоб зменшити ризик одноточкових помилок.
Обережно обробляйте запити на підпис.
Уважно читайте деталі транзакції у вікні гаманця щоразу, коли підписуєте.
Використовуйте функцію "декодування вхідних даних" блокчейн-браузера для аналізу підпису, або зверніться до технічного експерта.
Створіть окремий гаманець для високоризикованих операцій, зберігайте невелику кількість активів.
Реакція на атаки пилу
Після отримання невідомих токенів не взаємодійте. Позначте їх як "сміття" або сховайте.
Підтвердьте походження токенів через Блокчейн-браузер, якщо це масова відправка, будьте дуже обережні.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, користувачі можуть значно знизити ризик стати жертвою складних шахрайських схем. Проте справжня безпека не лише залежить від технологічних засобів. Коли апаратні гаманці створюють фізичну лінію оборони, а багатопідписова система розподіляє ризики, саме розуміння користувачами логіки авторизації та обережність у поведінці на блокчейні є останнім рубежем для захисту від атак.
Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації є підтримкою власного цифрового суверенітету. У майбутньому, незалежно від того, як технології будуть ітеруватися, найосновніша оборона завжди полягатиме в тому, щоб інкорпорувати усвідомлення безпеки в звичку, підтримуючи баланс між довірою та верифікацією. У світі Блокчейн, кожен клік, кожна транзакція постійно записуються, їх неможливо змінити. Тому виховання обережного ставлення та глибокого розуміння стане ключем до забезпечення безпеки активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
7
Поділіться
Прокоментувати
0/400
BridgeJumper
· 07-08 02:25
Хто ще наважиться підписати смартконтракти?
Переглянути оригіналвідповісти на0
Rekt_Recovery
· 07-06 10:45
втратив свої заощадження через важелі... але тут, щоб допомогти іншим уникнути моїх помилок лол
Переглянути оригіналвідповісти на0
OvertimeSquid
· 07-05 05:06
Справжнє навчання безмежне, а шахраї стають все більш витонченими.
Блокчейн смартконтракти стали інструментом крадіжки активів: повний посібник з запобігання високим шахрайським схемам
Сховані пастки світу Блокчейн: як смартконтракти стають інструментом для крадіжки активів
Криптовалюти та технології Блокчейн змінюють концепцію фінансової свободи, але ця революція також принесла нові виклики безпеки. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі протоколи смартконтрактів Блокчейн на інструменти атак. Через ретельно сплановані соціально інженерні пастки вони використовують прозорість і незворотність Блокчейн, перетворюючи довіру користувачів на засоби крадіжки активів. Від підроблених смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані й важкі для відстеження, але й мають сильну обманливу природу через свій "легітимний" вигляд.
Один. Як легітимний контракт стає інструментом шахрайства?
Блокчейн протоколи повинні забезпечувати безпеку і довіру, але шахраї майстерно використовують їхні особливості, поєднуючи їх з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Нижче наведені деякі поширені методи та їхні технічні деталі:
(1) Шкідливе надання доступу до смартконтрактів
Технічний принцип: На Блокчейні, такому як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третіх осіб витягувати визначену кількість токенів з їхнього гаманця. Ця функція широко використовується в DeFi-протоколах, де користувачі повинні уповноважити смартконтракти для завершення транзакцій, стейкінгу або ліквідного майнінгу. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи: Шахраї створюють DApp, який маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці і їх спонукають натиснути "Approve", що нібито є авторизацією на незначну кількість токенів, насправді це може бути безмежний ліміт. Як тільки авторизація завершена, адреса контракту шахраїв отримує доступ і може в будь-який момент вилучити всі відповідні токени з гаманця користувача.
Реальний випадок: На початку 2023 року підроблений веб-сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів, які втратили мільйони доларів США у USDT та ETH. Дані в ланцюгу показують, що ці транзакції повністю відповідали стандарту ERC-20, жертви навіть не змогли повернути свої кошти через юридичні заходи, оскільки авторизація була підписана добровільно.
(2) Підписне фішинг
Технічний принцип: Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб підтвердити законність транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувача транзакція транслюється в мережу. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.
Спосіб роботи: Користувач отримує лист, що маскується під офіційне повідомлення, або повідомлення в соціальних мережах, наприклад, "Ваш NFT дроп чекає на отримання, будь ласка, підтвердіть гаманець". Клацнувши на посилання, користувач потрапляє на шкідливий сайт, де його просять підключити гаманець і підписати "підтверджуючу транзакцію". Ця транзакція насправді може викликати функцію "Transfer", що безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", яка надає шахраю контроль над колекцією NFT користувача.
Справжній випадок: Відоме NFT-проектне співтовариство стало жертвою фішингової атаки з підписами, кілька користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених "транзакцій на отримання аірдропу". Зловмисники використали стандарт підпису EIP-712, підробивши на перший погляд безпечний запит.
(3) Фальшиві токени та "атака пилу"
Технічний принцип: Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не робить активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців та пов'язувати їх з особами або компаніями, які володіють гаманцем.
Спосіб роботи: У більшості випадків "пилові" атаки використовують "пил", який у вигляді аерозолю розподіляється на гаманці користувачів, ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний веб-сайт для отримання деталей. Користувачі можуть спробувати обміняти ці токени, що дозволяє зловмисникам отримати доступ до гаманців користувачів через адреси контрактів, що супроводжують токени. Ще більш приховано, зловмисники за допомогою соціальної інженерії аналізують подальші транзакції користувачів, фіксуючи активні адреси гаманців користувачів, що дозволяє їм реалізувати більш точні шахрайства.
Справжній випадок: Колись атака "пилу" на певний "паливний токен", що з'явився в мережі Ethereum, вплинула на тисячі гаманців. Частина користувачів через цікавість втратила ETH та токени ERC-20.
Два, чому ці шахрайства важко помітити?
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню злочинну природу. Ось кілька ключових причин:
Технічна складність: Код смартконтракту та запити на підписання є незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як складні шістнадцяткові дані, і користувач не може інтуїтивно зрозуміти його значення.
Легітимність на ланцюгу: всі транзакції записуються в Блокчейн, що виглядає прозоро, але жертви часто усвідомлюють наслідки авторизації або підпису лише згодом, а на цей момент активи вже неможливо повернути.
Соціальна інженерія: шахраї використовують слабкості людської природи, такі як жадібність ("отримати токени безкоштовно"), страх ("необхідна перевірка аномалії облікового запису") або довіру (маскуються під службу підтримки).
Майстерність маскування: Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть через сертифікати HTTPS для підвищення довіри.
Три, як захистити свій криптовалютний гаманець?
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії. Нижче наведені детальні запобіжні заходи:
перевірка та управління правами доступу
перевірка посилання та джерела
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис.
Реакція на атаки пилу
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, користувачі можуть значно знизити ризик стати жертвою складних шахрайських схем. Проте справжня безпека не лише залежить від технологічних засобів. Коли апаратні гаманці створюють фізичну лінію оборони, а багатопідписова система розподіляє ризики, саме розуміння користувачами логіки авторизації та обережність у поведінці на блокчейні є останнім рубежем для захисту від атак.
Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації є підтримкою власного цифрового суверенітету. У майбутньому, незалежно від того, як технології будуть ітеруватися, найосновніша оборона завжди полягатиме в тому, щоб інкорпорувати усвідомлення безпеки в звичку, підтримуючи баланс між довірою та верифікацією. У світі Блокчейн, кожен клік, кожна транзакція постійно записуються, їх неможливо змінити. Тому виховання обережного ставлення та глибокого розуміння стане ключем до забезпечення безпеки активів.