Advertencia de seguridad de la cadena de bloques: la espada de doble filo de la autorización de contratos inteligentes

Las criptomonedas y la tecnología de la cadena de bloques están redefiniendo la libertad financiera, pero esta revolución también ha traído nuevos riesgos. Los estafadores ya no se limitan a aprovechar las vulnerabilidades tecnológicas, sino que transforman los propios protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social meticulosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en herramientas de robo de activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que también son más engañosos debido a su apariencia "legitimada". Este artículo analizará casos prácticos para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y ofrecerá soluciones integrales desde la protección técnica hasta la prevención conductual, ayudando a los usuarios a avanzar de manera segura en un mundo descentralizado.

I. ¿Cómo se convierte un acuerdo legal en una herramienta de fraude?

El propósito del protocolo de la cadena de bloques es garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación, se presentan algunas técnicas comunes y sus detalles técnicos:

(1) autorización de contratos inteligentes maliciosos

Principio técnico:

En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a un tercero (generalmente un contrato inteligente) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, realizar staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.

Forma de operación:

Los estafadores crean un DApp que se hace pasar por un proyecto legítimo, a menudo promovido a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permisos y puede llamar en cualquier momento a la función "TransferFrom" para extraer todos los tokens correspondientes de la billetera del usuario.

Caso real:

A principios de 2023, un sitio web de phishing disfrazado como "Actualización de Uniswap V3" causó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas ni siquiera pudieron recuperar su dinero a través de medios legales, ya que la autorización fue firmada de forma voluntaria.

(2) firma de pesca

Principio técnico:

Las transacciones de la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para demostrar la legitimidad de la transacción. La billetera generalmente mostrará una solicitud de firma, que, tras la confirmación del usuario, se difunde a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.

Forma de funcionamiento:

El usuario recibe un correo o mensaje disfrazado de notificación oficial, como "Su airdrop de NFT está pendiente de reclamación, por favor verifique su cartera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que le pide conectar su cartera y firmar una "transacción de verificación". Esta transacción puede ser, en realidad, una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la cartera a la dirección del estafador; o puede ser una operación de "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.

Caso real:

Una comunidad de un conocido proyecto NFT sufrió un ataque de phishing por firma, donde varios usuarios perdieron NFT por un valor de varios millones de dólares debido a la firma de transacciones "de recepción de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.

(3) Tokens falsos y "ataques de polvo"

Principio técnico:

La apertura de la Cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla a la persona o empresa que posee la billetera.

Forma de operar:

Los atacantes envían pequeñas cantidades de criptomonedas a diferentes direcciones y luego intentan descubrir cuáles direcciones pertenecen a la misma billetera. En la mayoría de los casos, estos "polvo" se distribuyen en forma de airdrop a las billeteras de los usuarios, que pueden tener nombres o metadatos atractivos. Los usuarios pueden intentar canjear estos tokens, lo que permite a los atacantes acceder a la billetera del usuario a través de la dirección del contrato adjunta a los tokens. Más sutilmente, los atacantes utilizan ingeniería social, analizando las transacciones posteriores del usuario, para identificar las direcciones de billetera activas del usuario y así llevar a cabo fraudes más precisos.

Caso real:

En la red de Ethereum, se produjo un ataque de "token GAS" que afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.

Dos, ¿por qué son difíciles de detectar estas estafas?

Estos fraudes han tenido éxito en gran medida porque se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:

• Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede aparecer como una cadena de datos en hexadecimal, lo que impide a los usuarios juzgar intuitivamente su significado.

• Legalidad en la cadena: Todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma después del hecho, momento en el cual los activos ya no pueden recuperarse.

• Ingeniería social: Los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza. Por ejemplo, prometiendo "recibir grandes cantidades de tokens gratis" o afirmando "se requiere verificación debido a actividad anormal en la cuenta".

• Camuflaje ingenioso: Los sitios de phishing pueden utilizar URL que son muy similares a los nombres de dominio oficiales, e incluso aumentar la credibilidad a través de certificados HTTPS.

Tres, ¿cómo proteger su billetera de criptomonedas?

Frente a estas estafas que combinan la guerra psicológica con la tecnología, proteger los activos requiere una estrategia de múltiples capas. A continuación se detallan las medidas de prevención:

Verificar y gestionar permisos de autorización

• Utilice la herramienta de verificación de autorizaciones del explorador de bloques para revisar periódicamente los registros de autorización de la billetera.
• Revoca las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
• Antes de cada autorización, asegúrate de que el DApp provenga de una fuente confiable.
• Verifica el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado inmediatamente.

Verificar enlace y fuente

• Introduzca manualmente la URL oficial, evite hacer clic en los enlaces de las redes sociales o correos electrónicos.
• Asegúrate de que el sitio web utilice el nombre de dominio y el certificado SSL correctos.
• Esté atento a los errores de ortografía o caracteres adicionales en el nombre de dominio.

usar una billetera fría y firmas múltiples

• Almacene la mayor parte de sus activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
• Para activos de gran valor, utilice herramientas de múltiples firmas que requieran la confirmación de la transacción por múltiples claves.
• Incluso si la billetera caliente es comprometida, los activos de almacenamiento en frío aún pueden mantenerse seguros.

Manejar la solicitud de firma con precaución

• Lea detenidamente los detalles de la transacción en la ventana emergente de la billetera cada vez que firme.
• Utilice la función de decodificación del explorador de cadenas de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
• Crea una billetera independiente para operaciones de alto riesgo, almacenando solo una pequeña cantidad de activos.

respuesta a ataques de polvo

• Después de recibir un token desconocido, no interactúe con él. Márquelo como "basura" o escóndalo.
• Confirma la fuente del token a través del explorador de la cadena de bloques, si es un envío masivo, debes estar en alta alerta.
• Evita publicar la dirección de tu billetera o utiliza una nueva dirección para operaciones sensibles.

Conclusión

La implementación de las medidas de seguridad mencionadas puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado, pero la verdadera seguridad no depende únicamente de la tecnología. Cuando las carteras de hardware establecen una defensa física y la firma múltiple dispersa la exposición al riesgo, la comprensión de los usuarios sobre la lógica de autorización y la prudencia en sus acciones en la cadena son el último bastión contra los ataques. Cada análisis de datos antes de la firma y cada revisión de permisos después de la autorización son un juramento a su soberanía digital.

En el futuro, independientemente de cómo evolucione la tecnología, la defensa más fundamental siempre radica en: internalizar la conciencia de seguridad como memoria muscular, estableciendo un equilibrio eterno entre la confianza y la verificación. En el mundo de la cadena de bloques donde el código es la ley, cada clic y cada transacción se registran de forma permanente y no se pueden cambiar. Por lo tanto, es crucial mantenerse alerta y actuar con precaución.