smart contracts protocole : dangers cachés et moyens de prévention
Les cryptomonnaies et la technologie blockchain redéfinissent le concept de liberté financière, mais cette révolution a également apporté de nouveaux défis. Les escrocs ne se contentent plus d'exploiter les vulnérabilités techniques, mais transforment le protocole des smart contracts de la blockchain elle-même en outils d'attaque. Ils conçoivent habilement des pièges d'ingénierie sociale, utilisant la transparence et l'irréversibilité de la blockchain pour transformer la confiance des utilisateurs en un moyen de vol d'actifs. Des smart contracts soigneusement construits à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais également plus trompeuses en raison de leur apparence "légale". Cet article analysera des cas pratiques pour révéler comment les escrocs transforment les protocoles en vecteurs d'attaque et proposera des solutions complètes, allant de la protection technique à la prévention comportementale, afin de vous aider à naviguer en toute sécurité dans un monde décentralisé.
I. Comment le protocole est-il devenu un outil de fraude ?
L'objectif initial du protocole de blockchain est de garantir la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principes techniques :
Sur certaines blockchains, des standards de jetons spécifiques permettent aux utilisateurs d'autoriser des tiers (généralement des smart contracts) à retirer un certain nombre de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles de finance décentralisée, où les utilisateurs doivent autoriser les smart contracts pour effectuer des transactions, du staking ou du minage de liquidités. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Fonctionnement :
Les escrocs créent une application décentralisée déguisée en projet légitime, souvent promue par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", qui semble autoriser une petite quantité de jetons, mais en réalité, cela pourrait être un montant illimité. Une fois l'autorisation terminée, l'adresse du contrat de l'escroc obtient les droits nécessaires et peut à tout moment appeler la fonction "TransferFrom" pour extraire tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing déguisé en mise à jour d'un échange décentralisé bien connu a conduit à la perte de millions de dollars en stablecoins et en tokens natifs pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectaient entièrement les normes des tokens, et les victimes ne pouvaient même pas récupérer leur argent par des moyens légaux, car l'autorisation avait été signée volontairement.
(2) signature de phishing
Principe technique :
Les transactions sur la blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affiche généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message sur une plateforme sociale se faisant passer pour une notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement les actifs du portefeuille vers l'adresse de l'escroc ; ou il peut s'agir d'une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'acquisition d'airdrop" falsifiées. Les attaquants ont utilisé une norme de signature spécifique pour falsifier des demandes apparemment sécurisées.
(3) faux jetons et "attaque par poussière"
Principe technique :
La transparence de la blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille pour suivre l'activité des portefeuilles et les associer aux individus ou aux entreprises qui possèdent les portefeuilles. L'attaque commence par l'envoi de poussière, en envoyant de petites quantités de cryptomonnaie à différentes adresses, puis l'attaquant essaie de découvrir lesquelles appartiennent au même portefeuille. Ensuite, l'attaquant utilise ces informations pour lancer des attaques de phishing ou des menaces contre la victime.
Mode de fonctionnement :
En général, les "poussières" utilisées dans les attaques par poussière sont distribuées sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent avoir un nom ou des métadonnées spécifiques, incitant les utilisateurs à visiter un site Web pour plus de détails. Les utilisateurs peuvent vouloir encaisser ces jetons, et les attaquants peuvent accéder au portefeuille des utilisateurs via l'adresse du contrat associée aux jetons. Plus insidieusement, les attaques par poussière exploitent l'ingénierie sociale, analysent les transactions ultérieures des utilisateurs et ciblent les adresses de portefeuille actives des utilisateurs pour mettre en œuvre des escroqueries plus précises.
Cas réel :
Une attaque par "tokens GAS" a été signalée sur un certain réseau blockchain, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu des tokens natifs et d'autres tokens par curiosité.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent derrière des mécanismes légitimes de la blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique :
Le code des smart contracts et les demandes de signature peuvent être obscurs et difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme d'une chaîne de données hexadécimales, rendant difficile pour l'utilisateur de juger intuitivement de sa signification.
Légalité sur la chaîne :
Toutes les transactions sont enregistrées sur la blockchain, ce qui semble transparent, mais les victimes réalisent souvent seulement après coup les conséquences de l'autorisation ou de la signature, et à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale :
Les escrocs exploitent les faiblesses humaines, comme la cupidité ("obtenez de gros jetons gratuitement"), la peur ("anomalie de compte nécessitant une vérification") ou la confiance (en se faisant passer pour le service client).
Déguisement ingénieux :
Les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces escroqueries qui combinent des aspects techniques et de guerre psychologique, la protection des actifs nécessite une stratégie à plusieurs niveaux. Voici des mesures de prévention détaillées :
Vérifier et gérer les autorisations d'autorisation
Outils : utilisez l'outil de vérification des autorisations du navigateur blockchain ou un outil de révocation spécialisé pour vérifier les enregistrements d'autorisation du portefeuille.
Action : révoquer régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues. Avant chaque autorisation, assurez-vous que l'application décentralisée provient d'une source fiable.
Détails techniques : vérifier la valeur "Allowance". Si elle est "illimitée" (comme 2^256-1), elle doit être immédiatement annulée.
Vérifier les liens et les sources
Méthode : saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les médias sociaux ou les e-mails.
Vérifiez : assurez-vous que le site utilise le bon nom de domaine et un certificat SSL (icône de cadenas vert). Méfiez-vous des erreurs d'orthographe ou des caractères supplémentaires.
Utiliser un portefeuille froid et une signature multiple
Portefeuille froid : stocker la plupart des actifs dans un portefeuille matériel, uniquement connecté au réseau lorsque cela est nécessaire.
Multi-signature : Pour les actifs de grande valeur, utilisez des outils de multi-signature, requérant la confirmation de la transaction par plusieurs clés, réduisant ainsi le risque d'erreur unique.
Traitez les demandes de signature avec prudence
Étapes : À chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille. Certains portefeuilles afficheront le champ "Données" ; si celui-ci contient une fonction inconnue (comme "TransferFrom"), refusez de signer.
Outils : utilisez la fonction de décodage du navigateur blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Conseil : créer un portefeuille indépendant pour les opérations à haut risque et y stocker une petite quantité d'actifs.
Répondre aux attaques par poussière
Stratégie : après avoir reçu un jeton inconnu, ne pas interagir. Le marquer comme "spam" ou le cacher.
Vérifiez : via un explorateur de blockchain, confirmez la source du jeton, en cas d'envoi en masse, restez extrêmement vigilant.
Prévention : éviter de rendre publique l'adresse du portefeuille ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité mentionnées ci-dessus, les utilisateurs peuvent réduire considérablement le risque de devenir victimes de programmes de fraude avancés, mais la véritable sécurité n'est jamais une victoire unilatérale sur le plan technique. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple disperse l'exposition au risque, la compréhension par les utilisateurs de la logique d'autorisation et leur prudence concernant les comportements sur la chaîne constituent le dernier rempart contre les attaques. Chaque analyse des données avant la signature et chaque examen des autorisations après une autorisation sont un serment de leur souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle reste : internaliser la sensibilisation à la sécurité comme une mémoire musculaire et établir un équilibre éternel entre confiance et vérification. Après tout, dans le monde de la blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente sur la chaîne, et ne peuvent pas être modifiés.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
7
Partager
Commentaire
0/400
MEVHunterZhang
· Il y a 9h
Encore une fois, vous venez vendre l'anxiété de sécurité, n'est-ce pas ?
Voir l'originalRépondre0
MetaEggplant
· Il y a 9h
Blockchain armée rouge vient de jeunes pigeons
Voir l'originalRépondre0
BankruptWorker
· Il y a 9h
À quel moment les pigeons seront-ils pris en charge ?
Voir l'originalRépondre0
NFT_Therapy
· Il y a 9h
Encore un débutant qui s'est fait arnaquer, n'est-ce pas ?
Voir l'originalRépondre0
StableGenius
· Il y a 9h
comme prévu... un autre jour, un autre exploit de protocole. personne ne lit plus le bytecode smh
Voir l'originalRépondre0
BearMarketSunriser
· Il y a 9h
4 ans d'expérience de pigeons, une seule réflexion : plus je comprends, plus je perds.
Voir l'originalRépondre0
BlockchainArchaeologist
· Il y a 9h
Encore un manuel standard, dire cela équivaut à ne rien dire.
Révélation des risques des smart contracts : Guide complet de prévention des pièges d'autorisation aux phishing par signature.
smart contracts protocole : dangers cachés et moyens de prévention
Les cryptomonnaies et la technologie blockchain redéfinissent le concept de liberté financière, mais cette révolution a également apporté de nouveaux défis. Les escrocs ne se contentent plus d'exploiter les vulnérabilités techniques, mais transforment le protocole des smart contracts de la blockchain elle-même en outils d'attaque. Ils conçoivent habilement des pièges d'ingénierie sociale, utilisant la transparence et l'irréversibilité de la blockchain pour transformer la confiance des utilisateurs en un moyen de vol d'actifs. Des smart contracts soigneusement construits à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais également plus trompeuses en raison de leur apparence "légale". Cet article analysera des cas pratiques pour révéler comment les escrocs transforment les protocoles en vecteurs d'attaque et proposera des solutions complètes, allant de la protection technique à la prévention comportementale, afin de vous aider à naviguer en toute sécurité dans un monde décentralisé.
I. Comment le protocole est-il devenu un outil de fraude ?
L'objectif initial du protocole de blockchain est de garantir la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principes techniques : Sur certaines blockchains, des standards de jetons spécifiques permettent aux utilisateurs d'autoriser des tiers (généralement des smart contracts) à retirer un certain nombre de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles de finance décentralisée, où les utilisateurs doivent autoriser les smart contracts pour effectuer des transactions, du staking ou du minage de liquidités. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Fonctionnement : Les escrocs créent une application décentralisée déguisée en projet légitime, souvent promue par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", qui semble autoriser une petite quantité de jetons, mais en réalité, cela pourrait être un montant illimité. Une fois l'autorisation terminée, l'adresse du contrat de l'escroc obtient les droits nécessaires et peut à tout moment appeler la fonction "TransferFrom" pour extraire tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel : Début 2023, un site de phishing déguisé en mise à jour d'un échange décentralisé bien connu a conduit à la perte de millions de dollars en stablecoins et en tokens natifs pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectaient entièrement les normes des tokens, et les victimes ne pouvaient même pas récupérer leur argent par des moyens légaux, car l'autorisation avait été signée volontairement.
(2) signature de phishing
Principe technique : Les transactions sur la blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affiche généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : L'utilisateur reçoit un e-mail ou un message sur une plateforme sociale se faisant passer pour une notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement les actifs du portefeuille vers l'adresse de l'escroc ; ou il peut s'agir d'une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'acquisition d'airdrop" falsifiées. Les attaquants ont utilisé une norme de signature spécifique pour falsifier des demandes apparemment sécurisées.
(3) faux jetons et "attaque par poussière"
Principe technique : La transparence de la blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille pour suivre l'activité des portefeuilles et les associer aux individus ou aux entreprises qui possèdent les portefeuilles. L'attaque commence par l'envoi de poussière, en envoyant de petites quantités de cryptomonnaie à différentes adresses, puis l'attaquant essaie de découvrir lesquelles appartiennent au même portefeuille. Ensuite, l'attaquant utilise ces informations pour lancer des attaques de phishing ou des menaces contre la victime.
Mode de fonctionnement : En général, les "poussières" utilisées dans les attaques par poussière sont distribuées sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent avoir un nom ou des métadonnées spécifiques, incitant les utilisateurs à visiter un site Web pour plus de détails. Les utilisateurs peuvent vouloir encaisser ces jetons, et les attaquants peuvent accéder au portefeuille des utilisateurs via l'adresse du contrat associée aux jetons. Plus insidieusement, les attaques par poussière exploitent l'ingénierie sociale, analysent les transactions ultérieures des utilisateurs et ciblent les adresses de portefeuille actives des utilisateurs pour mettre en œuvre des escroqueries plus précises.
Cas réel : Une attaque par "tokens GAS" a été signalée sur un certain réseau blockchain, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu des tokens natifs et d'autres tokens par curiosité.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent derrière des mécanismes légitimes de la blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des smart contracts et les demandes de signature peuvent être obscurs et difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme d'une chaîne de données hexadécimales, rendant difficile pour l'utilisateur de juger intuitivement de sa signification.
Légalité sur la chaîne : Toutes les transactions sont enregistrées sur la blockchain, ce qui semble transparent, mais les victimes réalisent souvent seulement après coup les conséquences de l'autorisation ou de la signature, et à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, comme la cupidité ("obtenez de gros jetons gratuitement"), la peur ("anomalie de compte nécessitant une vérification") ou la confiance (en se faisant passer pour le service client).
Déguisement ingénieux : Les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces escroqueries qui combinent des aspects techniques et de guerre psychologique, la protection des actifs nécessite une stratégie à plusieurs niveaux. Voici des mesures de prévention détaillées :
Outils : utilisez l'outil de vérification des autorisations du navigateur blockchain ou un outil de révocation spécialisé pour vérifier les enregistrements d'autorisation du portefeuille.
Action : révoquer régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues. Avant chaque autorisation, assurez-vous que l'application décentralisée provient d'une source fiable.
Détails techniques : vérifier la valeur "Allowance". Si elle est "illimitée" (comme 2^256-1), elle doit être immédiatement annulée.
Méthode : saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les médias sociaux ou les e-mails.
Vérifiez : assurez-vous que le site utilise le bon nom de domaine et un certificat SSL (icône de cadenas vert). Méfiez-vous des erreurs d'orthographe ou des caractères supplémentaires.
Portefeuille froid : stocker la plupart des actifs dans un portefeuille matériel, uniquement connecté au réseau lorsque cela est nécessaire.
Multi-signature : Pour les actifs de grande valeur, utilisez des outils de multi-signature, requérant la confirmation de la transaction par plusieurs clés, réduisant ainsi le risque d'erreur unique.
Étapes : À chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille. Certains portefeuilles afficheront le champ "Données" ; si celui-ci contient une fonction inconnue (comme "TransferFrom"), refusez de signer.
Outils : utilisez la fonction de décodage du navigateur blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Conseil : créer un portefeuille indépendant pour les opérations à haut risque et y stocker une petite quantité d'actifs.
Stratégie : après avoir reçu un jeton inconnu, ne pas interagir. Le marquer comme "spam" ou le cacher.
Vérifiez : via un explorateur de blockchain, confirmez la source du jeton, en cas d'envoi en masse, restez extrêmement vigilant.
Prévention : éviter de rendre publique l'adresse du portefeuille ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité mentionnées ci-dessus, les utilisateurs peuvent réduire considérablement le risque de devenir victimes de programmes de fraude avancés, mais la véritable sécurité n'est jamais une victoire unilatérale sur le plan technique. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple disperse l'exposition au risque, la compréhension par les utilisateurs de la logique d'autorisation et leur prudence concernant les comportements sur la chaîne constituent le dernier rempart contre les attaques. Chaque analyse des données avant la signature et chaque examen des autorisations après une autorisation sont un serment de leur souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle reste : internaliser la sensibilisation à la sécurité comme une mémoire musculaire et établir un équilibre éternel entre confiance et vérification. Après tout, dans le monde de la blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente sur la chaîne, et ne peuvent pas être modifiés.