Novas ameaças no mundo Blockchain: Fraude de protocolo e estratégias de prevenção
Com o desenvolvimento das criptomoedas e da tecnologia Blockchain, uma nova ameaça está silenciosamente surgindo. Os golpistas não se limitam mais a vulnerabilidades técnicas tradicionais, mas transformam o próprio protocolo de contratos inteligentes da Blockchain em uma ferramenta de ataque. Eles aproveitam a transparência e a irreversibilidade da Blockchain, por meio de armadilhas de engenharia social cuidadosamente projetadas, transformando a confiança dos usuários em uma ferramenta de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não são apenas sutis e difíceis de detectar, mas também mais enganosos devido à sua aparência "legalizada". Este artigo analisará exemplos para revelar como os golpistas transformam protocolos em vetores de ataque e fornecerá estratégias abrangentes de proteção.
Um, o mecanismo de operação da fraude de protocolos
O protocolo Blockchain deveria garantir segurança e confiança, mas os golpistas utilizam habilidosamente suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. A seguir, estão algumas técnicas comuns e seus detalhes técnicos:
1. Autorização de contrato inteligente malicioso
Princípio técnico:
O padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por fraudadores.
Como funciona:
Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a conectar suas carteiras e a conceder autorização. Superficialmente, é autorizada uma pequena quantidade de tokens, mas na verdade pode ser um limite infinito. Uma vez que a autorização é concluída, os golpistas podem retirar todos os tokens correspondentes da carteira dos usuários a qualquer momento.
Caso real:
No início de 2023, um site de phishing disfarçado de "atualização de algum DEX" causou grandes perdas de USDT e ETH para centenas de usuários. Essas transações estavam totalmente de acordo com o padrão ERC-20, dificultando a recuperação dos ativos pelos vítimas através de meios legais.
2. Phishing de assinatura
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem assinaturas através da chave privada. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Modo de operação:
Os usuários recebem mensagens disfarçadas de notificações oficiais, sendo direcionados para sites maliciosos para assinar "verificar transação". Esta transação pode transferir diretamente os ativos do usuário ou autorizar os golpistas a controlarem a coleção de NFTs do usuário.
Caso real:
Uma conhecida comunidade de projetos NFT foi alvo de um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes utilizaram o padrão de assinatura EIP-712 para falsificar solicitações que pareciam seguras.
3. Tokens falsos e "ataques de poeira"
Princípio técnico:
A publicidade do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço. Os golpistas aproveitam isso, rastreando a atividade das carteiras ao enviar uma pequena quantidade de criptomoeda e associando-a a indivíduos ou empresas.
Como funciona:
Os golpistas enviam pequenos tokens para vários endereços, que podem ter nomes ou metadados enganosos. Quando os usuários tentam resgatar, os atacantes podem acessar a carteira do usuário através do endereço do contrato. Mais disfarçado, ao analisar as transações subsequentes dos usuários, eles localizam endereços de carteiras ativas e realizam fraudes precisas.
Caso real:
No blockchain Ethereum, ocorreu um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários perderam ETH e outros tokens devido à curiosidade de interagir.
Dois, razões pelas quais a fraude é difícil de perceber
Essas fraudes são bem-sucedidas em grande parte porque se escondem nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua verdadeira natureza maliciosa. As principais razões incluem:
Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são obscuros para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem o problema depois.
Engenharia social: os golpistas exploram fraquezas humanas, como ganância, medo ou confiança.
Disfarce elaborado: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, estratégias para proteger carteiras de criptomoedas
Diante desses golpes que combinam aspectos técnicos e psicológicos, proteger os ativos requer uma estratégia em múltiplas camadas:
1. Verifique e gerencie as permissões de autorização
Utilize a ferramenta de verificação de autorizações do blockchain explorer para revisar e revogar regularmente autorizações desnecessárias.
Antes de cada autorização, certifique-se de que a origem do DApp é confiável.
Preste especial atenção à autorização "ilimitada", que deve ser revogada imediatamente.
2. Verificar o link e a origem
Insira manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
Verifique cuidadosamente o domínio do site e o certificado SSL.
Esteja atento a quaisquer variações de domínio com erros de ortografia ou caracteres adicionais.
3. Usar carteiras frias e múltiplas assinaturas
Armazenar a maior parte dos ativos em carteiras de hardware, conectando-se à rede apenas quando necessário.
Usar ferramentas de múltiplas assinaturas para ativos de grande valor, exigindo a confirmação da transação por várias chaves.
4. Tratar os pedidos de assinatura com cautela
Leia atentamente os detalhes da transação de cada assinatura.
Usar a funcionalidade de decodificação do navegador Blockchain para analisar o conteúdo da assinatura.
Criar uma carteira independente para operações de alto risco, armazenando apenas uma pequena quantidade de ativos.
5. Lidar com ataques de poeira
Após receber tokens desconhecidos, não interaja com eles.
Confirme a origem do token através do Blockchain Explorer, esteja atento ao envio em massa.
Evite tornar público o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado. No entanto, a verdadeira segurança não depende apenas de proteções tecnológicas. A compreensão do usuário sobre a lógica de autorização e a atitude cautelosa em relação ao comportamento na blockchain são a última linha de defesa contra ataques. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são manutenção da soberania digital.
No mundo do Blockchain, o código é a lei, cada clique e cada transação são registados permanentemente e não podem ser alterados. Portanto, internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação é a chave para garantir a segurança dos ativos.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
23 Curtidas
Recompensa
23
9
Compartilhar
Comentário
0/400
LiquidatedTwice
· 07-08 07:17
Basta não assinar.
Ver originalResponder0
FundingMartyr
· 07-07 20:34
A gestão da autorização, eu aconselho-vos a prestar atenção.
Ver originalResponder0
SchrodingerProfit
· 07-07 03:21
novato太容易被 fazer as pessoas de parvas了
Ver originalResponder0
ContractTester
· 07-06 16:57
Velho, velho, já consigo adivinhar a próxima lavar os olhos.
Ver originalResponder0
BlockTalk
· 07-06 09:32
Atualmente, o novato está mais preso a este buraco.
Ver originalResponder0
GasSavingMaster
· 07-06 09:21
Quem é que nunca foi enganado?
Ver originalResponder0
MeaninglessApe
· 07-06 09:14
Muito mau, o novato idiota entrou e foi feito de parvo.
Novas tendências de fraude em protocolos de Blockchain: a autorização de contratos inteligentes torna-se o principal meio de ataque
Novas ameaças no mundo Blockchain: Fraude de protocolo e estratégias de prevenção
Com o desenvolvimento das criptomoedas e da tecnologia Blockchain, uma nova ameaça está silenciosamente surgindo. Os golpistas não se limitam mais a vulnerabilidades técnicas tradicionais, mas transformam o próprio protocolo de contratos inteligentes da Blockchain em uma ferramenta de ataque. Eles aproveitam a transparência e a irreversibilidade da Blockchain, por meio de armadilhas de engenharia social cuidadosamente projetadas, transformando a confiança dos usuários em uma ferramenta de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não são apenas sutis e difíceis de detectar, mas também mais enganosos devido à sua aparência "legalizada". Este artigo analisará exemplos para revelar como os golpistas transformam protocolos em vetores de ataque e fornecerá estratégias abrangentes de proteção.
Um, o mecanismo de operação da fraude de protocolos
O protocolo Blockchain deveria garantir segurança e confiança, mas os golpistas utilizam habilidosamente suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. A seguir, estão algumas técnicas comuns e seus detalhes técnicos:
1. Autorização de contrato inteligente malicioso
Princípio técnico: O padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por fraudadores.
Como funciona: Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a conectar suas carteiras e a conceder autorização. Superficialmente, é autorizada uma pequena quantidade de tokens, mas na verdade pode ser um limite infinito. Uma vez que a autorização é concluída, os golpistas podem retirar todos os tokens correspondentes da carteira dos usuários a qualquer momento.
Caso real: No início de 2023, um site de phishing disfarçado de "atualização de algum DEX" causou grandes perdas de USDT e ETH para centenas de usuários. Essas transações estavam totalmente de acordo com o padrão ERC-20, dificultando a recuperação dos ativos pelos vítimas através de meios legais.
2. Phishing de assinatura
Princípios técnicos: As transações em Blockchain exigem que os usuários gerem assinaturas através da chave privada. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Modo de operação: Os usuários recebem mensagens disfarçadas de notificações oficiais, sendo direcionados para sites maliciosos para assinar "verificar transação". Esta transação pode transferir diretamente os ativos do usuário ou autorizar os golpistas a controlarem a coleção de NFTs do usuário.
Caso real: Uma conhecida comunidade de projetos NFT foi alvo de um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes utilizaram o padrão de assinatura EIP-712 para falsificar solicitações que pareciam seguras.
3. Tokens falsos e "ataques de poeira"
Princípio técnico: A publicidade do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço. Os golpistas aproveitam isso, rastreando a atividade das carteiras ao enviar uma pequena quantidade de criptomoeda e associando-a a indivíduos ou empresas.
Como funciona: Os golpistas enviam pequenos tokens para vários endereços, que podem ter nomes ou metadados enganosos. Quando os usuários tentam resgatar, os atacantes podem acessar a carteira do usuário através do endereço do contrato. Mais disfarçado, ao analisar as transações subsequentes dos usuários, eles localizam endereços de carteiras ativas e realizam fraudes precisas.
Caso real: No blockchain Ethereum, ocorreu um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários perderam ETH e outros tokens devido à curiosidade de interagir.
Dois, razões pelas quais a fraude é difícil de perceber
Essas fraudes são bem-sucedidas em grande parte porque se escondem nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua verdadeira natureza maliciosa. As principais razões incluem:
Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são obscuros para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem o problema depois.
Engenharia social: os golpistas exploram fraquezas humanas, como ganância, medo ou confiança.
Disfarce elaborado: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, estratégias para proteger carteiras de criptomoedas
Diante desses golpes que combinam aspectos técnicos e psicológicos, proteger os ativos requer uma estratégia em múltiplas camadas:
1. Verifique e gerencie as permissões de autorização
2. Verificar o link e a origem
3. Usar carteiras frias e múltiplas assinaturas
4. Tratar os pedidos de assinatura com cautela
5. Lidar com ataques de poeira
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado. No entanto, a verdadeira segurança não depende apenas de proteções tecnológicas. A compreensão do usuário sobre a lógica de autorização e a atitude cautelosa em relação ao comportamento na blockchain são a última linha de defesa contra ataques. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são manutenção da soberania digital.
No mundo do Blockchain, o código é a lei, cada clique e cada transação são registados permanentemente e não podem ser alterados. Portanto, internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação é a chave para garantir a segurança dos ativos.