Novas tendências de fraude em protocolos de Blockchain: a autorização de contratos inteligentes torna-se o principal meio de ataque

robot
Geração do resumo em andamento

Novas ameaças no mundo Blockchain: Fraude de protocolo e estratégias de prevenção

Com o desenvolvimento das criptomoedas e da tecnologia Blockchain, uma nova ameaça está silenciosamente surgindo. Os golpistas não se limitam mais a vulnerabilidades técnicas tradicionais, mas transformam o próprio protocolo de contratos inteligentes da Blockchain em uma ferramenta de ataque. Eles aproveitam a transparência e a irreversibilidade da Blockchain, por meio de armadilhas de engenharia social cuidadosamente projetadas, transformando a confiança dos usuários em uma ferramenta de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não são apenas sutis e difíceis de detectar, mas também mais enganosos devido à sua aparência "legalizada". Este artigo analisará exemplos para revelar como os golpistas transformam protocolos em vetores de ataque e fornecerá estratégias abrangentes de proteção.

Um, o mecanismo de operação da fraude de protocolos

O protocolo Blockchain deveria garantir segurança e confiança, mas os golpistas utilizam habilidosamente suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. A seguir, estão algumas técnicas comuns e seus detalhes técnicos:

1. Autorização de contrato inteligente malicioso

Princípio técnico: O padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por fraudadores.

Como funciona: Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a conectar suas carteiras e a conceder autorização. Superficialmente, é autorizada uma pequena quantidade de tokens, mas na verdade pode ser um limite infinito. Uma vez que a autorização é concluída, os golpistas podem retirar todos os tokens correspondentes da carteira dos usuários a qualquer momento.

Caso real: No início de 2023, um site de phishing disfarçado de "atualização de algum DEX" causou grandes perdas de USDT e ETH para centenas de usuários. Essas transações estavam totalmente de acordo com o padrão ERC-20, dificultando a recuperação dos ativos pelos vítimas através de meios legais.

Guia de Sobrevivência na Floresta Sombria DeFi: Quando a autorização de contratos inteligentes se torna uma máquina de colheita de ativos

2. Phishing de assinatura

Princípios técnicos: As transações em Blockchain exigem que os usuários gerem assinaturas através da chave privada. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.

Modo de operação: Os usuários recebem mensagens disfarçadas de notificações oficiais, sendo direcionados para sites maliciosos para assinar "verificar transação". Esta transação pode transferir diretamente os ativos do usuário ou autorizar os golpistas a controlarem a coleção de NFTs do usuário.

Caso real: Uma conhecida comunidade de projetos NFT foi alvo de um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes utilizaram o padrão de assinatura EIP-712 para falsificar solicitações que pareciam seguras.

3. Tokens falsos e "ataques de poeira"

Princípio técnico: A publicidade do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço. Os golpistas aproveitam isso, rastreando a atividade das carteiras ao enviar uma pequena quantidade de criptomoeda e associando-a a indivíduos ou empresas.

Como funciona: Os golpistas enviam pequenos tokens para vários endereços, que podem ter nomes ou metadados enganosos. Quando os usuários tentam resgatar, os atacantes podem acessar a carteira do usuário através do endereço do contrato. Mais disfarçado, ao analisar as transações subsequentes dos usuários, eles localizam endereços de carteiras ativas e realizam fraudes precisas.

Caso real: No blockchain Ethereum, ocorreu um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários perderam ETH e outros tokens devido à curiosidade de interagir.

Guia de sobrevivência da floresta escura DeFi: quando a autorização de contratos inteligentes se torna uma máquina de coleta de ativos

Dois, razões pelas quais a fraude é difícil de perceber

Essas fraudes são bem-sucedidas em grande parte porque se escondem nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua verdadeira natureza maliciosa. As principais razões incluem:

  1. Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são obscuros para usuários não técnicos.

  2. Legalidade na cadeia: todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem o problema depois.

  3. Engenharia social: os golpistas exploram fraquezas humanas, como ganância, medo ou confiança.

  4. Disfarce elaborado: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.

Guia de Sobrevivência na Floresta Negra DeFi: Quando a autorização de contratos inteligentes se torna uma máquina de colheita de ativos

Três, estratégias para proteger carteiras de criptomoedas

Diante desses golpes que combinam aspectos técnicos e psicológicos, proteger os ativos requer uma estratégia em múltiplas camadas:

1. Verifique e gerencie as permissões de autorização

  • Utilize a ferramenta de verificação de autorizações do blockchain explorer para revisar e revogar regularmente autorizações desnecessárias.
  • Antes de cada autorização, certifique-se de que a origem do DApp é confiável.
  • Preste especial atenção à autorização "ilimitada", que deve ser revogada imediatamente.

2. Verificar o link e a origem

  • Insira manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
  • Verifique cuidadosamente o domínio do site e o certificado SSL.
  • Esteja atento a quaisquer variações de domínio com erros de ortografia ou caracteres adicionais.

3. Usar carteiras frias e múltiplas assinaturas

  • Armazenar a maior parte dos ativos em carteiras de hardware, conectando-se à rede apenas quando necessário.
  • Usar ferramentas de múltiplas assinaturas para ativos de grande valor, exigindo a confirmação da transação por várias chaves.

4. Tratar os pedidos de assinatura com cautela

  • Leia atentamente os detalhes da transação de cada assinatura.
  • Usar a funcionalidade de decodificação do navegador Blockchain para analisar o conteúdo da assinatura.
  • Criar uma carteira independente para operações de alto risco, armazenando apenas uma pequena quantidade de ativos.

5. Lidar com ataques de poeira

  • Após receber tokens desconhecidos, não interaja com eles.
  • Confirme a origem do token através do Blockchain Explorer, esteja atento ao envio em massa.
  • Evite tornar público o endereço da carteira ou use um novo endereço para operações sensíveis.

Guia de Sobrevivência na Floresta Sombria DeFi: Quando a autorização de contratos inteligentes se torna uma máquina de colheita de ativos

Conclusão

A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado. No entanto, a verdadeira segurança não depende apenas de proteções tecnológicas. A compreensão do usuário sobre a lógica de autorização e a atitude cautelosa em relação ao comportamento na blockchain são a última linha de defesa contra ataques. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são manutenção da soberania digital.

No mundo do Blockchain, o código é a lei, cada clique e cada transação são registados permanentemente e não podem ser alterados. Portanto, internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação é a chave para garantir a segurança dos ativos.

Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Recompensa
  • 9
  • Compartilhar
Comentário
0/400
LiquidatedTwicevip
· 07-08 07:17
Basta não assinar.
Ver originalResponder0
FundingMartyrvip
· 07-07 20:34
A gestão da autorização, eu aconselho-vos a prestar atenção.
Ver originalResponder0
SchrodingerProfitvip
· 07-07 03:21
novato太容易被 fazer as pessoas de parvas了
Ver originalResponder0
ContractTestervip
· 07-06 16:57
Velho, velho, já consigo adivinhar a próxima lavar os olhos.
Ver originalResponder0
BlockTalkvip
· 07-06 09:32
Atualmente, o novato está mais preso a este buraco.
Ver originalResponder0
GasSavingMastervip
· 07-06 09:21
Quem é que nunca foi enganado?
Ver originalResponder0
MeaninglessApevip
· 07-06 09:14
Muito mau, o novato idiota entrou e foi feito de parvo.
Ver originalResponder0
SybilSlayervip
· 07-06 09:08
Cuidado com sua frase mnemónica
Ver originalResponder0
staking_grampsvip
· 07-06 09:04
Outra vez essas armadilhas para ganhar dinheiro.
Ver originalResponder0
Ver projetos
  • Marcar
Faça trade de criptomoedas em qualquer lugar e a qualquer hora
qrCode
Escaneie o código para baixar o app da Gate
Comunidade
Português (Brasil)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)