Aviso de segurança da Blockchain: a espada de dois gumes da autorização de contratos inteligentes

As criptomoedas e a tecnologia Blockchain estão a redefinir a liberdade financeira, mas esta revolução também trouxe novos riscos. Os golpistas não estão mais limitados a explorar falhas técnicas, mas sim a transformar os próprios protocolos de contratos inteligentes da Blockchain em ferramentas de ataque. Eles utilizam armadilhas de engenharia social cuidadosamente elaboradas, aproveitando a transparência e a irreversibilidade da Blockchain, transformando a confiança dos usuários em ferramentas de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques são não apenas furtivos e difíceis de detectar, mas também mais enganosos devido à sua aparência "legalizada". Este artigo irá analisar casos práticos, revelando como os golpistas transformam protocolos em vetores de ataque, e fornecer soluções abrangentes que vão desde a proteção técnica até a prevenção comportamental, ajudando os usuários a navegar com segurança num mundo descentralizado.

I. Como um contrato legal se torna uma ferramenta de fraude?

O objetivo dos protocolos de Blockchain é garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque ocultas. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:

(1) autorização de contratos inteligentes maliciosos

Princípios técnicos:

No Blockchain como Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, os golpistas aproveitam esse mecanismo para desenhar contratos maliciosos.

Modo de operação:

Os golpistas criam um DApp disfarçado de um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam a carteira e são induzidos a clicar em "Approve", que aparentemente autoriza uma pequena quantidade de tokens, mas na verdade pode ser um limite infinito (valor uint256.max). Assim que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.

Caso real:

No início de 2023, um site de phishing disfarçado de "atualização do Uniswap V3" causou perdas de milhões de dólares em USDT e ETH para centenas de usuários. Os dados on-chain mostram que essas transações estavam completamente de acordo com o padrão ERC-20, e as vítimas nem sequer conseguiram recuperar os fundos por meio de ações legais, pois a autorização foi assinada voluntariamente.

(2) Assinatura de Phishing

Princípios Técnicos:

As transações em Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legalidade da transação. As carteiras normalmente exibem um pedido de assinatura, que, após a confirmação do usuário, é transmitido para a rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.

Como Funciona:

O usuário recebe um e-mail ou mensagem disfarçada de notificação oficial, como "O seu airdrop de NFT está à espera de ser reclamado, por favor, verifique a carteira". Ao clicar no link, o usuário é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, estar chamando a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação de "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.

Caso real:

Uma conhecida comunidade de projeto NFT sofreu um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes aproveitaram o padrão de assinatura EIP-712 para falsificar solicitações que pareciam seguras.

(3) Tokens falsos e "ataques de poeira"

Princípio técnico:

A publicidade do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas se aproveitam disso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade das carteiras e associá-las a indivíduos ou empresas que possuem as carteiras.

Como funciona:

Os atacantes enviam pequenas quantidades de criptomoeda para diferentes endereços e, em seguida, tentam descobrir quais endereços pertencem à mesma carteira. Na maioria das vezes, esses "poeira" são distribuídos sob a forma de airdrop para as carteiras dos usuários, possivelmente com nomes ou metadados atraentes. Os usuários podem tentar converter esses tokens, permitindo que os atacantes acessem a carteira do usuário através do endereço do contrato associado aos tokens. Mais discretamente, os atacantes usam engenharia social para analisar as transações subsequentes dos usuários, identificando os endereços de carteira ativos dos usuários e, assim, implementando fraudes mais precisas.

Caso real:

No network Ethereum houve um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.

Dois, por que esses golpes são difíceis de detectar?

Essas fraudes são bem-sucedidas em grande parte porque estão escondidas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. Aqui estão algumas razões chave:

• Complexidade técnica: O código dos contratos inteligentes e os pedidos de assinatura são obscuros para usuários não técnicos. Por exemplo, um pedido "Approve" pode aparecer como uma sequência de dados hexadecimais, e o usuário não consegue avaliar intuitivamente seu significado.

• **Legalidade na cadeia: ** Todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes percebem as consequências da autorização ou assinatura apenas depois, quando os ativos já não podem ser recuperados.

• Engenharia Social: Os golpistas exploram fraquezas humanas, como ganância, medo ou confiança. Por exemplo, prometendo "receber grandes tokens gratuitamente" ou alegando "verificação necessária devido a anomalias na conta".

• Disfarce engenhoso: Sites de phishing podem usar URLs muito semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.

Três, como proteger a sua carteira de criptomoedas?

Perante estas fraudes que combinam tecnologia e guerra psicológica, proteger os ativos requer uma estratégia em múltiplas camadas. Aqui estão as medidas de prevenção detalhadas:

Verificar e gerir permissões de autorização

• Utilize a ferramenta de verificação de autorização do explorador de Blockchain para revisar regularmente os registros de autorização da carteira.
• Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
• Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
• Verifique o valor "Allowance"; se for "ilimitado" (como 2^256-1), deve ser revogado imediatamente.

Verifique o link e a origem

• Insira manualmente a URL oficial, evite clicar em links em redes sociais ou e-mails.
• Certifique-se de que o site utiliza o domínio e o certificado SSL corretos.
• Esteja atento a erros de ortografia ou caracteres adicionais no nome de domínio.

Usar carteira fria e múltiplas assinaturas

• Armazene a maioria dos ativos em uma carteira de hardware e conecte-se à rede apenas quando necessário.
• Para ativos de grande valor, use ferramentas de múltiplas assinaturas, exigindo a confirmação da transação por várias chaves.
• Mesmo que a carteira quente seja comprometida, os ativos em armazenamento frio ainda podem permanecer seguros.

Manuseie com cautela os pedidos de assinatura

• Leia atentamente os detalhes da transação na janela do portfólio a cada assinatura.
• Use a funcionalidade de decodificação do navegador Blockchain para analisar o conteúdo da assinatura ou consulte um especialista técnico.
• Crie uma carteira independente para operações de alto risco, armazenando apenas uma pequena quantidade de ativos.

responder a ataques de poeira

• Após receber tokens desconhecidos, não interaja com eles. Marque-os como "lixo" ou oculte-os.
• Confirme a origem do token através do explorador de blockchain, se for um envio em massa, deve estar em alta alerta.
• Evite tornar público o endereço da carteira ou use um novo endereço para operações sensíveis.

Conclusão

A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de esquemas de fraude avançados, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a múltipla assinatura distribui a exposição ao risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na cadeia são a última fortaleza contra ataques. Cada análise de dados antes da assinatura e cada revisão de permissões após a autorização são um testemunho da soberania digital de cada um.

No futuro, independentemente de como a tecnologia evolua, a defesa mais essencial reside em: internalizar a consciência de segurança como memória muscular, estabelecendo um equilíbrio eterno entre confiança e verificação. No mundo blockchain onde código é lei, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Portanto, é crucial manter a vigilância e agir com cautela.