Новые угрозы в мире Блокчейн: мошенничество с Протоколами и стратегии защиты

С развитием криптовалют и технологий Блокчейн возникает новая угроза. Мошенники больше не ограничиваются традиционными уязвимостями технологий, а превращают протоколы смарт-контрактов Блокчейн в инструменты для атак. Они используют прозрачность и необратимость Блокчейн, создавая тщательно спланированные ловушки социального инжиниринга, чтобы превратить доверие пользователей в инструменты кражи активов. От подделки смарт-контрактов до манипуляции кросс-чейн транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и более обманчивы из-за своего "легализованного" внешнего вида. В этой статье будут проанализированы примеры, чтобы продемонстрировать, как мошенники превращают протоколы в средства атаки, и предложены всесторонние стратегии защиты.

Один. Механизм работы Протокольного мошенничества

Блокчейн Протокол должен обеспечивать безопасность и доверие, но мошенники ловко используют его характеристики, сочетая с небрежностью пользователей, создавая множество скрытых способов атак. Ниже приведены несколько распространенных приемов и их технические детали:

1. Злоумышленное авторизованное смарт-контракт.

Технический принцип: Стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону извлекать из их кошелька указанное количество токенов. Эта функция широко используется в Протоколах DeFi, но также используется мошенниками.

Способ работы: Мошенники создают DApp, маскирующийся под законный проект, и вводят пользователей в заблуждение, чтобы они подключали свои кошельки и предоставляли разрешение. На поверхности это выглядит как разрешение на небольшое количество токенов, но на самом деле это может быть неограниченный лимит. Как только разрешение будет предоставлено, мошенники могут в любое время извлекать все соответствующие токены из кошелька пользователя.

Реальные примеры: В начале 2023 года фишинговый сайт, замаскировавшийся под "обновление某DEX", привел к потере значительных сумм USDT и ETH у сотен пользователей. Эти транзакции полностью соответствовали стандарту ERC-20, и жертвам было сложно вернуть свои активы через юридические меры.

2. Подписанный фишинг

Технический принцип: Блокчейн-транзакция требует от пользователя генерировать подпись с помощью приватного ключа. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.

Способ работы: Пользователь получает сообщение, замаскированное под официальное уведомление, и его направляют на вредоносный сайт для подписания "проверки транзакции". Эта транзакция может напрямую перевести активы пользователя или уполномочить мошенников контролировать коллекцию NFT пользователя.

Реальный случай: Некоторые известные сообщества NFT-проектов стали жертвами атак фишинга с использованием подписей, в результате чего несколько пользователей потеряли NFTs на сумму несколько миллионов долларов из-за подписания поддельных транзакций "получение аирдропа". Нападающие использовали стандарт подписи EIP-712 для подделки, казалось бы, безопасных запросов.

3. Ложные токены и "атака пыли"

Технический принцип: Открытость Блокчейна позволяет любому отправлять токены на любой адрес. Мошенники используют это, отправляя небольшое количество криптовалюты для отслеживания активности кошельков и связывая ее с личностями или компаниями.

Способ работы: Мошенники отправляют небольшие токены на несколько адресов, которые могут иметь诱导性名称 или метаданные. Когда пользователи пытаются их обналичить, злоумышленники могут получить доступ к кошельку пользователя через адрес контракта. Более скрытно, анализируя последующие транзакции пользователей, они выявляют активные адреса кошельков и осуществляют целенаправленное мошенничество.

Реальный случай: На сети Эфириума произошла атака "пылевыми токенами GAS", затронувшая тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и другие токены.

2. Причины, по которым мошенничество трудно распознать

Эти мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:

1. Техническая сложность: Код смарт-контрактов и запросы на подпись являются трудными для понимания непрофессиональными пользователями.

2. Законность на блокчейне: все транзакции записываются в блокчейне, что кажется прозрачным, но жертвы часто осознают проблему только позже.

3. Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие.

4. Искусное маскировка: Фишинговые сайты могут использовать URL, похожие на официальный домен, и даже увеличивать доверие с помощью сертификатов HTTPS.

Три, стратегии защиты криптовалютного кошелька

Столкнувшись с этими мошенничествами, которые сочетают в себе технические и психологические аспекты, защита активов требует многоуровневой стратегии:

1. Проверьте и управляйте разрешениями

• Используйте инструмент проверки авторизации в Блокчейн браузере для регулярного обзора и отмены ненужных авторизаций.
• Перед каждым предоставлением доступа убедитесь, что источник DApp надежен.
• Обратите особое внимание на "бессрочные" полномочия, которые следует немедленно аннулировать.

2. Проверка ссылки и источника

• Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
• Тщательно проверьте доменное имя сайта и SSL-сертификат.
• Будьте осторожны с любыми опечатками или лишними символами в вариантах доменных имен.

3. Использование холодного кошелька и мультиподписей

• Храните большую часть активов в аппаратных кошельках и подключайте к сети только при необходимости.
• Используйте мультиподписные инструменты для крупных активов, требуя подтверждения транзакции несколькими ключами.

4. Осторожно обрабатывайте запросы на подпись

• Внимательно прочитайте детали каждой подписанной транзакции.
• Используйте функции декодирования блокчейн-браузера для анализа содержимого подписи.
• Создайте отдельный кошелек для высокорисковых операций, храните в нем лишь небольшое количество активов.

5. Противодействие атаке пыли

• После получения неизвестного токена не взаимодействуйте с ним.
• Подтвердите источник токена через Блокчейн браузер, будьте осторожны с массовыми отправками.
• Избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.

Заключение

Внедрение вышеуказанных мер безопасности может значительно снизить риск стать жертвой высококлассных мошеннических схем. Однако настоящая безопасность не зависит только от технической защиты. Понимание пользователем логики авторизации и осторожное отношение к действиям в цепочке — это последняя линия защиты от атак. Каждая аналитика данных перед подписанием, каждая проверка прав после авторизации — это защита собственного цифрового суверенитета.

В мире Блокчейн код — это закон, каждое нажатие, каждую транзакцию навсегда фиксируют и нельзя изменить. Поэтому, превращение осознания безопасности в привычку и поддержание баланса между доверием и проверкой — это ключ к обеспечению безопасности активов.