Блокчейн безопасность предупреждение: смарт-контракты авторизация двойной меч

Криптовалюты и технологии Блокчейн переопределяют понятие финансовой свободы, но эта революция также принесла новые риски. Мошенники больше не ограничиваются использованием уязвимостей технологий, а превращают сами соглашения смарт-контрактов Блокчейн в инструменты атаки. Они с помощью тщательно продуманных ловушек социальной инженерии используют прозрачность и необратимость Блокчейн, превращая доверие пользователей в инструмент кражи активов. От подделки смарт-контрактов до манипуляции кроссчейн-транзакциями, эти атаки не только скрыты и трудно обнаружимы, но и обладают большей обманчивостью из-за своего "легализованного" внешнего вида. В этой статье будет проведен анализ реальных случаев, чтобы показать, как мошенники превращают соглашения в средства атаки, и предложить комплексные решения от технической защиты до поведенческой профилактики, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.

Один. Как легальный договор стал инструментом мошенничества?

Первоначальная цель Блокчейн-протоколов заключается в обеспечении безопасности и доверия, однако мошенники используют их особенности, в сочетании с неосторожностью пользователей, создавая множество скрытых методов атак. Ниже приведены некоторые распространенные методы и их технические детали:

(1) злонамеренные смарт-контракты авторизация

Технический принцип:

На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону (обычно смарт-контракт) извлекать из их кошелька указанное количество токенов. Эта функция широко используется в DeFi-протоколах, где пользователям необходимо уполномочить смарт-контракты для завершения сделок, стекинга или ликвидной добычи. Однако мошенники используют этот механизм для создания злонамеренных контрактов.

Способ работы:

Мошенники создают DApp, маскирующийся под легитимный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают свои кошельки и их заставляют нажать "Approve", что на первый взгляд выглядит как разрешение на малое количество токенов, но на самом деле может быть неограниченным лимитом (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает права и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.

Реальный случай:

В начале 2023 года фишинговый сайт, маскирующийся под "Обновление Uniswap V3", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства законными средствами, поскольку авторизация была подписана добровольно.

(2) Подписывать фишинг

Технические принципы:

Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения законности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.

Способ работы:

Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например "Ваш NFT airdrop ожидает получения, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, который требует подключить кошелек и подписать "проверочную транзакцию". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая предоставляет мошеннику контроль над коллекцией NFT пользователя.

Реальный случай:

Некоторые сообщества известных NFT проектов столкнулись с атакой фишинга на подписи, в результате чего несколько пользователей потеряли NFT на сумму в несколько миллионов долларов из-за подписания поддельной "запроса на получение аирдропа". Атакующие использовали стандарт подписи EIP-712, подделав казавшийся безопасным запрос.

(3) Ложные токены и "атака пылью"

Технический принцип:

Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивает их активно. Мошенники используют это, отправляя небольшое количество криптовалюты на несколько адресов кошельков, чтобы отслеживать деятельность кошельков и связывать их с личностями или компаниями, владеющими кошельками.

Способ работы:

Атакующие отправляют небольшое количество криптовалюты на разные адреса, а затем пытаются выяснить, какие адреса принадлежат одному и тому же кошельку. В большинстве случаев эта "пыль" раздается пользователям в виде аэрдропа и может иметь привлекательные названия или метаданные. Пользователи могут попытаться обналичить эти токены, что позволяет атакующим получить доступ к кошельку пользователя через адрес контракта, приложенный к токенам. Более скрытно, атакующие используют социальную инженерию, анализируя последующие транзакции пользователей, чтобы определить активные адреса кошельков пользователей и реализовать более точные мошенничества.

Реальный случай:

В сети Эфириума произошла атака «пыли GAS-токенов», затронувшая тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и токены ERC-20.

Два, почему эти мошенничества трудно выявить?

Эти мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:

• Техническая сложность: Код смарт-контракта и запросы на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться в виде строки шестнадцатеричных данных, и пользователю сложно интуитивно понять его значение.

• Законность на блокчейне: Все транзакции записываются на Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, а в это время активы уже невозможно вернуть.

• Социальная инженерия: мошенники используют слабости человеческой природы, такие как жадность, страх или доверие. Например, обещая "бесплатно получить большие токены" или утверждая, что "необходимо проверить странности аккаунта".

• Замаскированный мастерски: Фишинговые сайты могут использовать URL, которые очень похожи на официальные доменные имена, и даже использовать HTTPS-сертификаты для повышения доверия.

Три, как защитить ваш криптовалютный кошелек?

Столкнувшись с этими мошенничествами, где переплетаются технологии и психологическая война, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:

Проверьте и управляйте правами доступа

• Регулярно проверяйте записи авторизации кошелька с помощью инструмента проверки авторизации блокчейн-браузера.
• Отмените ненужные разрешения, особенно безлимитные разрешения на неизвестные адреса.
• Перед каждым авторизацией убедитесь, что DApp поступает из надежного источника.
• Проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отменить.

Проверьте ссылку и источник

• Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах.
• Убедитесь, что сайт использует правильный домен и SSL-сертификат.
• Будьте внимательны к опечаткам или лишним символам в домене.

Используйте холодный кошелек и мультиподпись

• Храните большую часть активов в аппаратных кошельках и подключайте к сети только при необходимости.
• Для крупных активов используйте инструменты многофакторной подписи, требующие подтверждения транзакции несколькими ключами.
• Даже если горячий кошелек будет взломан, активы в холодном хранилище останутся в безопасности.

Осторожно обрабатывайте запросы на подпись

• При каждом подписании внимательно читайте детали транзакции в всплывающем окне кошелька.
• Используйте функцию декодирования блокчейн-браузера для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
• Создайте отдельный кошелек для высокорисковых операций, храните только небольшое количество активов.

Ответ на атаки пыли

• После получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "спам" или скройте.
• Подтвердите источник токена через Блокчейн-обозреватель, если это массовая отправка, следует быть особенно осторожным.
• Избегайте публичного раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.

Заключение

Реализация вышеупомянутых мер безопасности может значительно снизить риск стать жертвой высококлассной мошеннической схемы, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а мультиподпись распределяет риски, понимание пользователями логики авторизации и осторожность в действиях на блокчейне становятся последней защитой от атак. Каждое расшифровка данных перед подписанием, каждый контроль прав после авторизации — это клятва собственной цифровой суверенности.

В будущем, независимо от того, как будет развиваться технология, самая важная линия защиты всегда будет заключаться в том, чтобы инкорпорировать осознание безопасности в мышечную память, устанавливая вечный баланс между доверием и проверкой. В мире Блокчейн, где код является законом, каждое нажатие, каждая транзакция навсегда записывается и не может быть изменена. Поэтому крайне важно оставаться бдительным и действовать осторожно.