Нові загрози у світі Блокчейн: шахрайство з протоколами та стратегії запобігання
З розвитком криптовалют і технології Блокчейн виникає новий тип загрози. Шахраї більше не обмежуються традиційними технічними вразливостями, а перетворюють протокол смарт-контрактів Блокчейн на інструмент атаки. Вони використовують прозорість і незворотність Блокчейн, створюючи ретельно продумані соціально інженерні пастки, перетворюючи довіру користувачів на інструмент для крадіжки активів. Від підробки смарт-контрактів до маніпуляцій з міжланцюговими транзакціями, ці атаки не лише приховані та важко відстежуються, але й мають більш обманливий вигляд через свою "легалізацію". У цій статті через приклади буде проаналізовано, як шахраї перетворюють протокол на носій атаки, а також запропоновано всебічні стратегії захисту.
Од, механізм роботи шахрайства з протоколами
Блокчейн прото́коли повинні забезпечувати безпеку та довіру, але шахраї вміло використовують їх особливості, поєднуючи з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Ось кілька поширених прийомів та їх технічні деталі:
1. Дозвол на шкідливий смарт-контракт
Технічні принципи:
Стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третіх осіб витягувати з їхнього гаманця вказану кількість токенів. Ця функція широко використовується в протоколах DeFi, але також експлуатується шахраями.
Спосіб роботи:
Шахраї створюють DApp, що маскуються під легальні проєкти, спонукаючи користувачів підключати гаманці та надавати дозволи. На перший погляд, це дозволяє авторизувати невелику кількість токенів, але насправді може бути безмежний ліміт. Як тільки авторизація завершена, шахраї можуть у будь-який момент вилучити всі відповідні токени з гаманця користувача.
Справжній випадок:
На початку 2023 року фішинговий веб-сайт, що маскувався під "оновлення певного DEX", призвів до втрати великої кількості USDT та ETH сотнями користувачів. Ці транзакції повністю відповідали стандарту ERC-20, і жертвам було важко повернути свої активи через юридичні канали.
2. Підписування рибалки
Технічний принцип:
Блокчейн-транзакції потребують від користувачів генерування підпису за допомогою приватного ключа. Шахраї використовують цей процес для підробки запитів на підпис, щоб вкрасти активи.
Спосіб роботи:
Користувач отримав повідомлення, яке маскується під офіційне сповіщення, і був спрямований на шкідливий веб-сайт для підписання "підтвердження транзакції". Ця транзакція може безпосередньо перемістити активи користувача або надати шахраям контроль над колекцією NFT користувача.
Справжній випадок:
У спільноті відомого NFT-проєкту сталося фішинг-атака з підписами, через що кілька користувачів втратилиNFT на мільйони доларів через підписання підроблених угод "отримання аірдропу". Зловмисники використали стандарт підпису EIP-712 для підробки виглядаючих безпечними запитів.
3. Хибні токени та "атака пилу"
Технічний принцип:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу. Шахраї використовують цю можливість, відправляючи невелику кількість криптовалюти для відстеження активності гаманця та асоціюючи її з особою або компанією.
Спосіб роботи:
Шахраї надсилають невелику кількість токенів на кілька адрес, які можуть мати спокусливі назви або метадані. Коли користувачі намагаються їх реалізувати, зловмисники можуть отримати доступ до гаманця користувача через адресу контракту. Ще більш приховано, аналізуючи подальші транзакції користувачів, вони можуть зафіксувати активні адреси гаманців і здійснити точкове шахрайство.
Реальні випадки:
На мережі Ethereum стався "пиловий напад" з використанням токенів GAS, що вплинуло на тисячі гаманців. Частина користувачів втратила ETH та інші токени через цікавість до взаємодії.
Два, причини, чому шахрайство важко виявити
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню злочинну природу. Основні причини включають:
Технічна складність: Код смарт-контракту та запити на підпис для нетехнічних користувачів є незрозумілими.
Правомірність на ланцюгу: всі транзакції записуються на Блокчейн, що здається прозорим, але жертви часто усвідомлюють проблему лише після того.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Майстерна маскування: Фішингові сайти можуть використовувати URL, схожі на офіційний домен, а також підвищувати довіру через HTTPS сертифікати.
Три, стратегії захисту криптовалютних гаманців
Стикаючись із цими шахрайствами, які поєднують технічні та психологічні війни, захист активів вимагає багаторівневої стратегії:
1. Перевірка та управління правами доступу
Використовуйте інструмент перевірки авторизації блокчейн-браузера, регулярно перевіряйте та відкликайте непотрібні авторизації.
Перед кожним авторизацією переконайтеся, що джерело DApp є надійним.
Особливо зверніть увагу на "безмежні" повноваження, їх слід негайно анулювати.
2. Перевірте посилання та джерела
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Уважно перевірте домен сайту та SSL-сертифікат.
Будьте обережні з будь-якими варіантами доменів з помилками в написанні або зайвими символами.
3. Використання холодного гаманця та мультипідпису
Зберігайте більшість активів у апаратному гаманці, підключайте до мережі лише за необхідності.
Використовуйте багатопідписні інструменти для великих активів, що вимагають підтвердження транзакції кількома ключами.
4. Обережно обробляйте запити на підпис
Уважно читайте деталі кожної підписаної транзакції.
Використовуйте функцію декодування блокчейн браузера для аналізу вмісту підпису.
Створіть незалежний гаманець для високоризикових операцій, зберігайте лише невелику кількість активів.
5. Реакція на атакуючий пил
Після отримання невідомих токенів не взаємодійте з ними.
Підтверджуйте джерело токенів через Блокчейн-браузер, будьте обережні з масовими відправленнями.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Впровадження зазначених заходів безпеки може значно знизити ризик стати жертвою складних шахрайських схем. Однак справжня безпека не залежить лише від технологічного захисту. Розуміння користувачем логіки авторизації та обережне ставлення до поведінки в мережі є останньою лінією захисту від атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації є підтримкою власного цифрового суверенітету.
У світі Блокчейн код — це закон, кожен клік, кожна угода назавжди записуються і не можуть бути змінені. Тому важливо інтерналізувати усвідомлення безпеки в звичку та підтримувати баланс між довірою та перевіркою, що є ключем до забезпечення безпеки активів.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 лайків
Нагородити
17
7
Поділіться
Прокоментувати
0/400
SchrodingerProfit
· 1год тому
новачок太容易被 обдурювати людей, як лохів
Переглянути оригіналвідповісти на0
ContractTester
· 11год тому
Старий, старий, вже можу вгадати наступне замилювання очей
Переглянути оригіналвідповісти на0
BlockTalk
· 18год тому
Наразі новачок найбільше в цю пастку.
Переглянути оригіналвідповісти на0
GasSavingMaster
· 19год тому
Хто ще не попадав у пастку?
Переглянути оригіналвідповісти на0
MeaninglessApe
· 19год тому
Такі обдурюють людей, як лохів. Новачок невдахи заходить і вже обдурений.
Блокчейн протокол шахрайство новий тренд: смартконтракти авторизація стає основним засобом атаки
Нові загрози у світі Блокчейн: шахрайство з протоколами та стратегії запобігання
З розвитком криптовалют і технології Блокчейн виникає новий тип загрози. Шахраї більше не обмежуються традиційними технічними вразливостями, а перетворюють протокол смарт-контрактів Блокчейн на інструмент атаки. Вони використовують прозорість і незворотність Блокчейн, створюючи ретельно продумані соціально інженерні пастки, перетворюючи довіру користувачів на інструмент для крадіжки активів. Від підробки смарт-контрактів до маніпуляцій з міжланцюговими транзакціями, ці атаки не лише приховані та важко відстежуються, але й мають більш обманливий вигляд через свою "легалізацію". У цій статті через приклади буде проаналізовано, як шахраї перетворюють протокол на носій атаки, а також запропоновано всебічні стратегії захисту.
Од, механізм роботи шахрайства з протоколами
Блокчейн прото́коли повинні забезпечувати безпеку та довіру, але шахраї вміло використовують їх особливості, поєднуючи з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Ось кілька поширених прийомів та їх технічні деталі:
1. Дозвол на шкідливий смарт-контракт
Технічні принципи: Стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третіх осіб витягувати з їхнього гаманця вказану кількість токенів. Ця функція широко використовується в протоколах DeFi, але також експлуатується шахраями.
Спосіб роботи: Шахраї створюють DApp, що маскуються під легальні проєкти, спонукаючи користувачів підключати гаманці та надавати дозволи. На перший погляд, це дозволяє авторизувати невелику кількість токенів, але насправді може бути безмежний ліміт. Як тільки авторизація завершена, шахраї можуть у будь-який момент вилучити всі відповідні токени з гаманця користувача.
Справжній випадок: На початку 2023 року фішинговий веб-сайт, що маскувався під "оновлення певного DEX", призвів до втрати великої кількості USDT та ETH сотнями користувачів. Ці транзакції повністю відповідали стандарту ERC-20, і жертвам було важко повернути свої активи через юридичні канали.
2. Підписування рибалки
Технічний принцип: Блокчейн-транзакції потребують від користувачів генерування підпису за допомогою приватного ключа. Шахраї використовують цей процес для підробки запитів на підпис, щоб вкрасти активи.
Спосіб роботи: Користувач отримав повідомлення, яке маскується під офіційне сповіщення, і був спрямований на шкідливий веб-сайт для підписання "підтвердження транзакції". Ця транзакція може безпосередньо перемістити активи користувача або надати шахраям контроль над колекцією NFT користувача.
Справжній випадок: У спільноті відомого NFT-проєкту сталося фішинг-атака з підписами, через що кілька користувачів втратилиNFT на мільйони доларів через підписання підроблених угод "отримання аірдропу". Зловмисники використали стандарт підпису EIP-712 для підробки виглядаючих безпечними запитів.
3. Хибні токени та "атака пилу"
Технічний принцип: Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу. Шахраї використовують цю можливість, відправляючи невелику кількість криптовалюти для відстеження активності гаманця та асоціюючи її з особою або компанією.
Спосіб роботи: Шахраї надсилають невелику кількість токенів на кілька адрес, які можуть мати спокусливі назви або метадані. Коли користувачі намагаються їх реалізувати, зловмисники можуть отримати доступ до гаманця користувача через адресу контракту. Ще більш приховано, аналізуючи подальші транзакції користувачів, вони можуть зафіксувати активні адреси гаманців і здійснити точкове шахрайство.
Реальні випадки: На мережі Ethereum стався "пиловий напад" з використанням токенів GAS, що вплинуло на тисячі гаманців. Частина користувачів втратила ETH та інші токени через цікавість до взаємодії.
Два, причини, чому шахрайство важко виявити
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню злочинну природу. Основні причини включають:
Технічна складність: Код смарт-контракту та запити на підпис для нетехнічних користувачів є незрозумілими.
Правомірність на ланцюгу: всі транзакції записуються на Блокчейн, що здається прозорим, але жертви часто усвідомлюють проблему лише після того.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Майстерна маскування: Фішингові сайти можуть використовувати URL, схожі на офіційний домен, а також підвищувати довіру через HTTPS сертифікати.
Три, стратегії захисту криптовалютних гаманців
Стикаючись із цими шахрайствами, які поєднують технічні та психологічні війни, захист активів вимагає багаторівневої стратегії:
1. Перевірка та управління правами доступу
2. Перевірте посилання та джерела
3. Використання холодного гаманця та мультипідпису
4. Обережно обробляйте запити на підпис
5. Реакція на атакуючий пил
Висновок
Впровадження зазначених заходів безпеки може значно знизити ризик стати жертвою складних шахрайських схем. Однак справжня безпека не залежить лише від технологічного захисту. Розуміння користувачем логіки авторизації та обережне ставлення до поведінки в мережі є останньою лінією захисту від атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації є підтримкою власного цифрового суверенітету.
У світі Блокчейн код — це закон, кожен клік, кожна угода назавжди записуються і не можуть бути змінені. Тому важливо інтерналізувати усвідомлення безпеки в звичку та підтримувати баланс між довірою та перевіркою, що є ключем до забезпечення безпеки активів.