Смарт-контракты Протокол: от обеспечения безопасности до инструмента мошенничества
Криптовалюты и технологии блокчейн переопределяют концепцию финансовой свободы, но эта революция также принесла новые вызовы. Мошенники больше не полагаются только на технические уязвимости, а превращают протоколы смарт-контрактов блокчейна в инструменты для атак. С помощью тщательно продуманных уловок социальной инженерии они используют прозрачность и необратимость блокчейна, чтобы превратить доверие пользователей в средства для кражи активов. От подделки смарт-контрактов до манипуляций с кросс-чейн транзакциями, эти атаки не только скрытны и трудны для отслеживания, но и более обманчивы из-за своего "легитимного" внешнего вида. В этой статье мы через реальные примеры проанализируем, как мошенники превращают сами протоколы в средства атак и предложим полный набор решений — от технической защиты до поведенческой профилактики, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как законный Протокол может стать инструментом мошенничества?
Дизайн блокчейн-протокола изначально направлен на обеспечение безопасности и доверия, но мошенники используют его особенности в сочетании с небрежностью пользователей, создавая различные скрытые методы атаки. Ниже приведены некоторые приемы и их технические детали в качестве примера:
(1) Злоумышленное разрешение смарт-контрактов (Approve Scam)
Технический принцип:
На блокчейнах, таких как Ethereum, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьих лиц (обычно смарт-контракты) извлекать указанное количество токенов из их кошелька. Эта функция широко используется в DeFi-протоколах, таких как некоторые DEX или платформы кредитования, где пользователям необходимо уполномочить смарт-контракты для завершения сделок, стекинга или ликвидной добычи. Однако мошенники используют этот механизм для разработки вредоносных контрактов.
Способ работы:
Мошенники создают DApp, замаскированный под легальный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их诱导ят нажать "Approve", что на первый взгляд выглядит как авторизация небольшого количества токенов, но на самом деле может быть безлимитным лимитом (значение uint256.max). Как только авторизация завершена, адрес контракта мошенников получает разрешение и может в любой момент вызвать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальные примеры:
В начале 2023 года фишинговый сайт, маскирующийся под обновление одного из DEX, привел к потере сотен пользователей миллионов долларов в USDT и ETH. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические меры, так как авторизация была подписана добровольно.
(2) Подпись фишинга (Phishing Signature)
Технический принцип:
Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователем транзакция транслируется в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает электронное письмо или мгновенное сообщение, замаскированное под официальное уведомление, например, "Ваш NFT аирдроп готов к получению, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователя направляют на вредоносный сайт, где требуется подключить кошелек и подписать транзакцию "проверки". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая предоставляет мошеннику контроль над коллекцией NFT пользователя.
Реальные примеры:
Некоторое известное сообщество NFT проекта стало жертвой атаки с использованием фишинга на подпись. Многие пользователи потеряли NFTs на сумму в несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Злоумышленники использовали стандарт подписи EIP-712, подделав запрос, который выглядел безопасным.
(3) Ложные токены и "атака пылью" (Dust Attack)
Технический принцип:
Открытость блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать их активность и связывать её с личностями или компаниями, которые владеют кошельками. Атакующие начинают с отправки пыли, а затем пытаются выяснить, какой адрес принадлежит одному и тому же кошельку. В конечном итоге злоумышленники используют эту информацию для проведения фишинг-атак или угроз против жертвы.
Способ работы:
В большинстве случаев "пыль", используемая в атаках с пылью, распределяется в виде аирдропа в кошельки пользователей. Эти токены могут содержать название или метаданные (например, "FREE_AIRDROP"), что подталкивает пользователей посетить определенный веб-сайт для получения подробной информации. Пользователи обычно с радостью хотят обналичить эти токены, после чего злоумышленники могут получить доступ к кошелькам пользователей через адрес контракта, прилагаемого к токенам. Скрытое заключается в том, что атаки с пылью используют социальную инженерию, анализируют последующие транзакции пользователей, чтобы зафиксировать активные адреса кошельков пользователей и тем самым осуществлять более точные мошенничества.
Реальный случай:
В прошлом атака на пыль токенов, произошедшая в сети Ethereum, затронула тысячи кошельков. Некоторые пользователи, из-за любопытства, потеряли ETH и токены ERC-20.
2. Почему эти мошенничества трудно распознать?
Эти мошенничества были успешны в значительной степени потому, что они скрываются в легитимных механизмах блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность:
Код смарт-контракта и запрос на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться как шестнадцатеричные данные, такие как "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.
Законность на блокчейне:
Все транзакции записываются в блокчейне, что выглядит прозрачно, но жертвы часто осознают последствия авторизации или подписания только позже, и в этот момент активы уже невозможно вернуть.
Социальная инженерия:
Мошенники используют человеческие слабости, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необычная активность в аккаунте, требуется проверка") или доверие (маскируясь под службу поддержки).
Замаскированный искусно:
Фишинговые сайты могут использовать URL, похожие на официальные домены (например, добавляя дополнительные символы в нормальный домен), даже повышая доверие с помощью HTTPS-сертификата.
Три, как защитить ваш криптовалютный кошелек?
Безопасность блокчейна. Столкнувшись с этими мошенничествами, в которых одновременно присутствуют технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверка и управление правами доступа
Инструменты: используйте инструмент проверки авторизации блокчейн-браузера или специализированную платформу управления авторизацией для проверки записей авторизации кошелька.
Операция: регулярно отменяйте ненужные разрешения, особенно на безлимитные разрешения для неизвестных адресов. Перед каждым разрешением убедитесь, что DApp поступает из надежного источника.
Технические детали: проверьте значение "Allowance", если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отменить.
Проверка ссылки и источника
Метод: введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый значок замка). Будьте осторожны с опечатками или лишними символами.
Пример: если вы получите модификацию с официального сайта (например, с добавлением дополнительных символов или поддоменов), немедленно сомневайтесь в ее подлинности.
Используйте холодные кошельки и мультиподпись
Холодный кошелек: храните большую часть активов в аппаратном кошельке, подключая сеть только при необходимости.
Мультиподпись: для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск ошибок в одной точке.
Преимущества: даже если горячий кошелек будет скомпрометирован, активы в холодном хранилище все равно будут в безопасности.
Осторожно обрабатывайте запросы на подпись
Шаги: Каждый раз, когда вы подписываете, внимательно читайте детали транзакции в всплывающем окне кошелька. Некоторые кошельки отображают поле "Данные"; если оно содержит неизвестные функции (например, "TransferFrom"), откажитесь от подписи.
Инструменты: используйте функцию "Decode Input Data" в блокчейн-эксплорере для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Рекомендация: создайте независимый кошелек для высокопрофильных операций и храните в нем небольшое количество активов.
Противодействие атаке с пылью
Стратегия: после получения неопознанного токена не взаимодействуйте с ним. Пометьте его как "спам" или скрыть.
Проверка: с помощью блокчейн-обозревателя подтвердите источник токена, если это массовая отправка, будьте очень осторожны.
Предотвращение: избегайте раскрытия адреса кошелька или используйте новый адрес для проведения чувствительных операций.
Заключение
Путем реализации вышеперечисленных мер безопасности обычные пользователи могут значительно снизить риск стать жертвой высококлассных мошеннических схем, но настоящая безопасность никогда не является лишь победой одной технологии. Когда аппаратные кошельки создают физическую защиту, а мультиподписи распределяют рисковые экспозиции, понимание пользователем логики авторизации и осторожность в действиях на блокчейне становятся последней крепостью против атак. Каждое расшифрование данных перед подписью, каждая проверка полномочий после авторизации — это клятва своей цифровой суверенности.
В будущем, независимо от того, как технологии будут развиваться, наиболее важной линией защиты всегда будет: внутреннее освоение осознания безопасности в качестве мышечной памяти, создание вечного баланса между доверием и проверкой. В конце концов, в мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда фиксируется в цепочке и не может быть изменена.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
4
Поделиться
комментарий
0/400
SchroedingerAirdrop
· 20ч назад
Блокчейн老人了,又是смарт-контракты又是安全的~
Посмотреть ОригиналОтветить0
BearMarketHustler
· 20ч назад
Боже мой, смарт-контракты уже начали обманывать?
Посмотреть ОригиналОтветить0
notSatoshi1971
· 20ч назад
С контрактом снова возникли проблемы с безопасностью, придется снова работать сверхурочно, чтобы проверить код.
Посмотреть ОригиналОтветить0
BlockchainFoodie
· 20ч назад
так же как испорченное молоко в блокчейн-холодильнике... как только оно испортилось, вы не можете это отменить fr
Смарт-контракты превращаются в инструменты мошенничества: разоблачение кризиса безопасности криптоактивов и стратегии защиты
Смарт-контракты Протокол: от обеспечения безопасности до инструмента мошенничества
Криптовалюты и технологии блокчейн переопределяют концепцию финансовой свободы, но эта революция также принесла новые вызовы. Мошенники больше не полагаются только на технические уязвимости, а превращают протоколы смарт-контрактов блокчейна в инструменты для атак. С помощью тщательно продуманных уловок социальной инженерии они используют прозрачность и необратимость блокчейна, чтобы превратить доверие пользователей в средства для кражи активов. От подделки смарт-контрактов до манипуляций с кросс-чейн транзакциями, эти атаки не только скрытны и трудны для отслеживания, но и более обманчивы из-за своего "легитимного" внешнего вида. В этой статье мы через реальные примеры проанализируем, как мошенники превращают сами протоколы в средства атак и предложим полный набор решений — от технической защиты до поведенческой профилактики, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как законный Протокол может стать инструментом мошенничества?
Дизайн блокчейн-протокола изначально направлен на обеспечение безопасности и доверия, но мошенники используют его особенности в сочетании с небрежностью пользователей, создавая различные скрытые методы атаки. Ниже приведены некоторые приемы и их технические детали в качестве примера:
(1) Злоумышленное разрешение смарт-контрактов (Approve Scam)
Технический принцип:
На блокчейнах, таких как Ethereum, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьих лиц (обычно смарт-контракты) извлекать указанное количество токенов из их кошелька. Эта функция широко используется в DeFi-протоколах, таких как некоторые DEX или платформы кредитования, где пользователям необходимо уполномочить смарт-контракты для завершения сделок, стекинга или ликвидной добычи. Однако мошенники используют этот механизм для разработки вредоносных контрактов.
Способ работы:
Мошенники создают DApp, замаскированный под легальный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их诱导ят нажать "Approve", что на первый взгляд выглядит как авторизация небольшого количества токенов, но на самом деле может быть безлимитным лимитом (значение uint256.max). Как только авторизация завершена, адрес контракта мошенников получает разрешение и может в любой момент вызвать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальные примеры:
В начале 2023 года фишинговый сайт, маскирующийся под обновление одного из DEX, привел к потере сотен пользователей миллионов долларов в USDT и ETH. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические меры, так как авторизация была подписана добровольно.
(2) Подпись фишинга (Phishing Signature)
Технический принцип:
Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, и после подтверждения пользователем транзакция транслируется в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает электронное письмо или мгновенное сообщение, замаскированное под официальное уведомление, например, "Ваш NFT аирдроп готов к получению, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователя направляют на вредоносный сайт, где требуется подключить кошелек и подписать транзакцию "проверки". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая предоставляет мошеннику контроль над коллекцией NFT пользователя.
Реальные примеры:
Некоторое известное сообщество NFT проекта стало жертвой атаки с использованием фишинга на подпись. Многие пользователи потеряли NFTs на сумму в несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Злоумышленники использовали стандарт подписи EIP-712, подделав запрос, который выглядел безопасным.
(3) Ложные токены и "атака пылью" (Dust Attack)
Технический принцип:
Открытость блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать их активность и связывать её с личностями или компаниями, которые владеют кошельками. Атакующие начинают с отправки пыли, а затем пытаются выяснить, какой адрес принадлежит одному и тому же кошельку. В конечном итоге злоумышленники используют эту информацию для проведения фишинг-атак или угроз против жертвы.
Способ работы:
В большинстве случаев "пыль", используемая в атаках с пылью, распределяется в виде аирдропа в кошельки пользователей. Эти токены могут содержать название или метаданные (например, "FREE_AIRDROP"), что подталкивает пользователей посетить определенный веб-сайт для получения подробной информации. Пользователи обычно с радостью хотят обналичить эти токены, после чего злоумышленники могут получить доступ к кошелькам пользователей через адрес контракта, прилагаемого к токенам. Скрытое заключается в том, что атаки с пылью используют социальную инженерию, анализируют последующие транзакции пользователей, чтобы зафиксировать активные адреса кошельков пользователей и тем самым осуществлять более точные мошенничества.
Реальный случай:
В прошлом атака на пыль токенов, произошедшая в сети Ethereum, затронула тысячи кошельков. Некоторые пользователи, из-за любопытства, потеряли ETH и токены ERC-20.
2. Почему эти мошенничества трудно распознать?
Эти мошенничества были успешны в значительной степени потому, что они скрываются в легитимных механизмах блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Код смарт-контракта и запрос на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться как шестнадцатеричные данные, такие как "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.
Все транзакции записываются в блокчейне, что выглядит прозрачно, но жертвы часто осознают последствия авторизации или подписания только позже, и в этот момент активы уже невозможно вернуть.
Мошенники используют человеческие слабости, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необычная активность в аккаунте, требуется проверка") или доверие (маскируясь под службу поддержки).
Фишинговые сайты могут использовать URL, похожие на официальные домены (например, добавляя дополнительные символы в нормальный домен), даже повышая доверие с помощью HTTPS-сертификата.
Три, как защитить ваш криптовалютный кошелек?
Безопасность блокчейна. Столкнувшись с этими мошенничествами, в которых одновременно присутствуют технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Инструменты: используйте инструмент проверки авторизации блокчейн-браузера или специализированную платформу управления авторизацией для проверки записей авторизации кошелька.
Операция: регулярно отменяйте ненужные разрешения, особенно на безлимитные разрешения для неизвестных адресов. Перед каждым разрешением убедитесь, что DApp поступает из надежного источника.
Технические детали: проверьте значение "Allowance", если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отменить.
Метод: введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
Проверьте: убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый значок замка). Будьте осторожны с опечатками или лишними символами.
Пример: если вы получите модификацию с официального сайта (например, с добавлением дополнительных символов или поддоменов), немедленно сомневайтесь в ее подлинности.
Холодный кошелек: храните большую часть активов в аппаратном кошельке, подключая сеть только при необходимости.
Мультиподпись: для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск ошибок в одной точке.
Преимущества: даже если горячий кошелек будет скомпрометирован, активы в холодном хранилище все равно будут в безопасности.
Шаги: Каждый раз, когда вы подписываете, внимательно читайте детали транзакции в всплывающем окне кошелька. Некоторые кошельки отображают поле "Данные"; если оно содержит неизвестные функции (например, "TransferFrom"), откажитесь от подписи.
Инструменты: используйте функцию "Decode Input Data" в блокчейн-эксплорере для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Рекомендация: создайте независимый кошелек для высокопрофильных операций и храните в нем небольшое количество активов.
Стратегия: после получения неопознанного токена не взаимодействуйте с ним. Пометьте его как "спам" или скрыть.
Проверка: с помощью блокчейн-обозревателя подтвердите источник токена, если это массовая отправка, будьте очень осторожны.
Предотвращение: избегайте раскрытия адреса кошелька или используйте новый адрес для проведения чувствительных операций.
Заключение
Путем реализации вышеперечисленных мер безопасности обычные пользователи могут значительно снизить риск стать жертвой высококлассных мошеннических схем, но настоящая безопасность никогда не является лишь победой одной технологии. Когда аппаратные кошельки создают физическую защиту, а мультиподписи распределяют рисковые экспозиции, понимание пользователем логики авторизации и осторожность в действиях на блокчейне становятся последней крепостью против атак. Каждое расшифрование данных перед подписью, каждая проверка полномочий после авторизации — это клятва своей цифровой суверенности.
В будущем, независимо от того, как технологии будут развиваться, наиболее важной линией защиты всегда будет: внутреннее освоение осознания безопасности в качестве мышечной памяти, создание вечного баланса между доверием и проверкой. В конце концов, в мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда фиксируется в цепочке и не может быть изменена.