Segurança de Ativos de criptografia: Novas ameaças e estratégias de prevenção na era dos contratos inteligentes

Ativos de criptografia e tecnologia de blockchain estão a remodelar o conceito de liberdade financeira, mas esta revolução também trouxe novos desafios de segurança. Os golpistas não estão mais limitados a ataques tradicionais de vulnerabilidades técnicas, mas transformaram habilmente os próprios protocolos de contratos inteligentes do blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente projetadas, eles aproveitam a transparência e a irreversibilidade do blockchain, transformando a confiança dos usuários em meios para roubar ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques são não só furtivos e difíceis de rastrear, mas também mais enganosos devido à sua aparência "legalizada". Este artigo irá analisar a fundo casos reais, revelando como os golpistas transformam protocolos em veículos de ataque e fornecer estratégias abrangentes de proteção, ajudando os usuários a avançar com segurança no mundo descentralizado.

I. Como um contrato legal pode se tornar uma ferramenta de fraude?

O design do protocolo de blockchain tem como objetivo garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque dissimuladas. Abaixo estão alguns métodos típicos e seus detalhes técnicos:

(1) autorização de contratos inteligentes maliciosos

Princípios técnicos: Na blockchain como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para concluir transações, staking ou mineração de liquidez. No entanto, golpistas utilizam este mecanismo para projetar contratos maliciosos.

Funcionamento: Os golpistas criam um DApp disfarçado de um projeto legítimo, muitas vezes promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Aprovar", que aparenta ser a autorização de uma pequena quantidade de moeda, mas na verdade pode ser um limite infinito (valor uint256.max). Assim que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os ativos de criptografia correspondentes da carteira do usuário.

Caso real: No início de 2023, um site de phishing disfarçado de "Atualização do Uniswap V3" causou a perda de milhões de dólares em USDT e ETH para centenas de usuários. Os dados on-chain mostram que essas transações estão totalmente de acordo com o padrão ERC-20, e as vítimas nem conseguem recuperar através de meios legais, pois a autorização foi assinada voluntariamente.

(2) phishing de assinatura

Princípio técnico: As transações em blockchain exigem que os usuários gerem uma assinatura através de uma chave privada para provar a legitimidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas exploram esse processo para falsificar pedidos de assinatura e roubar ativos.

Funcionamento: O usuário recebe um e-mail ou mensagem disfarçada de notificação oficial, como "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a carteira". Após clicar no link, o usuário é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, estar a chamar a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação de "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.

Caso real: Uma comunidade de um conhecido projeto NFT sofreu um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsas. Os atacantes aproveitaram o padrão de assinatura EIP-712 para forjar pedidos que pareciam seguros.

(3) tokens falsos e "ataque de poeira"

Princípios técnicos: A transparência da blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de Ativos de criptografia para vários endereços de carteira, a fim de rastrear a atividade da carteira e associá-la à pessoa ou empresa que possui a carteira.

Funcionamento: Os atacantes enviam pequenas quantidades de ativos de criptografia para diferentes endereços e então tentam descobrir qual pertence à mesma carteira. Na maioria das vezes, essas "poeiras" são distribuídas na forma de airdrops nas carteiras dos usuários, podendo ter nomes ou metadados atraentes. Os usuários podem querer converter esses tokens, proporcionando assim aos atacantes a oportunidade de acessar a carteira do usuário através do endereço do contrato associado ao token. Mais discretamente, os atacantes podem, ao analisarem as transações subsequentes dos usuários, identificar endereços de carteira ativos dos usuários, permitindo-lhes realizar fraudes mais precisas.

Caso real: No network Ethereum, houve um ataque de poeira de "tokens GAS" que afetou milhares de carteiras. Alguns usuários, devido à curiosidade, perderam ETH e tokens ERC-20.

Dois, por que esses golpes são difíceis de detectar?

O sucesso dessas fraudes deve-se, em grande parte, ao fato de estarem escondidas nos mecanismos legítimos da blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. Aqui estão algumas razões chave:

• Complexidade técnica: O código dos contratos inteligentes e os pedidos de assinatura são obscuros para usuários não técnicos. Por exemplo, um pedido "Approve" pode ser exibido como dados hexadecimais como "0x095ea7b3...", tornando difícil para o usuário entender seu significado.

• Legalidade na cadeia: todas as transações são registradas na blockchain, parecendo transparentes, mas as vítimas muitas vezes percebem as consequências da autorização ou assinatura apenas depois, momento em que os ativos já não podem ser recuperados.

• Engenharia social: os golpistas exploram fraquezas humanas, como a ganância ("receba gratuitamente 1000 dólares em tokens"), medo ("verificação necessária devido a atividade anormal na conta") ou confiança (fingindo ser um atendente de suporte).

• Disfarce sofisticado: sites de phishing podem usar URLs semelhantes ao domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.

Três, como proteger a sua carteira de Ativos de criptografia?

Diante dessas fraudes que coexistem com aspectos técnicos e de guerra psicológica, proteger os ativos requer uma estratégia em múltiplas camadas. Abaixo estão as medidas detalhadas de prevenção:

Verificar e gerir permissões de autorização

• Utilize a ferramenta de verificação de autorização do explorador de blockchain para verificar regularmente os registros de autorização da carteira.
• Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
• Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
• Verifique o valor de "Allowance"; se for "ilimitado" (como 2^256-1), deve ser revogado imediatamente.

Verificar link e origem

• Introduza manualmente a URL oficial, evitando clicar em links nas redes sociais ou em e-mails.
• Certifique-se de que o site utiliza o domínio correto e o certificado SSL.
• Esteja atento a erros de ortografia ou caracteres a mais.

usar carteira fria e múltiplas assinaturas

• Armazene a maior parte dos ativos em carteiras de hardware e conecte-se à rede apenas quando necessário.
• Para ativos de grande valor, utilize ferramentas de múltiplas assinaturas, exigindo a confirmação de transações por várias chaves, reduzindo o risco de erro em um único ponto.

Trate os pedidos de assinatura com cautela

• Antes de cada assinatura, leia atentamente os detalhes da transação na janela pop-up da carteira.
• Utilize a funcionalidade "Decode Input Data" do explorador de blockchain para analisar o conteúdo da assinatura, ou consulte um especialista técnico.
• Criar uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.

###应对 ataques de poeira

• Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou esconda-os.
• Confirme a origem do token através do explorador de blockchain, se for um envio em massa, mantenha-se altamente alerta.
• Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.

Conclusão

A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware criam uma linha de defesa física e a assinatura múltipla dispersa a exposição ao risco, a compreensão do usuário sobre a lógica de autorização e a cautela em relação ao comportamento na cadeia são a última fortaleza contra ataques. Cada análise de dados antes da assinatura e cada revisão de permissões após a autorização são um juramento à sua soberania digital.

No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais fundamental estará sempre em: internalizar a consciência de segurança como um hábito, estabelecendo um equilíbrio entre confiança e verificação. No mundo da blockchain onde o código é a lei, cada clique, cada transação é permanentemente registrada e não pode ser alterada. Manter-se alerta e agir com cautela é a única forma de avançar com segurança neste novo campo financeiro.