Безопасность криптоактивов: новые угрозы и стратегии защиты в эпоху смарт-контрактов
Криптоактивы и технологии блокчейн переопределяют концепцию финансовой свободы, но эта революция также принесла новые вызовы безопасности. Мошенники больше не ограничиваются традиционными атаками на технические уязвимости, а ловко превращают смарт-контрактные протоколы блокчейна в инструменты атаки. С помощью тщательно спроектированных уловок социального инжиниринга они используют прозрачность и необратимость блокчейна, превращая доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляции кросс-цепочечными транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и более обманчивы из-за своего "легитимного" вида. В этой статье будет подробно проанализировано несколько реальных случаев, раскрывающих, как мошенники превращают протоколы в средства атаки, и предложены комплексные стратегии защиты, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как законные соглашения могут стать инструментом мошенничества?
Дизайн протокола блокчейна изначально направлен на обеспечение безопасности и доверия, но мошенники используют его особенности, сочетая их с небрежностью пользователей, создавая множество скрытых способов атак. Вот некоторые типичные методы и их технологические детали:
(1) Злоумышленные смарт-контракты
Технические принципы:
На блокчейнах, таких как Эфириум, стандарт токена ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону (обычно смарт-контракты) извлекать указанное количество токенов из их кошелька. Эта функция широко используется в протоколах DeFi, пользователям необходимо уполномочить смарт-контракты для завершения транзакций, стейкинга или ликвидного майнинга. Однако мошенники используют этот механизм для создания вредоносных контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под легальный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их вводят в заблуждение, заставляя нажать "Approve", что на первый взгляд выглядит как разрешение на небольшое количество токенов, но на самом деле может быть безлимитным (значение uint256.max). После завершения авторизации адрес контракта мошенников получает разрешение и может в любое время вызывать функцию "TransferFrom", чтобы из кошелька пользователя вывести все соответствующие токены.
Реальный случай:
В начале 2023 года сайт- phishing, замаскировавшийся под "Обновление Uniswap V3", привел к тому, что сотни пользователей потеряли миллионы долларов в USDT и ETH. Данные в блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические меры, так как авторизация была подписана добровольно.
(2) Подпись фишинга
Технические принципы:
Блокчейн-транзакции требуют от пользователя создания подписи с помощью приватного ключа для подтверждения законности транзакции. Кошелек обычно вызывает запрос на подпись, после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс, подделывая запросы на подпись для кражи активов.
Способ работы:
Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT airdrop ожидает получения, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где ему предлагают подключить кошелек и подписать "проверочную транзакцию". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая позволяет мошеннику контролировать коллекцию NFT пользователя.
Реальные примеры:
Некоторые известные сообщества NFT проектов стали жертвами фишинговой атаки с использованием подписей. Множество пользователей понесли убытки на миллионы долларов в результате подписания поддельных транзакций "получения аирдропа". Нападающие использовали стандарт подписи EIP-712, подделывая кажущиеся безопасными запросы.
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивает это активно. Мошенники используют это, отправляя небольшие объемы криптоактивов на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностью или компанией, владеющей кошельком.
Способ работы:
Атакующие отправляют небольшие количества криптоактивов на разные адреса, а затем пытаются выяснить, какой из них принадлежит одному и тому же кошельку. В большинстве случаев эти "пыльцы" распределяются в виде аирдропов в кошельки пользователей, возможно, с привлекательными названиями или метаданными. Пользователи могут захотеть обналичить эти токены, что предоставляет атакующим возможность получить доступ к кошельку пользователя через адрес контракта, прилагаемого к токену. Более скрытно, атакующие могут определить активные адреса кошельков пользователей, анализируя их последующие транзакции, что позволяет им осуществлять более целенаправленные мошенничества.
Реальные примеры:
В сети Ethereum произошла атака "пыль" на GAS-токены, затронувшая тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и токены ERC-20.
2. Почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны во многом благодаря тому, что они скрываются за легитимными механизмами блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть непонятными для нетехнических пользователей. Например, запрос "Approve" может отображаться как шестнадцатеричные данные "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.
Законность на цепи: все транзакции записываются в блокчейне, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи лишь позже, когда активы уже невозможно вернуть.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность ("бесплатно получить 1000 долларов токенов"), страх ("необычная активность аккаунта требует проверки") или доверие (выдавая себя за службу поддержки).
Замаскированно: Фишинговые сайты могут использовать URL, похожие на официальные домены, а также повышать доверие с помощью сертификатов HTTPS.
Три. Как защитить ваш кошелек для криптоактивов?
Столкнувшись с этими мошенничествами, сочетающими в себе технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями
Регулярно проверяйте записи об авторизации кошелька с помощью инструмента проверки авторизации блокчейн-браузера.
Отмените ненужные разрешения, особенно неограниченные разрешения для неизвестных адресов.
Перед каждым разрешением убедитесь, что DApp поступает из надежного источника.
Проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно аннулировать.
Проверьте ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат.
Будьте осторожны с опечатками или лишними символами.
Используйте холодный кошелек и многофакторную аутентификацию
Храните большую часть активов в аппаратных кошельках и подключайте к сети только при необходимости.
Для крупных активов используйте инструменты многоподписей, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск ошибок в одной точке.
Осторожно обрабатывайте запросы на подпись
Перед тем как подписать, внимательно прочитайте детали транзакции в всплывающем окне кошелька.
Используйте функцию "Decode Input Data" в блокчейн-браузере для декодирования содержимого подписи или проконсультируйтесь с техническим экспертом.
Создайте отдельный кошелек для высокорисковых операций и храните в нем небольшое количество активов.
борьба с атаками на пыль
После получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "спам" или скрыть.
Подтвердите источник токенов через блокчейн-эксплорер, если это массовая отправка, будьте очень осторожны.
Избегайте публичного раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Реализация вышеупомянутых мер безопасности может значительно снизить риск стать жертвой сложных мошеннических схем, но настоящая безопасность не зависит исключительно от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и внимательность к своим действиям в блокчейне становятся последней защитой от атак. Каждый анализ данных перед подписанием, каждый контроль полномочий после авторизации — это клятва в защите собственного цифрового суверенитета.
В будущем, независимо от того, как будет развиваться технология, самая основная защита всегда заключается в следующем: внутреннее осознание безопасности должно стать привычкой, и необходимо установить баланс между доверием и проверкой. В мире блокчейна, где код является законом, каждое нажатие и каждая транзакция навсегда записываются и не могут быть изменены. Будьте бдительны, действуйте осторожно, чтобы безопасно продвигаться в этой новой финансовой области.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
7 Лайков
Награда
7
7
Поделиться
комментарий
0/400
MetaNomad
· 39м назад
Поживите еще два года, чтобы меньше наступать на грабли.
Угрозы безопасности криптоактивов и стратегии их защиты в эпоху смарт-контрактов
Безопасность криптоактивов: новые угрозы и стратегии защиты в эпоху смарт-контрактов
Криптоактивы и технологии блокчейн переопределяют концепцию финансовой свободы, но эта революция также принесла новые вызовы безопасности. Мошенники больше не ограничиваются традиционными атаками на технические уязвимости, а ловко превращают смарт-контрактные протоколы блокчейна в инструменты атаки. С помощью тщательно спроектированных уловок социального инжиниринга они используют прозрачность и необратимость блокчейна, превращая доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляции кросс-цепочечными транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и более обманчивы из-за своего "легитимного" вида. В этой статье будет подробно проанализировано несколько реальных случаев, раскрывающих, как мошенники превращают протоколы в средства атаки, и предложены комплексные стратегии защиты, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.
Один. Как законные соглашения могут стать инструментом мошенничества?
Дизайн протокола блокчейна изначально направлен на обеспечение безопасности и доверия, но мошенники используют его особенности, сочетая их с небрежностью пользователей, создавая множество скрытых способов атак. Вот некоторые типичные методы и их технологические детали:
(1) Злоумышленные смарт-контракты
Технические принципы: На блокчейнах, таких как Эфириум, стандарт токена ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону (обычно смарт-контракты) извлекать указанное количество токенов из их кошелька. Эта функция широко используется в протоколах DeFi, пользователям необходимо уполномочить смарт-контракты для завершения транзакций, стейкинга или ликвидного майнинга. Однако мошенники используют этот механизм для создания вредоносных контрактов.
Способ работы: Мошенники создают DApp, маскирующийся под легальный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их вводят в заблуждение, заставляя нажать "Approve", что на первый взгляд выглядит как разрешение на небольшое количество токенов, но на самом деле может быть безлимитным (значение uint256.max). После завершения авторизации адрес контракта мошенников получает разрешение и может в любое время вызывать функцию "TransferFrom", чтобы из кошелька пользователя вывести все соответствующие токены.
Реальный случай: В начале 2023 года сайт- phishing, замаскировавшийся под "Обновление Uniswap V3", привел к тому, что сотни пользователей потеряли миллионы долларов в USDT и ETH. Данные в блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические меры, так как авторизация была подписана добровольно.
(2) Подпись фишинга
Технические принципы: Блокчейн-транзакции требуют от пользователя создания подписи с помощью приватного ключа для подтверждения законности транзакции. Кошелек обычно вызывает запрос на подпись, после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс, подделывая запросы на подпись для кражи активов.
Способ работы: Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT airdrop ожидает получения, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где ему предлагают подключить кошелек и подписать "проверочную транзакцию". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая позволяет мошеннику контролировать коллекцию NFT пользователя.
Реальные примеры: Некоторые известные сообщества NFT проектов стали жертвами фишинговой атаки с использованием подписей. Множество пользователей понесли убытки на миллионы долларов в результате подписания поддельных транзакций "получения аирдропа". Нападающие использовали стандарт подписи EIP-712, подделывая кажущиеся безопасными запросы.
(3) Ложные токены и "атака пыли"
Технический принцип: Открытость блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивает это активно. Мошенники используют это, отправляя небольшие объемы криптоактивов на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностью или компанией, владеющей кошельком.
Способ работы: Атакующие отправляют небольшие количества криптоактивов на разные адреса, а затем пытаются выяснить, какой из них принадлежит одному и тому же кошельку. В большинстве случаев эти "пыльцы" распределяются в виде аирдропов в кошельки пользователей, возможно, с привлекательными названиями или метаданными. Пользователи могут захотеть обналичить эти токены, что предоставляет атакующим возможность получить доступ к кошельку пользователя через адрес контракта, прилагаемого к токену. Более скрытно, атакующие могут определить активные адреса кошельков пользователей, анализируя их последующие транзакции, что позволяет им осуществлять более целенаправленные мошенничества.
Реальные примеры: В сети Ethereum произошла атака "пыль" на GAS-токены, затронувшая тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и токены ERC-20.
2. Почему эти мошенничества трудно обнаружить?
Эти мошенничества успешны во многом благодаря тому, что они скрываются за легитимными механизмами блокчейна, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть непонятными для нетехнических пользователей. Например, запрос "Approve" может отображаться как шестнадцатеричные данные "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.
Законность на цепи: все транзакции записываются в блокчейне, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи лишь позже, когда активы уже невозможно вернуть.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность ("бесплатно получить 1000 долларов токенов"), страх ("необычная активность аккаунта требует проверки") или доверие (выдавая себя за службу поддержки).
Замаскированно: Фишинговые сайты могут использовать URL, похожие на официальные домены, а также повышать доверие с помощью сертификатов HTTPS.
Три. Как защитить ваш кошелек для криптоактивов?
Столкнувшись с этими мошенничествами, сочетающими в себе технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями
Проверьте ссылку и источник
Используйте холодный кошелек и многофакторную аутентификацию
Осторожно обрабатывайте запросы на подпись
борьба с атаками на пыль
Заключение
Реализация вышеупомянутых мер безопасности может значительно снизить риск стать жертвой сложных мошеннических схем, но настоящая безопасность не зависит исключительно от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и внимательность к своим действиям в блокчейне становятся последней защитой от атак. Каждый анализ данных перед подписанием, каждый контроль полномочий после авторизации — это клятва в защите собственного цифрового суверенитета.
В будущем, независимо от того, как будет развиваться технология, самая основная защита всегда заключается в следующем: внутреннее осознание безопасности должно стать привычкой, и необходимо установить баланс между доверием и проверкой. В мире блокчейна, где код является законом, каждое нажатие и каждая транзакция навсегда записываются и не могут быть изменены. Будьте бдительны, действуйте осторожно, чтобы безопасно продвигаться в этой новой финансовой области.