Смарт-контракты как обоюдоострое оружие: вызовы безопасности и стратегии защиты в мире Блокчейн
Криптовалюты и технологии Блокчейн переосмысляют концепцию финансовой свободы, но эта революция также принесла новые вызовы безопасности. Мошенники больше не ограничиваются использованием уязвимостей в технологиях, а превращают саму протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно разработанных социальных инженерных ловушек они используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляции кроссчейн-транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и благодаря своему "легитимному" внешнему виду становятся еще более обманчивыми. В данной статье будет проанализировано несколько реальных случаев, чтобы выявить, как мошенники превращают протоколы в средства нападения, и будет предложено комплексное решение от технической защиты до поведения профилактики, чтобы помочь пользователям безопасно продвигаться в децентрализованном мире.
Один. Ловушки соглашений: злонамеренное использование законных механизмов
Блокчейн протокол изначально был разработан для обеспечения безопасности и доверия, но мошенники используют его особенности, в сочетании с неосторожностью пользователей, создавая различные скрытые способы атак. Вот некоторые распространенные методы и их технические детали:
(1) злонамеренные смарт-контракты авторизация
Технический принцип:
На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочивать третьи стороны (обычно смарт-контракты) извлекать определенное количество токенов из их кошельков. Эта функция широко используется в протоколах DeFi, пользователям необходимо уполномочивать смарт-контракты для завершения сделок, стекинга или ликвидного майнинга. Однако мошенники используют эту механику для создания злонамеренных контрактов.
Способ работы:
Мошенники создают DApp, маскирующийся под законный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их подталкивают к нажатию "Approve", что на поверхности кажется разрешением на небольшое количество токенов, но на самом деле это может быть неограниченный лимит (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай:
В начале 2023 года фишинговый сайт, замаскированный под "обновление某DEX V3", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические средства, так как авторизация была подписана добровольно.
(2) Подписать фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа для подтверждения законности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция распространяется по сети. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; либо это может быть операция "SetApprovalForAll", которая предоставляет мошеннику контроль над коллекцией NFT пользователя.
Реальный случай:
Сообщество одного известного NFT проекта подверглось атаке фишинга с использованием подписи, в результате чего несколько пользователей потеряли NFT на сумму несколько миллионов долларов, подписав поддельные транзакции "получения аирдропа". Нападающие использовали стандарт подписи EIP-712 для подделки казалось бы безопасных запросов.
(3) Ложные токены и "атака пылью"
Технический принцип:
Блокчейн обладает открытостью, что позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивает этого. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошелька и связывать её с личностью или компанией, владеющей кошельком.
Способ работы:
Атакующие отправляют небольшие суммы криптовалюты на разные адреса, а затем пытаются выяснить, какие из них принадлежат одному и тому же кошельку. В большинстве случаев эта "пыль" распределяется в форме аирдропов в кошельки пользователей и может иметь заманчивые названия или метаданные. Пользователи могут попытаться обналичить эти токены, что позволяет атакующим получить доступ к кошельку пользователя через адрес контракта, прикрепленного к токенам. Более скрытно атакующие используют социальную инженерию, анализируя последующие транзакции пользователей, чтобы определить активные адреса кошельков, что позволяет им осуществлять более точные мошеннические действия.
Реальный случай:
На сети Эфириум произошла атака "пыльца токенов GAS", которая затронула тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и токены ERC-20.
Два, источники скрытности
Эти мошенничества трудно распознать, в значительной степени потому, что они скрыты в законных механизмах Блокчейна, и обычным пользователям сложно отличить их злонамеренную природу. Основные причины включают:
Техническая сложность: Код смарт-контракта и запросы на подпись являются трудными для понимания не техническими пользователями. Например, запрос "Approve" может отображаться как сложные шестнадцатеричные данные, и пользователи не могут интуитивно определить его значение.
Законность на блокчейне: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только постфактум, когда активы уже невозможно вернуть.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие, чтобы разрабатывать сложные схемы.
Замаскированная хитрость: Фишинговые сайты могут использовать URL, которые очень похожи на официальный домен, даже увеличивая доверие с помощью HTTPS-сертификата.
Три. Всеобъемлющая стратегия защиты
Перед лицом этих афер технической и психологической войны защита активов требует многоуровневой стратегии:
Проверьте и управляйте разрешениями
Регулярно проверяйте записи авторизации кошелька с помощью инструмента проверки авторизации блокчейн-браузера.
Отмените ненужные разрешения, особенно на неограниченные разрешения для неизвестных адресов.
Перед каждым предоставлением разрешения убедитесь, что DApp поступает из надежного источника.
Проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно аннулировать.
Проверка ссылки и источника
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или письмах.
Убедитесь, что сайт использует правильный домен и SSL-сертификат.
Будьте осторожны с опечатками или лишними символами в доменных именах.
Используйте холодные кошельки и многоподписи
Храните большую часть активов в аппаратном кошельке и подключайте сеть только при необходимости.
Для крупных активов используйте инструменты многоподписей, требующие подтверждения транзакции несколькими ключами.
Осторожно обрабатывайте запросы на подпись
Внимательно прочитайте детали транзакции в всплывающем окне кошелька, особенно обратите внимание на поле "Данные".
Используйте функцию декодирования блокчейн-браузера для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Создайте отдельный кошелек для высокорисковых операций и храните в нем небольшое количество активов.
Ответ на атаки пыли
После получения неизвестного токена не взаимодействуйте с ним, отметьте его как "мусор" или скрыть.
Подтвердите источник токенов через Блокчейн-браузер, будьте осторожны с массово отправляемыми токенами.
Избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
В мире Блокчейн безопасность зависит не только от технической защиты, но и от бдительности и знаний пользователей. Реализуя вышеперечисленные меры безопасности, пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем. Тем не менее, настоящая безопасность требует от пользователей понимания логики авторизации и осторожности в действиях на цепочке.
Каждый раз, когда происходит анализ данных перед подписанием, и проверка полномочий после каждой авторизации — это поддержка собственного цифрового суверенитета. В будущем, независимо от того, как будет развиваться технология, основная линия защиты всегда будет заключаться в том, чтобы внутренне воспринимать безопасность как привычку, поддерживая баланс между доверием и проверкой. В мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда записывается и не может быть изменена. Поэтому развитие сознания безопасности и навыков имеет решающее значение для безопасного плавания в этой новой области цифровых финансов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Смарт-контракты: невидимые угрозы и стратегии защиты в мире Блокчейн
Смарт-контракты как обоюдоострое оружие: вызовы безопасности и стратегии защиты в мире Блокчейн
Криптовалюты и технологии Блокчейн переосмысляют концепцию финансовой свободы, но эта революция также принесла новые вызовы безопасности. Мошенники больше не ограничиваются использованием уязвимостей в технологиях, а превращают саму протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно разработанных социальных инженерных ловушек они используют прозрачность и необратимость Блокчейн для превращения доверия пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляции кроссчейн-транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и благодаря своему "легитимному" внешнему виду становятся еще более обманчивыми. В данной статье будет проанализировано несколько реальных случаев, чтобы выявить, как мошенники превращают протоколы в средства нападения, и будет предложено комплексное решение от технической защиты до поведения профилактики, чтобы помочь пользователям безопасно продвигаться в децентрализованном мире.
Один. Ловушки соглашений: злонамеренное использование законных механизмов
Блокчейн протокол изначально был разработан для обеспечения безопасности и доверия, но мошенники используют его особенности, в сочетании с неосторожностью пользователей, создавая различные скрытые способы атак. Вот некоторые распространенные методы и их технические детали:
(1) злонамеренные смарт-контракты авторизация
Технический принцип: На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочивать третьи стороны (обычно смарт-контракты) извлекать определенное количество токенов из их кошельков. Эта функция широко используется в протоколах DeFi, пользователям необходимо уполномочивать смарт-контракты для завершения сделок, стекинга или ликвидного майнинга. Однако мошенники используют эту механику для создания злонамеренных контрактов.
Способ работы: Мошенники создают DApp, маскирующийся под законный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их подталкивают к нажатию "Approve", что на поверхности кажется разрешением на небольшое количество токенов, но на самом деле это может быть неограниченный лимит (значение uint256.max). Как только разрешение завершено, адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
Реальный случай: В начале 2023 года фишинговый сайт, замаскированный под "обновление某DEX V3", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические средства, так как авторизация была подписана добровольно.
(2) Подписать фишинг
Технический принцип: Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа для подтверждения законности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция распространяется по сети. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы: Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; либо это может быть операция "SetApprovalForAll", которая предоставляет мошеннику контроль над коллекцией NFT пользователя.
Реальный случай: Сообщество одного известного NFT проекта подверглось атаке фишинга с использованием подписи, в результате чего несколько пользователей потеряли NFT на сумму несколько миллионов долларов, подписав поддельные транзакции "получения аирдропа". Нападающие использовали стандарт подписи EIP-712 для подделки казалось бы безопасных запросов.
(3) Ложные токены и "атака пылью"
Технический принцип: Блокчейн обладает открытостью, что позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивает этого. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошелька и связывать её с личностью или компанией, владеющей кошельком.
Способ работы: Атакующие отправляют небольшие суммы криптовалюты на разные адреса, а затем пытаются выяснить, какие из них принадлежат одному и тому же кошельку. В большинстве случаев эта "пыль" распределяется в форме аирдропов в кошельки пользователей и может иметь заманчивые названия или метаданные. Пользователи могут попытаться обналичить эти токены, что позволяет атакующим получить доступ к кошельку пользователя через адрес контракта, прикрепленного к токенам. Более скрытно атакующие используют социальную инженерию, анализируя последующие транзакции пользователей, чтобы определить активные адреса кошельков, что позволяет им осуществлять более точные мошеннические действия.
Реальный случай: На сети Эфириум произошла атака "пыльца токенов GAS", которая затронула тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и токены ERC-20.
Два, источники скрытности
Эти мошенничества трудно распознать, в значительной степени потому, что они скрыты в законных механизмах Блокчейна, и обычным пользователям сложно отличить их злонамеренную природу. Основные причины включают:
Техническая сложность: Код смарт-контракта и запросы на подпись являются трудными для понимания не техническими пользователями. Например, запрос "Approve" может отображаться как сложные шестнадцатеричные данные, и пользователи не могут интуитивно определить его значение.
Законность на блокчейне: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только постфактум, когда активы уже невозможно вернуть.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие, чтобы разрабатывать сложные схемы.
Замаскированная хитрость: Фишинговые сайты могут использовать URL, которые очень похожи на официальный домен, даже увеличивая доверие с помощью HTTPS-сертификата.
Три. Всеобъемлющая стратегия защиты
Перед лицом этих афер технической и психологической войны защита активов требует многоуровневой стратегии:
Проверьте и управляйте разрешениями
Проверка ссылки и источника
Используйте холодные кошельки и многоподписи
Осторожно обрабатывайте запросы на подпись
Ответ на атаки пыли
Заключение
В мире Блокчейн безопасность зависит не только от технической защиты, но и от бдительности и знаний пользователей. Реализуя вышеперечисленные меры безопасности, пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем. Тем не менее, настоящая безопасность требует от пользователей понимания логики авторизации и осторожности в действиях на цепочке.
Каждый раз, когда происходит анализ данных перед подписанием, и проверка полномочий после каждой авторизации — это поддержка собственного цифрового суверенитета. В будущем, независимо от того, как будет развиваться технология, основная линия защиты всегда будет заключаться в том, чтобы внутренне воспринимать безопасность как привычку, поддерживая баланс между доверием и проверкой. В мире блокчейна, где код является законом, каждое нажатие, каждая транзакция навсегда записывается и не может быть изменена. Поэтому развитие сознания безопасности и навыков имеет решающее значение для безопасного плавания в этой новой области цифровых финансов.