Cadena de bloques y seguridad de Activos Cripto: Prevención de nuevas técnicas de fraude
Los Activos Cripto y la tecnología de Cadena de bloques están reformulando el concepto de libertad financiera, pero al mismo tiempo han traído nuevos desafíos de seguridad. Los estafadores ya no se limitan a aprovechar las vulnerabilidades tecnológicas, sino que ingeniosamente convierten los propios protocolos de contratos inteligentes de la Cadena de bloques en herramientas de ataque. Aprovechan trampas de ingeniería social cuidadosamente diseñadas, combinadas con las características de transparencia e irreversibilidad de la Cadena de bloques, convirtiendo la confianza del usuario en una herramienta para el robo de activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que también son más engañosos debido a su apariencia "legalizada".
I. ¿Cómo se convierte un protocolo en una herramienta de fraude?
El protocolo de la cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación se presentan algunos métodos comunes y sus detalles técnicos:
(1) autorización de contrato inteligente malicioso
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a un tercero (generalmente un contrato inteligente) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos de finanzas descentralizadas (DeFi), donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.
Forma de operación:
Los estafadores crean una aplicación descentralizada (DApp) que se disfraza de un proyecto legítimo, a menudo promovida a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente es para autorizar una pequeña cantidad de monedas, pero en realidad puede ser un límite infinito. Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permisos y puede llamar en cualquier momento a la función "TransferFrom" para retirar todos los activos cripto correspondientes de la billetera del usuario.
(2) Firma de pesca
Principios técnicos:
Las transacciones en la Cadena de bloques requieren que los usuarios generen una firma a través de la clave privada para demostrar la legitimidad de la transacción. Las billeteras suelen mostrar una solicitud de firma, y una vez confirmada por el usuario, la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Modo de operación:
El usuario recibe un correo o mensaje disfrazado de notificación oficial, como "Su airdrop de NFT está listo para ser reclamado, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que solicita conectar la billetera y firmar una "transacción de verificación". Esta transacción podría estar llamando en realidad a la función "Transfer", transfiriendo directamente ETH o tokens de la billetera a la dirección del estafador; o podría ser una operación "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.
(3) tokens falsos y "ataques de polvo"
Principio técnico:
La apertura de la cadena de bloques permite que cualquier persona envíe tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto al enviar pequeñas cantidades de Activos Cripto a múltiples direcciones de billetera para rastrear la actividad de las billeteras y vincularlas con las personas o empresas que poseen las billeteras.
Modo de operación:
En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye en forma de airdrops a las billeteras de los usuarios. Estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para consultar detalles. Los usuarios pueden intentar canjear estos tokens, mientras que los atacantes pueden acceder a la billetera del usuario a través de la dirección del contrato adjunta al token. Más sutilmente, los ataques de polvo pueden utilizar la ingeniería social, analizando las transacciones posteriores de los usuarios, bloqueando las direcciones de billetera activas de los usuarios y, por lo tanto, llevando a cabo estafas más precisas.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estas estafas se debe en gran medida a que se ocultan en los mecanismos legales de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica: El código de contrato inteligente y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales complejos, y el usuario no puede juzgar su significado de manera intuitiva.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o la firma solo después, y en ese momento los activos ya no se pueden recuperar.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza, para diseñar trampas de estafa atractivas.
Disfraz ingenioso: los sitios de phishing pueden utilizar URL similares a los nombres de dominio oficiales, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de Activos Cripto?
Frente a estos fraudes que combinan técnicas y guerra psicológica, proteger los activos requiere una estrategia de múltiples niveles. A continuación se detallan las medidas de prevención:
Verificar y gestionar permisos de autorización
Utilice herramientas profesionales periódicamente para verificar los registros de autorización de la billetera.
Revocar autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Antes de cada autorización, asegúrate de que la DApp provenga de una fuente confiable.
Verifique el valor de "Allowance"; si es "ilimitado", debe ser revocado de inmediato.
Verificar enlace y origen
Ingrese manualmente la URL oficial, evite hacer clic en enlaces de redes sociales o correos electrónicos.
Asegúrate de que el sitio web utilice el dominio y el certificado SSL correctos.
Esté atento a errores de ortografía o caracteres adicionales en el nombre de dominio.
utiliza una billetera fría y firma múltiple
Almacene la mayor parte de sus activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
Para activos de gran valor, utiliza herramientas de firma múltiple que requieran la confirmación de la transacción por múltiples claves.
Maneje con cuidado las solicitudes de firma
Cada vez que firme, lea detenidamente los detalles de la transacción en la ventana emergente de la billetera.
Utilice la funcionalidad del explorador de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
Crea una billetera independiente para operaciones de alto riesgo y almacena una pequeña cantidad de activos.
responder a ataques de polvo
Después de recibir tokens desconocidos, no interactúe con ellos. Márquelos como "spam" o escóndalos.
Confirme la fuente del token a través del explorador de bloques, si es un envío masivo, mantenga una alta vigilancia.
Evitar publicar la dirección de la billetera o usar una nueva dirección para realizar operaciones sensibles.
Conclusión
Implementar las medidas de seguridad mencionadas anteriormente puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado. Sin embargo, la verdadera seguridad no depende únicamente de la tecnología. Cuando los monederos de hardware crean una defensa física y la firma múltiple dispersa el riesgo, la comprensión del usuario sobre la lógica de autorización y su actitud cautelosa hacia el comportamiento en la cadena son la última barrera contra los ataques.
Cada análisis de datos antes de firmar, cada revisión de permisos después de una autorización, es un mantenimiento de nuestra soberanía digital. Independientemente de cómo evolucione la tecnología en el futuro, la línea de defensa central siempre radica en: internalizar la conciencia de seguridad como un hábito, y mantener un equilibrio entre la confianza y la verificación. En el mundo de la cadena de bloques, cada clic, cada transacción se registra de forma permanente y no se puede cambiar. Por lo tanto, es crucial mantener la vigilancia y la cautela.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
25 me gusta
Recompensa
25
8
Compartir
Comentar
0/400
BitcoinDaddy
· 07-17 22:06
Autor del repositorio de código de aplicaciones de conocimiento cero de privacidad reconocido
Ver originalesResponder0
DeFiDoctor
· 07-17 20:22
Los registros de consulta muestran: cerca del treinta por ciento de los pacientes no realizaron la separación de riesgos durante el período de cartera fría.
Ver originalesResponder0
ImpermanentTherapist
· 07-17 08:16
Dependerá de cómo esté la cabeza.
Ver originalesResponder0
WenAirdrop
· 07-15 19:21
¿Ha sido robado de nuevo, y aún peor? Ya dije que no hay tantos proyectos confiables.
Ver originalesResponder0
BridgeNomad
· 07-14 22:58
hemos visto patrones de explotación similares desde nomad... carteras frías = kit de supervivencia rn
Ver originalesResponder0
CryptoComedian
· 07-14 22:52
Tutorial de protección de tontos para hoy: cañón delante del caballo
Ver originalesResponder0
tokenomics_truther
· 07-14 22:49
La vieja trampa, realmente hay personas que caen en ella.
Ver originalesResponder0
CryptoTarotReader
· 07-14 22:41
¿Qué es perder una moneda tumbado? La muerte colectiva de los inversores minoristas es la norma.
Descubriendo nuevas técnicas de fraude en la cadena de bloques: Prevención de trampas de autorización de contratos inteligentes
Cadena de bloques y seguridad de Activos Cripto: Prevención de nuevas técnicas de fraude
Los Activos Cripto y la tecnología de Cadena de bloques están reformulando el concepto de libertad financiera, pero al mismo tiempo han traído nuevos desafíos de seguridad. Los estafadores ya no se limitan a aprovechar las vulnerabilidades tecnológicas, sino que ingeniosamente convierten los propios protocolos de contratos inteligentes de la Cadena de bloques en herramientas de ataque. Aprovechan trampas de ingeniería social cuidadosamente diseñadas, combinadas con las características de transparencia e irreversibilidad de la Cadena de bloques, convirtiendo la confianza del usuario en una herramienta para el robo de activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que también son más engañosos debido a su apariencia "legalizada".
I. ¿Cómo se convierte un protocolo en una herramienta de fraude?
El protocolo de la cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación se presentan algunos métodos comunes y sus detalles técnicos:
(1) autorización de contrato inteligente malicioso
Principio técnico: En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a un tercero (generalmente un contrato inteligente) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos de finanzas descentralizadas (DeFi), donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.
Forma de operación: Los estafadores crean una aplicación descentralizada (DApp) que se disfraza de un proyecto legítimo, a menudo promovida a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente es para autorizar una pequeña cantidad de monedas, pero en realidad puede ser un límite infinito. Una vez que se completa la autorización, la dirección del contrato del estafador obtiene permisos y puede llamar en cualquier momento a la función "TransferFrom" para retirar todos los activos cripto correspondientes de la billetera del usuario.
(2) Firma de pesca
Principios técnicos: Las transacciones en la Cadena de bloques requieren que los usuarios generen una firma a través de la clave privada para demostrar la legitimidad de la transacción. Las billeteras suelen mostrar una solicitud de firma, y una vez confirmada por el usuario, la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Modo de operación: El usuario recibe un correo o mensaje disfrazado de notificación oficial, como "Su airdrop de NFT está listo para ser reclamado, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que solicita conectar la billetera y firmar una "transacción de verificación". Esta transacción podría estar llamando en realidad a la función "Transfer", transfiriendo directamente ETH o tokens de la billetera a la dirección del estafador; o podría ser una operación "SetApprovalForAll", autorizando al estafador a controlar la colección de NFT del usuario.
(3) tokens falsos y "ataques de polvo"
Principio técnico: La apertura de la cadena de bloques permite que cualquier persona envíe tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto al enviar pequeñas cantidades de Activos Cripto a múltiples direcciones de billetera para rastrear la actividad de las billeteras y vincularlas con las personas o empresas que poseen las billeteras.
Modo de operación: En la mayoría de los casos, el "polvo" utilizado en los ataques de polvo se distribuye en forma de airdrops a las billeteras de los usuarios. Estos tokens pueden tener nombres o metadatos atractivos que inducen a los usuarios a visitar un sitio web para consultar detalles. Los usuarios pueden intentar canjear estos tokens, mientras que los atacantes pueden acceder a la billetera del usuario a través de la dirección del contrato adjunta al token. Más sutilmente, los ataques de polvo pueden utilizar la ingeniería social, analizando las transacciones posteriores de los usuarios, bloqueando las direcciones de billetera activas de los usuarios y, por lo tanto, llevando a cabo estafas más precisas.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estas estafas se debe en gran medida a que se ocultan en los mecanismos legales de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica: El código de contrato inteligente y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales complejos, y el usuario no puede juzgar su significado de manera intuitiva.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o la firma solo después, y en ese momento los activos ya no se pueden recuperar.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza, para diseñar trampas de estafa atractivas.
Disfraz ingenioso: los sitios de phishing pueden utilizar URL similares a los nombres de dominio oficiales, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de Activos Cripto?
Frente a estos fraudes que combinan técnicas y guerra psicológica, proteger los activos requiere una estrategia de múltiples niveles. A continuación se detallan las medidas de prevención:
Verificar y gestionar permisos de autorización
Verificar enlace y origen
utiliza una billetera fría y firma múltiple
Maneje con cuidado las solicitudes de firma
responder a ataques de polvo
Conclusión
Implementar las medidas de seguridad mencionadas anteriormente puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado. Sin embargo, la verdadera seguridad no depende únicamente de la tecnología. Cuando los monederos de hardware crean una defensa física y la firma múltiple dispersa el riesgo, la comprensión del usuario sobre la lógica de autorización y su actitud cautelosa hacia el comportamiento en la cadena son la última barrera contra los ataques.
Cada análisis de datos antes de firmar, cada revisión de permisos después de una autorización, es un mantenimiento de nuestra soberanía digital. Independientemente de cómo evolucione la tecnología en el futuro, la línea de defensa central siempre radica en: internalizar la conciencia de seguridad como un hábito, y mantener un equilibrio entre la confianza y la verificación. En el mundo de la cadena de bloques, cada clic, cada transacción se registra de forma permanente y no se puede cambiar. Por lo tanto, es crucial mantener la vigilancia y la cautela.