Blockchain et sécurité des cryptoactifs : prévention des nouvelles techniques d'escroquerie
Les cryptoactifs et la technologie Blockchain redéfinissent le concept de liberté financière, mais ils apportent également de nouveaux défis en matière de sécurité. Les escrocs ne se limitent plus à exploiter des vulnérabilités techniques, mais transforment habilement les protocoles de contrats intelligents de Blockchain en outils d'attaque. Ils utilisent des pièges d'ingénierie sociale soigneusement conçus, combinés aux caractéristiques de transparence et d'irréversibilité de Blockchain, pour transformer la confiance des utilisateurs en outils de vol d'actifs. Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitimée".
I. Comment un protocole peut-il devenir un outil de fraude ?
Les protocoles Blockchain devraient garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques méthodes courantes et leurs détails techniques :
(1) autorisation de contrat intelligent malveillant
Principes techniques :
Sur des Blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un contrat intelligent) à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles de finance décentralisée (DeFi), où les utilisateurs doivent autoriser des contrats intelligents pour effectuer des transactions, du staking ou du minage de liquidités. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les escrocs créent une application décentralisée (DApp) déguisée en projet légitime, souvent promue par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser un petit montant de jetons, mais en réalité, cela pourrait être un montant illimité. Une fois l'autorisation accordée, l'adresse du contrat des escrocs obtient les droits nécessaires pour appeler à tout moment la fonction "TransferFrom", permettant de retirer tous les jetons correspondants du portefeuille de l'utilisateur.
(2) Signature de phishing
Principe technique :
Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide d'une clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est à récupérer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement de l'ETH ou des jetons du portefeuille vers l'adresse de l'escroc ; ou il pourrait s'agir d'une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
(3) jetons faux et "attaque de poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptoactifs à plusieurs adresses de portefeuille, afin de suivre l'activité des portefeuilles et de les relier aux individus ou aux entreprises qui possèdent les portefeuilles.
Mode de fonctionnement :
Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent avoir des noms ou des métadonnées attrayants, incitant les utilisateurs à visiter un site Web pour plus de détails. Les utilisateurs peuvent essayer de convertir ces jetons, tandis que les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse de contrat jointe au jeton. Plus insidieusement, les attaques de poussière peuvent utiliser l'ingénierie sociale, analyser les transactions ultérieures des utilisateurs et cibler les adresses de portefeuilles actifs des utilisateurs, permettant ainsi d'exécuter des escroqueries plus précises.
Deux, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes du Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des contrats intelligents et les demandes de signature peuvent être obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous forme de données hexadécimales complexes, rendant difficile pour l'utilisateur de comprendre intuitivement sa signification.
Légalité en chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes prennent souvent conscience des conséquences de l'autorisation ou de la signature après coup, à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance, pour concevoir des pièges à escroquerie attrayants.
Déguisement subtil : Les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à un certificat HTTPS.
Trois, comment protéger votre portefeuille de cryptoactifs ?
Face à ces arnaques qui allient techniques et guerre psychologique, la protection des actifs nécessite une stratégie à plusieurs niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Utilisez régulièrement des outils professionnels pour vérifier les enregistrements d'autorisation de votre portefeuille.
Révoquez les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Vérifiez la valeur "Allowance", si elle est "illimitée", elle doit être immédiatement annulée.
Vérifiez le lien et la source
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et le certificat SSL.
Méfiez-vous des fautes d'orthographe ou des caractères superflus dans le nom de domaine.
Utiliser un portefeuille froid et une signature multiple
Stockez la plupart de vos actifs dans un portefeuille matériel et connectez-le au réseau uniquement lorsque c'est nécessaire.
Pour les actifs de grande valeur, utilisez des outils de signature multiple, exigeant la confirmation de la transaction par plusieurs clés.
Traitez les demandes de signature avec prudence
Lors de chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utiliser les fonctionnalités du navigateur Blockchain pour analyser le contenu de la signature, ou consulter un expert technique.
Créer un portefeuille indépendant pour des opérations à haut risque, en y stockant une petite quantité d'actifs.
faire face aux attaques de poussière
Après avoir reçu des jetons inconnus, n'interagissez pas avec eux. Marquez-les comme "spam" ou cachez-les.
Confirmer la source du jeton via le Blockchain explorer, en cas d'envoi en masse, rester très vigilant.
Évitez de rendre votre adresse de portefeuille publique, ou utilisez une nouvelle adresse pour des opérations sensibles.
Conclusion
La mise en œuvre des mesures de sécurité susmentionnées peut considérablement réduire le risque de devenir victime de programmes de fraude avancés. Cependant, la véritable sécurité ne dépend pas seulement de la technologie. Lorsque les portefeuilles matériels établissent une barrière physique et que les signatures multiples répartissent le risque, la compréhension par les utilisateurs de la logique d'autorisation et leur attitude prudente envers les comportements sur la chaîne sont le dernier rempart contre les attaques.
Chaque analyse des données avant la signature, chaque révision des autorisations après chaque transaction, est une protection de sa propre souveraineté numérique. Peu importe comment la technologie évolue à l'avenir, la ligne de défense principale repose toujours sur : internaliser la conscience de la sécurité en une habitude, maintenir un équilibre entre confiance et vérification. Dans le monde de la Blockchain, chaque clic, chaque transaction est enregistré de manière permanente et ne peut être modifié. Par conséquent, il est crucial de rester vigilant et prudent.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
25 J'aime
Récompense
25
8
Partager
Commentaire
0/400
BitcoinDaddy
· 07-17 22:06
Auteur de la bibliothèque de code d'application de confidentialité à connaissance nulle reconnue
Voir l'originalRépondre0
DeFiDoctor
· 07-17 20:22
Les dossiers de consultation montrent que près de 30 % des patients n'ont pas effectué de séparation des risques pendant la période du Cold Wallet.
Voir l'originalRépondre0
ImpermanentTherapist
· 07-17 08:16
Il faut aussi voir comment fonctionne le cerveau.
Voir l'originalRépondre0
WenAirdrop
· 07-15 19:21
Encore plus volé ? J'ai déjà dit qu'il n'y a pas tant de projets fiables.
Voir l'originalRépondre0
BridgeNomad
· 07-14 22:58
vu des modèles d'exploitation similaires depuis nomad... les portefeuilles froids = kit de survie rn
Voir l'originalRépondre0
CryptoComedian
· 07-14 22:52
Aujourd'hui, le guide pour protéger les pigeons contre la prise des gens pour des idiots : Canon avant le cheval.
Voir l'originalRépondre0
tokenomics_truther
· 07-14 22:49
Il y a vraiment des gens qui se laissent avoir.
Voir l'originalRépondre0
CryptoTarotReader
· 07-14 22:41
Que vaut une perte d'un jeton ? La mort collective des investisseurs détaillants est la norme.
Révéler les nouvelles méthodes de fraude en Blockchain : prévenir les pièges d'autorisation des smart contracts
Blockchain et sécurité des cryptoactifs : prévention des nouvelles techniques d'escroquerie
Les cryptoactifs et la technologie Blockchain redéfinissent le concept de liberté financière, mais ils apportent également de nouveaux défis en matière de sécurité. Les escrocs ne se limitent plus à exploiter des vulnérabilités techniques, mais transforment habilement les protocoles de contrats intelligents de Blockchain en outils d'attaque. Ils utilisent des pièges d'ingénierie sociale soigneusement conçus, combinés aux caractéristiques de transparence et d'irréversibilité de Blockchain, pour transformer la confiance des utilisateurs en outils de vol d'actifs. Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitimée".
I. Comment un protocole peut-il devenir un outil de fraude ?
Les protocoles Blockchain devraient garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques méthodes courantes et leurs détails techniques :
(1) autorisation de contrat intelligent malveillant
Principes techniques : Sur des Blockchains comme Ethereum, la norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un contrat intelligent) à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles de finance décentralisée (DeFi), où les utilisateurs doivent autoriser des contrats intelligents pour effectuer des transactions, du staking ou du minage de liquidités. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement : Les escrocs créent une application décentralisée (DApp) déguisée en projet légitime, souvent promue par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser un petit montant de jetons, mais en réalité, cela pourrait être un montant illimité. Une fois l'autorisation accordée, l'adresse du contrat des escrocs obtient les droits nécessaires pour appeler à tout moment la fonction "TransferFrom", permettant de retirer tous les jetons correspondants du portefeuille de l'utilisateur.
(2) Signature de phishing
Principe technique : Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide d'une clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est à récupérer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement de l'ETH ou des jetons du portefeuille vers l'adresse de l'escroc ; ou il pourrait s'agir d'une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
(3) jetons faux et "attaque de poussière"
Principe technique : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptoactifs à plusieurs adresses de portefeuille, afin de suivre l'activité des portefeuilles et de les relier aux individus ou aux entreprises qui possèdent les portefeuilles.
Mode de fonctionnement : Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent avoir des noms ou des métadonnées attrayants, incitant les utilisateurs à visiter un site Web pour plus de détails. Les utilisateurs peuvent essayer de convertir ces jetons, tandis que les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse de contrat jointe au jeton. Plus insidieusement, les attaques de poussière peuvent utiliser l'ingénierie sociale, analyser les transactions ultérieures des utilisateurs et cibler les adresses de portefeuilles actifs des utilisateurs, permettant ainsi d'exécuter des escroqueries plus précises.
Deux, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes du Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des contrats intelligents et les demandes de signature peuvent être obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous forme de données hexadécimales complexes, rendant difficile pour l'utilisateur de comprendre intuitivement sa signification.
Légalité en chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes prennent souvent conscience des conséquences de l'autorisation ou de la signature après coup, à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance, pour concevoir des pièges à escroquerie attrayants.
Déguisement subtil : Les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à un certificat HTTPS.
Trois, comment protéger votre portefeuille de cryptoactifs ?
Face à ces arnaques qui allient techniques et guerre psychologique, la protection des actifs nécessite une stratégie à plusieurs niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Vérifiez le lien et la source
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
faire face aux attaques de poussière
Conclusion
La mise en œuvre des mesures de sécurité susmentionnées peut considérablement réduire le risque de devenir victime de programmes de fraude avancés. Cependant, la véritable sécurité ne dépend pas seulement de la technologie. Lorsque les portefeuilles matériels établissent une barrière physique et que les signatures multiples répartissent le risque, la compréhension par les utilisateurs de la logique d'autorisation et leur attitude prudente envers les comportements sur la chaîne sont le dernier rempart contre les attaques.
Chaque analyse des données avant la signature, chaque révision des autorisations après chaque transaction, est une protection de sa propre souveraineté numérique. Peu importe comment la technologie évolue à l'avenir, la ligne de défense principale repose toujours sur : internaliser la conscience de la sécurité en une habitude, maintenir un équilibre entre confiance et vérification. Dans le monde de la Blockchain, chaque clic, chaque transaction est enregistré de manière permanente et ne peut être modifié. Par conséquent, il est crucial de rester vigilant et prudent.