Blockchain e segurança dos ativos de criptografia: prevenindo novas técnicas de fraude
Ativos de criptografia e tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas ao mesmo tempo trazem novos desafios de segurança. Os golpistas não se limitam mais a explorar falhas técnicas, mas transformam habilidosamente os próprios protocolos de contratos inteligentes do Blockchain em ferramentas de ataque. Eles utilizam armadilhas de engenharia social cuidadosamente projetadas, combinando a transparência e a irreversibilidade do Blockchain, para transformar a confiança dos usuários em ferramentas de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não são apenas discretos e difíceis de detectar, mas também mais enganosos devido à sua aparência "legitimada".
Um, como os protocolos se tornam ferramentas de fraude?
Os protocolos de Blockchain deveriam garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. Aqui estão algumas táticas comuns e seus detalhes técnicos:
(1) Autorização de contrato inteligente malicioso
Princípios técnicos:
Na blockchain como a Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade especificada de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos de finanças descentralizadas (DeFi), onde os usuários precisam autorizar contratos inteligentes para realizar transações, fazer staking ou mineração de liquidez. No entanto, os golpistas utilizam este mecanismo para criar contratos maliciosos.
Modo de operação:
Os golpistas criam uma aplicação descentralizada (DApp) disfarçada de projeto legítimo, geralmente promovendo-a através de sites de phishing ou redes sociais. Os usuários conectam a carteira e são induzidos a clicar em "Approve", que à primeira vista parece autorizar uma pequena quantidade de moeda, mas na realidade pode ser um limite ilimitado. Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissões, podendo chamar a função "TransferFrom" a qualquer momento para retirar todos os ativos de criptografia correspondentes da carteira do usuário.
(2) Assinatura de phishing
Princípios técnicos:
As transações de Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legitimidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Modo de operação:
O utilizador recebe um e-mail ou mensagem disfarçada de notificação oficial, por exemplo, "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a carteira". Ao clicar no link, o utilizador é direcionado para um site malicioso, que pede para conectar a carteira e assinar uma "transação de verificação". Esta transação pode, na verdade, estar a chamar a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do utilizador.
(3) Tokens falsos e "ataques de poeira"
Princípios técnicos:
A publicização do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de ativos de criptografia para vários endereços de carteira, a fim de rastrear a atividade da carteira e associá-la a indivíduos ou empresas que possuem a carteira.
Funcionamento:
Na maioria dos casos, a "poeira" usada em ataques de poeira é distribuída para as carteiras dos usuários na forma de airdrops; esses tokens podem ter nomes ou metadados atraentes, induzindo os usuários a visitar um determinado site para verificar os detalhes. Os usuários podem tentar converter esses tokens, enquanto os atacantes podem acessar a carteira do usuário através do endereço do contrato anexado ao token. Mais sutilmente, os ataques de poeira podem usar engenharia social, analisando as transações subsequentes dos usuários, para identificar os endereços de carteira ativos dos usuários, permitindo a execução de fraudes mais precisas.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes têm sucesso em grande parte porque estão ocultas nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são difíceis de entender para usuários não técnicos. Por exemplo, um pedido de "Approve" pode aparecer como dados hexadecimais complexos, tornando impossível para o usuário determinar seu significado de forma intuitiva.
Legalidade na cadeia: Todas as transações são registadas na Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois, e nesse momento os ativos já não podem ser recuperados.
Engenharia social: os golpistas aproveitam as fraquezas humanas, como ganância, medo ou confiança, para criar armadilhas atraentes de fraude.
Camuflagem sofisticada: Os sites de phishing podem usar URLs semelhantes aos nomes de domínio oficiais, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, como proteger sua carteira de ativos de criptografia?
Diante dessas fraudes que coexistem com a guerra tecnológica e psicológica, proteger os ativos requer estratégias em múltiplos níveis. Abaixo estão as medidas de prevenção detalhadas:
Verificar e gerir permissões de autorização
Utilize regularmente ferramentas profissionais para verificar os registros de autorização da carteira.
Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Verifique o valor "Allowance"; se for "ilimitado", deve ser imediatamente revogado.
Verificar link e origem
Insira manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
Certifique-se de que o site utiliza o nome de domínio e o certificado SSL corretos.
Cuidado com erros de ortografia ou caracteres adicionais nos domínios.
Usar carteira fria e múltiplas assinaturas
Armazenar a maior parte dos ativos em carteiras de hardware e conectar à rede apenas quando necessário.
Para ativos de grande valor, utilize ferramentas de múltiplas assinaturas, exigindo a confirmação da transação por várias chaves.
Tenha cuidado ao lidar com solicitações de assinatura
Ao assinar, leia atentamente os detalhes da transação na janela pop-up da carteira.
Utilize a funcionalidade do explorador de Blockchain para analisar o conteúdo da assinatura ou consulte um especialista técnico.
Criar uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
resposta a ataques de poeira
Após receber tokens desconhecidos, não interaja com eles. Marque-os como "lixo" ou oculte.
Confirmar a origem do token através do explorador de Blockchain, se for um envio em massa, estar altamente alerta.
Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Implementar as medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado. No entanto, a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a múltipla assinatura dispersa o risco, a compreensão do usuário sobre a lógica de autorização e a atitude cautelosa em relação ao comportamento na cadeia são a última fortaleza contra ataques.
A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são uma forma de manter a soberania digital. Independentemente de como a tecnologia evolua no futuro, a linha de defesa fundamental reside em: internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação. No mundo do Blockchain, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Portanto, manter-se alerta e cauteloso é crucial.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
25 gostos
Recompensa
25
8
Partilhar
Comentar
0/400
BitcoinDaddy
· 07-17 22:06
Autor da biblioteca de código de aplicações de zero conhecimento de privacidade reconhecida
Ver originalResponder0
DeFiDoctor
· 07-17 20:22
Registros de consulta mostram: quase 30% dos pacientes não realizaram isolamento de risco durante o período da Carteira fria.
Ver originalResponder0
ImpermanentTherapist
· 07-17 08:16
Ainda depende de como está a cabeça.
Ver originalResponder0
WenAirdrop
· 07-15 19:21
Mais uma vez roubado e ainda pior? Já disse que não há tantos projetos confiáveis assim.
Ver originalResponder0
BridgeNomad
· 07-14 22:58
vi padrões de exploração semelhantes desde o nomad... carteiras frias = kit de sobrevivência rn
Ver originalResponder0
CryptoComedian
· 07-14 22:52
Hoje, tutorial para proteger idiotas: Mão do Cavalheiro
Ver originalResponder0
tokenomics_truther
· 07-14 22:49
Velho buraco, realmente há pessoas que caem na armadilha.
Ver originalResponder0
CryptoTarotReader
· 07-14 22:41
Tirar perdas com uma moeda não é nada, o colapso coletivo dos investidores de retalho é que é a norma.
Revelando novas técnicas de fraude em Blockchain: como evitar armadilhas de autorização de contratos inteligentes
Blockchain e segurança dos ativos de criptografia: prevenindo novas técnicas de fraude
Ativos de criptografia e tecnologia Blockchain estão a redefinir o conceito de liberdade financeira, mas ao mesmo tempo trazem novos desafios de segurança. Os golpistas não se limitam mais a explorar falhas técnicas, mas transformam habilidosamente os próprios protocolos de contratos inteligentes do Blockchain em ferramentas de ataque. Eles utilizam armadilhas de engenharia social cuidadosamente projetadas, combinando a transparência e a irreversibilidade do Blockchain, para transformar a confiança dos usuários em ferramentas de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não são apenas discretos e difíceis de detectar, mas também mais enganosos devido à sua aparência "legitimada".
Um, como os protocolos se tornam ferramentas de fraude?
Os protocolos de Blockchain deveriam garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. Aqui estão algumas táticas comuns e seus detalhes técnicos:
(1) Autorização de contrato inteligente malicioso
Princípios técnicos: Na blockchain como a Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade especificada de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos de finanças descentralizadas (DeFi), onde os usuários precisam autorizar contratos inteligentes para realizar transações, fazer staking ou mineração de liquidez. No entanto, os golpistas utilizam este mecanismo para criar contratos maliciosos.
Modo de operação: Os golpistas criam uma aplicação descentralizada (DApp) disfarçada de projeto legítimo, geralmente promovendo-a através de sites de phishing ou redes sociais. Os usuários conectam a carteira e são induzidos a clicar em "Approve", que à primeira vista parece autorizar uma pequena quantidade de moeda, mas na realidade pode ser um limite ilimitado. Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissões, podendo chamar a função "TransferFrom" a qualquer momento para retirar todos os ativos de criptografia correspondentes da carteira do usuário.
(2) Assinatura de phishing
Princípios técnicos: As transações de Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legitimidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.
Modo de operação: O utilizador recebe um e-mail ou mensagem disfarçada de notificação oficial, por exemplo, "O seu airdrop de NFT está à espera de ser reclamado, por favor verifique a carteira". Ao clicar no link, o utilizador é direcionado para um site malicioso, que pede para conectar a carteira e assinar uma "transação de verificação". Esta transação pode, na verdade, estar a chamar a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do utilizador.
(3) Tokens falsos e "ataques de poeira"
Princípios técnicos: A publicização do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de ativos de criptografia para vários endereços de carteira, a fim de rastrear a atividade da carteira e associá-la a indivíduos ou empresas que possuem a carteira.
Funcionamento: Na maioria dos casos, a "poeira" usada em ataques de poeira é distribuída para as carteiras dos usuários na forma de airdrops; esses tokens podem ter nomes ou metadados atraentes, induzindo os usuários a visitar um determinado site para verificar os detalhes. Os usuários podem tentar converter esses tokens, enquanto os atacantes podem acessar a carteira do usuário através do endereço do contrato anexado ao token. Mais sutilmente, os ataques de poeira podem usar engenharia social, analisando as transações subsequentes dos usuários, para identificar os endereços de carteira ativos dos usuários, permitindo a execução de fraudes mais precisas.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes têm sucesso em grande parte porque estão ocultas nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. Aqui estão algumas razões-chave:
Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são difíceis de entender para usuários não técnicos. Por exemplo, um pedido de "Approve" pode aparecer como dados hexadecimais complexos, tornando impossível para o usuário determinar seu significado de forma intuitiva.
Legalidade na cadeia: Todas as transações são registadas na Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois, e nesse momento os ativos já não podem ser recuperados.
Engenharia social: os golpistas aproveitam as fraquezas humanas, como ganância, medo ou confiança, para criar armadilhas atraentes de fraude.
Camuflagem sofisticada: Os sites de phishing podem usar URLs semelhantes aos nomes de domínio oficiais, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, como proteger sua carteira de ativos de criptografia?
Diante dessas fraudes que coexistem com a guerra tecnológica e psicológica, proteger os ativos requer estratégias em múltiplos níveis. Abaixo estão as medidas de prevenção detalhadas:
Verificar e gerir permissões de autorização
Verificar link e origem
Usar carteira fria e múltiplas assinaturas
Tenha cuidado ao lidar com solicitações de assinatura
resposta a ataques de poeira
Conclusão
Implementar as medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado. No entanto, a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma linha de defesa física e a múltipla assinatura dispersa o risco, a compreensão do usuário sobre a lógica de autorização e a atitude cautelosa em relação ao comportamento na cadeia são a última fortaleza contra ataques.
A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são uma forma de manter a soberania digital. Independentemente de como a tecnologia evolua no futuro, a linha de defesa fundamental reside em: internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação. No mundo do Blockchain, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Portanto, manter-se alerta e cauteloso é crucial.