Блокчейн и безопасность криптоактивов: защита от новых методов мошенничества
Криптоактивы и технологии Блокчейн переосмысляют концепцию финансовой свободы, но при этом создают новые вызовы безопасности. Мошенники больше не ограничиваются использованием уязвимостей технологий, а умело преобразуют сами протоколы смарт-контрактов Блокчейн в инструменты атак. Они используют тщательно спроектированные ловушки социальной инженерии, сочетая прозрачность и необратимость Блокчейн, превращая доверие пользователей в инструмент кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными транзакциями, эти атаки не только скрытны и трудны для расследования, но и более обманчивы из-за своего "легитимного" внешнего вида.
Один. Как соглашение стало инструментом мошенничества?
Протоколы Блокчейн должны обеспечивать безопасность и доверие, но мошенники используют их особенности, сочетая с халатностью пользователей, создавая множество скрытых способов атак. Вот некоторые распространенные методы и их технические детали:
(1) Уполномочение злонамеренного смарт-контракта
Технические принципы:
На блокчейнах, таких как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону (обычно это смарт-контракт) извлекать из их кошелька определенное количество токенов. Эта функция широко используется в протоколах децентрализованных финансов (DeFi), где пользователи должны уполномочить смарт-контракт для выполнения сделок, стейкинга или ликвидной добычи. Однако мошенники используют этот механизм для создания вредоносных контрактов.
Способ работы:
Мошенники создают децентрализованное приложение (DApp), замаскированное под законный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их заставляют нажать "Approve", что на первый взгляд является разрешением на передачу небольшого количества токенов, но на самом деле может быть безлимитным. Как только разрешение получено, адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
(2) Подпись Фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа, чтобы подтвердить законность транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция транслируется в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы:
Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT аирдроп ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию для подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", напрямую переводя ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", разрешающая мошеннику управлять коллекцией NFT пользователя.
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не делал активного запроса. Мошенники используют это, отправляя небольшие количества Криптоактивов на несколько кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельком.
Способ работы:
В большинстве случаев "пыль" в атаках с использованием пыли распределяется в формеairdrop в кошельки пользователей. Эти токены могут иметь заманчивые названия или метаданные, которые побуждают пользователей посетить определенный веб-сайт для получения дополнительной информации. Пользователи могут пытаться обменять эти токены, в то время как злоумышленники могут получить доступ к кошелькам пользователей через адрес контракта, прилагаемого к токенам. Более скрытно, атака с использованием пыли может осуществляться через социальную инженерию, анализируя последующие транзакции пользователей и определяя активные адреса кошельков пользователей для реализации более точного мошенничества.
Два, почему эти мошенничества трудно обнаружить?
Эти схемы обмана успешны во многом потому, что они скрыты в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контракта и запросы на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться как сложные шестнадцатеричные данные, и пользователи не могут интуитивно понять его значение.
Законность на цепочке: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, когда активы уже невозможно вернуть.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие, чтобы создать заманчивые мошеннические ловушки.
Искусная маскировка: Фишинговые сайты могут использовать URL, похожие на официальные домены, и даже увеличивать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш кошелек криптоактивов?
Столкнувшись с этими мошенничествами, в которых переплетаются технические и психологические аспекты, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями на доступ
Регулярно используйте профессиональные инструменты для проверки записей авторизации кошелька.
Отмените ненужные разрешения, особенно на неограниченные разрешения для неизвестных адресов.
Перед каждым авторизацией убедитесь, что DApp поступает из надежного источника.
Проверьте значение "Allowance"; если оно равно "бессрочно", его следует немедленно отменить.
Проверьте ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат.
Будьте осторожны с опечатками или лишними символами в доменах.
Используйте холодный кошелек и многофакторную аутентификацию
Храните большую часть активов в аппаратном кошельке и подключайте к сети только при необходимости.
Для крупных активов используйте инструменты с мультиподписью, требующие подтверждения транзакции несколькими ключами.
Будьте осторожны с обработкой запросов на подпись
При каждом подписании внимательно читайте детали транзакции в всплывающем окне кошелька.
Используйте функции блокчейн-обозревателя для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
Создайте отдельный кошелек для высокорисковых операций и храните там небольшое количество активов.
Реакция на атаки пыли
После получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "спам" или скройте.
Подтвердите источник токена через Блокчейн-обозреватель, если это массовая отправка, будьте крайне осторожны.
Избегайте публичного раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
Реализация вышеуказанных мер безопасности может значительно снизить риск стать жертвой сложных мошеннических схем. Однако настоящая безопасность не зависит исключительно от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осторожный подход к действиям на блокчейне становятся последней защитой от атак.
Каждый раз, когда происходит анализ данных перед подписанием и проверка полномочий после каждой авторизации, это служит защитой собственного цифрового суверенитета. Независимо от того, как будет развиваться технология в будущем, основная линия защиты всегда заключается в том, чтобы внедрить осознание безопасности в привычку и поддерживать баланс между доверием и проверкой. В мире Блокчейн каждое нажатие клавиши и каждая транзакция навсегда фиксируются и не подлежат изменению. Поэтому важно оставаться бдительным и осторожным.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
25 Лайков
Награда
25
8
Поделиться
комментарий
0/400
BitcoinDaddy
· 07-17 22:06
Автор известной библиотеки кода для приложений с нулевым знанием о приватности
Посмотреть ОригиналОтветить0
DeFiDoctor
· 07-17 20:22
Записи о приеме показывают: почти треть пациентов не провела риск-изоляцию в период холодного кошелька.
Посмотреть ОригиналОтветить0
ImpermanentTherapist
· 07-17 08:16
Ну, всё зависит от того, как работает голова.
Посмотреть ОригиналОтветить0
WenAirdrop
· 07-15 19:21
Снова украли ещё хуже? Я уже говорил, что надёжных проектов не так много.
Посмотреть ОригиналОтветить0
BridgeNomad
· 07-14 22:58
видел похожие схемы эксплуатации с тех пор, как Nomad... холодные кошельки = набор для выживания сейчас
Посмотреть ОригиналОтветить0
CryptoComedian
· 07-14 22:52
Сегодняшний урок по защите неудачников от разыгрывайте людей как лохов: Мацянпао
Посмотреть ОригиналОтветить0
tokenomics_truther
· 07-14 22:49
Старый坑, действительно есть люди, которые попадутся на это.
Посмотреть ОригиналОтветить0
CryptoTarotReader
· 07-14 22:41
Лежать на убытках с токеном — это что-то, розничные инвесторы коллективно разоряются — вот что является нормой.
Раскрытие новых методов мошенничества в Блокчейне: предотвращение ловушек авторизации смарт-контрактов
Блокчейн и безопасность криптоактивов: защита от новых методов мошенничества
Криптоактивы и технологии Блокчейн переосмысляют концепцию финансовой свободы, но при этом создают новые вызовы безопасности. Мошенники больше не ограничиваются использованием уязвимостей технологий, а умело преобразуют сами протоколы смарт-контрактов Блокчейн в инструменты атак. Они используют тщательно спроектированные ловушки социальной инженерии, сочетая прозрачность и необратимость Блокчейн, превращая доверие пользователей в инструмент кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными транзакциями, эти атаки не только скрытны и трудны для расследования, но и более обманчивы из-за своего "легитимного" внешнего вида.
Один. Как соглашение стало инструментом мошенничества?
Протоколы Блокчейн должны обеспечивать безопасность и доверие, но мошенники используют их особенности, сочетая с халатностью пользователей, создавая множество скрытых способов атак. Вот некоторые распространенные методы и их технические детали:
(1) Уполномочение злонамеренного смарт-контракта
Технические принципы: На блокчейнах, таких как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону (обычно это смарт-контракт) извлекать из их кошелька определенное количество токенов. Эта функция широко используется в протоколах децентрализованных финансов (DeFi), где пользователи должны уполномочить смарт-контракт для выполнения сделок, стейкинга или ликвидной добычи. Однако мошенники используют этот механизм для создания вредоносных контрактов.
Способ работы: Мошенники создают децентрализованное приложение (DApp), замаскированное под законный проект, обычно продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелек и их заставляют нажать "Approve", что на первый взгляд является разрешением на передачу небольшого количества токенов, но на самом деле может быть безлимитным. Как только разрешение получено, адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.
(2) Подпись Фишинг
Технический принцип: Блокчейн-транзакции требуют от пользователей генерации подписи с помощью приватного ключа, чтобы подтвердить законность транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция транслируется в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы: Пользователь получает письмо или сообщение, замаскированное под официальное уведомление, например, "Ваш NFT аирдроп ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию для подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", напрямую переводя ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", разрешающая мошеннику управлять коллекцией NFT пользователя.
(3) Ложные токены и "атака пыли"
Технический принцип: Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не делал активного запроса. Мошенники используют это, отправляя небольшие количества Криптоактивов на несколько кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельком.
Способ работы: В большинстве случаев "пыль" в атаках с использованием пыли распределяется в формеairdrop в кошельки пользователей. Эти токены могут иметь заманчивые названия или метаданные, которые побуждают пользователей посетить определенный веб-сайт для получения дополнительной информации. Пользователи могут пытаться обменять эти токены, в то время как злоумышленники могут получить доступ к кошелькам пользователей через адрес контракта, прилагаемого к токенам. Более скрытно, атака с использованием пыли может осуществляться через социальную инженерию, анализируя последующие транзакции пользователей и определяя активные адреса кошельков пользователей для реализации более точного мошенничества.
Два, почему эти мошенничества трудно обнаружить?
Эти схемы обмана успешны во многом потому, что они скрыты в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:
Техническая сложность: Код смарт-контракта и запросы на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться как сложные шестнадцатеричные данные, и пользователи не могут интуитивно понять его значение.
Законность на цепочке: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только позже, когда активы уже невозможно вернуть.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие, чтобы создать заманчивые мошеннические ловушки.
Искусная маскировка: Фишинговые сайты могут использовать URL, похожие на официальные домены, и даже увеличивать доверие с помощью сертификатов HTTPS.
Три, как защитить ваш кошелек криптоактивов?
Столкнувшись с этими мошенничествами, в которых переплетаются технические и психологические аспекты, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:
Проверьте и управляйте разрешениями на доступ
Проверьте ссылку и источник
Используйте холодный кошелек и многофакторную аутентификацию
Будьте осторожны с обработкой запросов на подпись
Реакция на атаки пыли
Заключение
Реализация вышеуказанных мер безопасности может значительно снизить риск стать жертвой сложных мошеннических схем. Однако настоящая безопасность не зависит исключительно от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осторожный подход к действиям на блокчейне становятся последней защитой от атак.
Каждый раз, когда происходит анализ данных перед подписанием и проверка полномочий после каждой авторизации, это служит защитой собственного цифрового суверенитета. Независимо от того, как будет развиваться технология в будущем, основная линия защиты всегда заключается в том, чтобы внедрить осознание безопасности в привычку и поддерживать баланс между доверием и проверкой. В мире Блокчейн каждое нажатие клавиши и каждая транзакция навсегда фиксируются и не подлежат изменению. Поэтому важно оставаться бдительным и осторожным.