Блокчейн та безпека криптоактивів: запобігання новим технікам шахрайства
Криптоактиви та технології блокчейн змінюють концепцію фінансової свободи, але водночас приносять нові виклики безпеки. Шахраї вже не обмежуються використанням технологічних вразливостей, а хитро перетворюють самі протоколи смарт-контрактів блокчейн на інструменти атаки. Вони використовують ретельно сплановані соціальні інженерні пастки, поєднуючи прозорість і незворотність блокчейн, перетворюючи довіру користувачів на інструмент крадіжки активів. Від підробки смарт-контрактів до маніпуляцій з крос-чейн транзакціями, ці атаки не лише приховані та важкознайдені, а й через свою "легалізовану" зовнішність ще більш оманливі.
Один, як угода стала інструментом шахрайства?
Блокчейн протокол повинен забезпечувати безпеку та довіру, але шахраї використовують його характеристики, поєднуючи з недбалістю користувачів, створюючи різноманітні приховані способи атак. Ось деякі поширені методи та їх технічні деталі:
(1) Шкідливий контракт на авторизацію
Технічний принцип:
На блокчейнах, таких як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третіх осіб (зазвичай смарт-контракти) витягувати з їхнього гаманця визначену кількість токенів. Ця функція широко використовується в протоколах децентралізованих фінансів (DeFi), де користувачі повинні уповноважити смарт-контракти для завершення угод, стейкінгу або видобутку ліквідності. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Шахраї створюють децентралізований додаток (DApp), що маскується під легальний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на перший погляд виглядає як надання дозволу на невелику кількість монет, але насправді може бути надання безмежного ліміту. Як тільки дозволи надані, адреса контракту шахраїв отримує доступ і може в будь-який момент викликати функцію "TransferFrom", щоб витягнути всі відповідні монети з гаманця користувача.
(2) Підпис рибалка
Технічні принципи:
Блокчейн-транзакції вимагають від користувачів генерувати підписи за допомогою приватного ключа для підтвердження легітимності транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження якого транзакція транслюється в мережу. Шахраї використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб роботи:
Користувач отримує лист або повідомлення, що маскується під офіційне повідомлення, наприклад, "Ваш NFT аirdrop чекає на отримання, будь ласка, підтвердіть гаманець". Клацнувши на посилання, користувач потрапляє на шкідливий сайт, де його просять підключити гаманець і підписати "підтверджувальну транзакцію". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить ETH або монети з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що надає шахраю контроль над колекцією NFT користувача.
(3) Фальшиві монети та "атака пилу"
Технічні принципи:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не робив активного запиту. Шахраї використовують це, надсилаючи невелику кількість Криптоактиви на кілька гаманців, щоб відстежувати активність гаманця та пов'язувати її з особою або компанією, яка володіє гаманцем.
Спосіб роботи:
У більшості випадків "пил" для атак з використанням пилу видається у формі аерозолів, які надсилаються до гаманців користувачів. Ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний вебсайт для отримання деталей. Користувачі можуть спробувати обміняти ці токени, тоді як зловмисники можуть отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Ще більш прихованим є те, що атаки з пилом здійснюються через соціальну інженерію, аналізуючи подальші транзакції користувача, щоб визначити активну адресу гаманця користувача, що дозволяє здійснити більш точний шахрайство.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні, в значній мірі через те, що вони приховані у легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню зловмисну природу. Ось кілька ключових причин:
Технічна складність: Код смарт-контрактів та запити на підпис є незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як складні шестнадцяткові дані, і користувач не може інтуїтивно зрозуміти його зміст.
Законність в ланцюзі: всі транзакції записуються в Блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише постфактум, а на той момент активи вже неможливо повернути.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра, щоб створити привабливі шахрайські пастки.
Майстерне маскування: Фішингові сайти можуть використовувати URL, що схожі на офіційні домени, навіть підвищуючи довіру через HTTPS сертифікати.
Три, як захистити свій гаманець для криптоактивів?
Стикаючись з цими шахрайствами, в яких є технологічні та психологічні війни, захист активів потребує багатошарового підходу. Ось детальні заходи запобігання:
Перевірка та управління правами доступу
Регулярно використовуйте професійні інструменти для перевірки записів авторизації гаманця.
Скасувати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
Перед кожним наданням доступу переконайтесь, що DApp походить з надійного джерела.
Перевірте значення "Allowance", якщо воно "нескінченне", слід негайно скасувати.
Перевірте посилання та джерело
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Переконайтеся, що веб-сайт використовує правильне доменне ім'я та SSL-сертифікат.
Будьте обережні з помилками в написанні або зайвими символами в домені.
Використання холодного гаманця та мультипідпису
Зберігайте більшість активів у апаратних гаманцях, підключаючи до мережі лише за необхідності.
Для великих активів використовуйте інструменти з багатопідписом, що вимагають підтвердження транзакції кількома ключами.
Обережно обробляйте запити на підпис
Уважно читайте деталі транзакції у вікні гаманця під час кожного підпису.
Використовуйте функціонал Блокчейн браузера для розшифровки підписаного вмісту або зверніться до технічного експерта.
Створіть окремий гаманець для високоризикових операцій, зберігайте невелику кількість активів.
Відповідь на атаки пилу
Після отримання невідомих монет не взаємодійте з ними. Позначте їх як "сміття" або сховайте.
Підтвердьте джерело токена через Блокчейн-браузер, якщо це масова відправка, будьте дуже обережні.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Впровадження вищезазначених заходів безпеки може суттєво знизити ризик стати жертвою складних шахрайських схем. Однак справжня безпека не лише залежить від технологій. Коли апаратні гаманці створюють фізичну лінію захисту, а мультипідписи розподіляють ризики, розуміння користувачами логіки авторизації та обережне ставлення до поведінки на Блокчейні є останнім бастіоном у боротьбі з атаками.
Кожен раз, коли дані аналізуються перед підписанням, і кожен раз, коли перевіряються права після авторизації, це є захистом власного цифрового суверенітету. Незалежно від того, як розвиватиметься технологія в майбутньому, основний захист завжди полягатиме в тому, щоб інтегрувати усвідомлення безпеки в звичку, зберігаючи баланс між довірою та перевіркою. У світі блокчейну кожен клік, кожна транзакція назавжди записується, і їх неможливо змінити. Тому важливо залишатися пильними і обережними.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
25 лайків
Нагородити
25
8
Поділіться
Прокоментувати
0/400
BitcoinDaddy
· 07-17 22:06
Автор визнаного коду бібліотеки нульових знань про приватність
Переглянути оригіналвідповісти на0
DeFiDoctor
· 07-17 20:22
Запис про огляд показує: майже третина пацієнтів не здійснила ризикову ізоляцію під час холодного гаманця
Переглянути оригіналвідповісти на0
ImpermanentTherapist
· 07-17 08:16
Ще потрібно подивитися, як з головою.
Переглянути оригіналвідповісти на0
WenAirdrop
· 07-15 19:21
Знову вкрали ще гірше? Я вже казав, що надійних проектів не так вже й багато.
Переглянути оригіналвідповісти на0
BridgeNomad
· 07-14 22:58
бачили подібні патерни експлуатації з часів nomad... холодні гаманці = набір для виживання зараз
Переглянути оригіналвідповісти на0
CryptoComedian
· 07-14 22:52
Сьогоднішній урок по захисту невдах від обдурювання: Мацяньпао
Переглянути оригіналвідповісти на0
tokenomics_truther
· 07-14 22:49
Справжня пастка, і справді є люди, які попадаються.
Переглянути оригіналвідповісти на0
CryptoTarotReader
· 07-14 22:41
Лежати в збитках однією монетою — це ніщо, колективна загибель роздрібних інвесторів — це норма.
Розкриття нових методів шахрайства в Блокчейн: запобігання пасткам авторизації смартконтрактів
Блокчейн та безпека криптоактивів: запобігання новим технікам шахрайства
Криптоактиви та технології блокчейн змінюють концепцію фінансової свободи, але водночас приносять нові виклики безпеки. Шахраї вже не обмежуються використанням технологічних вразливостей, а хитро перетворюють самі протоколи смарт-контрактів блокчейн на інструменти атаки. Вони використовують ретельно сплановані соціальні інженерні пастки, поєднуючи прозорість і незворотність блокчейн, перетворюючи довіру користувачів на інструмент крадіжки активів. Від підробки смарт-контрактів до маніпуляцій з крос-чейн транзакціями, ці атаки не лише приховані та важкознайдені, а й через свою "легалізовану" зовнішність ще більш оманливі.
Один, як угода стала інструментом шахрайства?
Блокчейн протокол повинен забезпечувати безпеку та довіру, але шахраї використовують його характеристики, поєднуючи з недбалістю користувачів, створюючи різноманітні приховані способи атак. Ось деякі поширені методи та їх технічні деталі:
(1) Шкідливий контракт на авторизацію
Технічний принцип: На блокчейнах, таких як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третіх осіб (зазвичай смарт-контракти) витягувати з їхнього гаманця визначену кількість токенів. Ця функція широко використовується в протоколах децентралізованих фінансів (DeFi), де користувачі повинні уповноважити смарт-контракти для завершення угод, стейкінгу або видобутку ліквідності. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи: Шахраї створюють децентралізований додаток (DApp), що маскується під легальний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на перший погляд виглядає як надання дозволу на невелику кількість монет, але насправді може бути надання безмежного ліміту. Як тільки дозволи надані, адреса контракту шахраїв отримує доступ і може в будь-який момент викликати функцію "TransferFrom", щоб витягнути всі відповідні монети з гаманця користувача.
(2) Підпис рибалка
Технічні принципи: Блокчейн-транзакції вимагають від користувачів генерувати підписи за допомогою приватного ключа для підтвердження легітимності транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження якого транзакція транслюється в мережу. Шахраї використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб роботи: Користувач отримує лист або повідомлення, що маскується під офіційне повідомлення, наприклад, "Ваш NFT аirdrop чекає на отримання, будь ласка, підтвердіть гаманець". Клацнувши на посилання, користувач потрапляє на шкідливий сайт, де його просять підключити гаманець і підписати "підтверджувальну транзакцію". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переводить ETH або монети з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що надає шахраю контроль над колекцією NFT користувача.
(3) Фальшиві монети та "атака пилу"
Технічні принципи: Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не робив активного запиту. Шахраї використовують це, надсилаючи невелику кількість Криптоактиви на кілька гаманців, щоб відстежувати активність гаманця та пов'язувати її з особою або компанією, яка володіє гаманцем.
Спосіб роботи: У більшості випадків "пил" для атак з використанням пилу видається у формі аерозолів, які надсилаються до гаманців користувачів. Ці токени можуть мати привабливі назви або метадані, що спонукають користувачів відвідати певний вебсайт для отримання деталей. Користувачі можуть спробувати обміняти ці токени, тоді як зловмисники можуть отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Ще більш прихованим є те, що атаки з пилом здійснюються через соціальну інженерію, аналізуючи подальші транзакції користувача, щоб визначити активну адресу гаманця користувача, що дозволяє здійснити більш точний шахрайство.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні, в значній мірі через те, що вони приховані у легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню зловмисну природу. Ось кілька ключових причин:
Технічна складність: Код смарт-контрактів та запити на підпис є незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як складні шестнадцяткові дані, і користувач не може інтуїтивно зрозуміти його зміст.
Законність в ланцюзі: всі транзакції записуються в Блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише постфактум, а на той момент активи вже неможливо повернути.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра, щоб створити привабливі шахрайські пастки.
Майстерне маскування: Фішингові сайти можуть використовувати URL, що схожі на офіційні домени, навіть підвищуючи довіру через HTTPS сертифікати.
Три, як захистити свій гаманець для криптоактивів?
Стикаючись з цими шахрайствами, в яких є технологічні та психологічні війни, захист активів потребує багатошарового підходу. Ось детальні заходи запобігання:
Перевірка та управління правами доступу
Перевірте посилання та джерело
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис
Відповідь на атаки пилу
Висновок
Впровадження вищезазначених заходів безпеки може суттєво знизити ризик стати жертвою складних шахрайських схем. Однак справжня безпека не лише залежить від технологій. Коли апаратні гаманці створюють фізичну лінію захисту, а мультипідписи розподіляють ризики, розуміння користувачами логіки авторизації та обережне ставлення до поведінки на Блокчейні є останнім бастіоном у боротьбі з атаками.
Кожен раз, коли дані аналізуються перед підписанням, і кожен раз, коли перевіряються права після авторизації, це є захистом власного цифрового суверенітету. Незалежно від того, як розвиватиметься технологія в майбутньому, основний захист завжди полягатиме в тому, щоб інтегрувати усвідомлення безпеки в звичку, зберігаючи баланс між довірою та перевіркою. У світі блокчейну кожен клік, кожна транзакція назавжди записується, і їх неможливо змінити. Тому важливо залишатися пильними і обережними.