Смартконтракти протокол: приховані небезпеки та способи їх запобігання
Криптовалюти та технології блокчейн змінюють концепцію фінансової свободи, але ця революція також принесла нові виклики. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі протоколи смартконтрактів блокчейну на інструменти атаки. Вони майстерно розробляють пастки соціальної інженерії, використовуючи прозорість та незворотність блокчейну, перетворюючи довіру користувачів на засіб викрадення активів. Від ретельно сконструйованих смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не тільки приховані та важко виявляються, але й через свій "легітимний" вигляд є ще більш обманливими. Ця стаття через практичні приклади покаже, як шахраї перетворюють протоколи на засоби атаки та надасть комплексні рішення від технічного захисту до поведінкових запобіжних заходів, щоб допомогти вам безпечно орієнтуватися у децентралізованому світі.
Одне, як протокол став інструментом шахрайства?
Першочерговою метою блокчейн-протоколу є забезпечення безпеки та довіри, але шахраї використовують його особливості, поєднуючи їх з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Нижче наведено деякі методи та їх технічні деталі:
(1) зловмисна авторизація смартконтрактів
Технічний принцип:
На деяких блокчейнах конкретні стандарти токенів дозволяють користувачам через функцію "Approve" уповноважувати третіх осіб (зазвичай смартконтракти) витягувати з їх гаманців визначену кількість токенів. Ця функція широко використовується у децентралізованих фінансових протоколах, де користувачі повинні уповноважити смартконтракти для завершення транзакцій, стейкингу або ліквідного видобутку. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Шахраї створюють децентралізований додаток, який маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на поверхні виглядає як надання дозволу на невелику кількість токенів, але насправді може бути безмежним лімітом. Як тільки авторизація завершена, адреса контракту шахраїв отримує дозволи і може в будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Справжній випадок:
На початку 2023 року фішинговий сайт, що маскується під оновлення відомої децентралізованої біржі, призвів до втрат сотень користувачів на мільйони доларів стабільних монет і рідних токенів. Данні з блокчейну показують, що ці транзакції повністю відповідали стандартам токенів, жертви навіть не могли повернути свої кошти через законні засоби, оскільки авторизація була підписана добровільно.
(2) підписна фішинг
Технічні принципи:
Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб підтвердити легітимність транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувача транзакція транслюється в мережу. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.
Спосіб роботи:
Користувач отримує лист, що маскується під офіційне повідомлення, або повідомлення в соціальних мережах, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, підтвердіть гаманець". Клацнувши на посилання, користувач потрапляє на шкідливий вебсайт, де його просять підключити гаманець і підписати "підтверджуючу транзакцію". Ця транзакція насправді може викликати функцію "Transfer", що безпосередньо переводить активи з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що надає шахраю контроль над колекцією NFT користувача.
Реальний випадок:
У спільноті відомого NFT проєкту стався випадок фішингу з підписами, через що кілька користувачів втратили NFT на суму кілька мільйонів доларів через підписання підроблених транзакцій "отримання аеродропу". Зловмисники скористалися специфічними стандартами підпису, підробляючи запити, які виглядали безпечними.
(3) Фальшиві токени та "атакa пилу"
Технічні принципи:
Відкритість блокчейну дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не робить активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особою чи компанією, що володіє гаманцем. Атака починається з надсилання пилу, коли невелику кількість криптовалюти надсилають на різні адреси, а потім зловмисник намагається з'ясувати, яка з них належить одному й тому ж гаманцю. Після цього зловмисник використовує цю інформацію для здійснення фішингових атак або погроз проти жертви.
Спосіб роботи:
Зазвичай, "пил" у пилових атаках розподіляється у формі аерозолів до гаманців користувачів, ці токени можуть мати певні назви або метадані, що спонукають користувачів відвідати певний вебсайт для отримання деталей. Користувачі можуть захотіти конвертувати ці токени, тоді як зловмисники можуть отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Ще більш прихованим є те, що пилові атаки можуть за допомогою соціальної інженерії аналізувати подальші транзакції користувача, фіксуючи активні адреси гаманців, щоб реалізувати більш точні шахрайства.
Реальний випадок:
На певній блокчейн-мережі сталася "атака пилу" на токени GAS, що вплинула на тисячі гаманців. Деякі користувачі втратили свої нативні токени та інші токени через цікавість до взаємодії.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах блокчейну, і звичайним користувачам важко розпізнати їхню злоякісну природу. Ось кілька ключових причин:
Технічна складність:
Код смартконтрактів і запити на підпис часто є незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як рядок шістнадцяткових даних, і користувач не може інтуїтивно зрозуміти його значення.
Законність на ланцюзі:
Всі транзакції записуються в блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже не можна повернути.
Соціальна інженерія:
Шахраї використовують слабкі сторони людської природи, такі як жадібність ("отримати великі токени безкоштовно"), страх ("необхідна перевірка через незвичайну активність рахунку") або довіру (маскуючись під службу підтримки).
Хитра маскування:
Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть підвищуючи довіру за допомогою HTTPS-сертифікатів.
Три, як захистити ваш гаманець з криптовалютою?
З огляду на ці шахрайства, що поєднують технологічні та психологічні війни, захист активів потребує багаторівневої стратегії. Нижче наведені детальні заходи запобігання:
Перевірка та управління авторизаційними правами
Інструменти: використовуйте перевірник авторизацій у блокчейн-оглядачі або спеціалізований інструмент для скасування, щоб перевірити записи авторизації гаманця.
Операції: періодично скасовуйте непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес. Перед кожним наданням дозволу переконайтеся, що децентралізований додаток походить з надійного джерела.
Технічні деталі: перевірте значення "Allowance"; якщо воно "нескінченне" (наприклад, 2^256-1), його слід негайно скасувати.
Перевірте посилання та джерело
Метод: ручне введення офіційної URL-адреси, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Перевірте: переконайтеся, що сайт використовує правильне доменне ім'я та SSL-сертифікат (зелена іконка замка). Будьте обережні з орфографічними помилками або зайвими символами.
Використовуйте холодні гаманці та мультипідпис
Холодний гаманець: зберігайте більшість активів у апаратному гаманці, підключайте до мережі лише за необхідності.
Багатопідпис: Для великих активів використовуйте інструменти багатопідпису, які вимагають підтвердження транзакції кількома ключами, щоб знизити ризик одноразової помилки.
Обережно обробляйте запити на підпис
Кроки: кожного разу, підписуючи, ретельно читайте деталі транзакції у вікні гаманця. Деякі гаманці відображатимуть поле "дані"; якщо воно містить невідомі функції (наприклад, "TransferFrom"), відмовтеся від підпису.
Інструменти: використовуйте функцію декодування блокчейн-браузера для аналізу підписаного вмісту або зверніться до технічного експерта.
Рекомендація: створіть окремий гаманець для високоризикових операцій та зберігайте невелику кількість активів.
Реагування на атакуючий пил
Стратегія: після отримання невідомого токена не взаємодійте. Позначте його як "сміття" або сховайте.
Перевірка: через блокчейн-оглядач підтвердьте джерело токенів, якщо це масова відправка, будьте дуже обережні.
Запобігання: уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Запроваджуючи вищезазначені заходи безпеки, користувачі можуть значно знизити ризик стати жертвою просунутих шахрайських схем, але справжня безпека зовсім не є однобокою перемогою технологій. Коли апаратні гаманці створюють фізичну лінію оборони, а мультипідписи розподіляють ризики, саме розуміння користувачами логіки авторизації та обережність щодо їхньої поведінки в мережі є останнім бастіоном проти атак. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації є клятвою на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології ітерують, найбільшою оборонною лінією завжди залишатиметься: внутрішня інтеграція усвідомлення безпеки в м'язову пам'ять, встановлення вічної рівноваги між довірою та перевіркою. Адже в світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди записується в ланцюзі, і їх неможливо змінити.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
8
Поділіться
Прокоментувати
0/400
Web3ProductManager
· 5год тому
озираючись на наші метрики користувацького шляху, це саме те місце, де ми втрачаємо 68,4% новачків web3... сувора точка тертя, якщо чесно
Переглянути оригіналвідповісти на0
MEVHunterZhang
· 16год тому
Знову продаєте страх за безпеку, так?
Переглянути оригіналвідповісти на0
MetaEggplant
· 16год тому
Блокчейн червоної армії тільки що невдахи
Переглянути оригіналвідповісти на0
BankruptWorker
· 16год тому
невдахи врешті-решт до якого часу потрібно садити, щоб хтось звернув на це увагу?
Переглянути оригіналвідповісти на0
NFT_Therapy
· 16год тому
Знову якийсь новачок попався на шахрайство, так?
Переглянути оригіналвідповісти на0
StableGenius
· 16год тому
як і передбачалося... ще один день, ще одна експлуатація протоколу. ніхто більше не читає байт-код, смх
Переглянути оригіналвідповісти на0
BearMarketSunriser
· 17год тому
4 роки досвіду невдаха і одне усвідомлення: чим більше я розумію зараз, тим більше втрачаю.
Переглянути оригіналвідповісти на0
BlockchainArchaeologist
· 17год тому
Знову стандартний підручник, що сказано, те саме, що нічого не сказано.
Секрети ризиків смартконтрактів: всеохоплюючий посібник з профілактики від авторизаційних пасток до фішингу підписів
Смартконтракти протокол: приховані небезпеки та способи їх запобігання
Криптовалюти та технології блокчейн змінюють концепцію фінансової свободи, але ця революція також принесла нові виклики. Шахраї більше не обмежуються використанням технічних вразливостей, а перетворюють самі протоколи смартконтрактів блокчейну на інструменти атаки. Вони майстерно розробляють пастки соціальної інженерії, використовуючи прозорість та незворотність блокчейну, перетворюючи довіру користувачів на засіб викрадення активів. Від ретельно сконструйованих смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не тільки приховані та важко виявляються, але й через свій "легітимний" вигляд є ще більш обманливими. Ця стаття через практичні приклади покаже, як шахраї перетворюють протоколи на засоби атаки та надасть комплексні рішення від технічного захисту до поведінкових запобіжних заходів, щоб допомогти вам безпечно орієнтуватися у децентралізованому світі.
Одне, як протокол став інструментом шахрайства?
Першочерговою метою блокчейн-протоколу є забезпечення безпеки та довіри, але шахраї використовують його особливості, поєднуючи їх з недбалістю користувачів, створюючи різноманітні приховані способи атаки. Нижче наведено деякі методи та їх технічні деталі:
(1) зловмисна авторизація смартконтрактів
Технічний принцип: На деяких блокчейнах конкретні стандарти токенів дозволяють користувачам через функцію "Approve" уповноважувати третіх осіб (зазвичай смартконтракти) витягувати з їх гаманців визначену кількість токенів. Ця функція широко використовується у децентралізованих фінансових протоколах, де користувачі повинні уповноважити смартконтракти для завершення транзакцій, стейкингу або ліквідного видобутку. Однак шахраї використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи: Шахраї створюють децентралізований додаток, який маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманець і їх спонукають натиснути "Approve", що на поверхні виглядає як надання дозволу на невелику кількість токенів, але насправді може бути безмежним лімітом. Як тільки авторизація завершена, адреса контракту шахраїв отримує дозволи і може в будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.
Справжній випадок: На початку 2023 року фішинговий сайт, що маскується під оновлення відомої децентралізованої біржі, призвів до втрат сотень користувачів на мільйони доларів стабільних монет і рідних токенів. Данні з блокчейну показують, що ці транзакції повністю відповідали стандартам токенів, жертви навіть не могли повернути свої кошти через законні засоби, оскільки авторизація була підписана добровільно.
(2) підписна фішинг
Технічні принципи: Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб підтвердити легітимність транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувача транзакція транслюється в мережу. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.
Спосіб роботи: Користувач отримує лист, що маскується під офіційне повідомлення, або повідомлення в соціальних мережах, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, підтвердіть гаманець". Клацнувши на посилання, користувач потрапляє на шкідливий вебсайт, де його просять підключити гаманець і підписати "підтверджуючу транзакцію". Ця транзакція насправді може викликати функцію "Transfer", що безпосередньо переводить активи з гаманця на адресу шахрая; або це може бути операція "SetApprovalForAll", що надає шахраю контроль над колекцією NFT користувача.
Реальний випадок: У спільноті відомого NFT проєкту стався випадок фішингу з підписами, через що кілька користувачів втратили NFT на суму кілька мільйонів доларів через підписання підроблених транзакцій "отримання аеродропу". Зловмисники скористалися специфічними стандартами підпису, підробляючи запити, які виглядали безпечними.
(3) Фальшиві токени та "атакa пилу"
Технічні принципи: Відкритість блокчейну дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не робить активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особою чи компанією, що володіє гаманцем. Атака починається з надсилання пилу, коли невелику кількість криптовалюти надсилають на різні адреси, а потім зловмисник намагається з'ясувати, яка з них належить одному й тому ж гаманцю. Після цього зловмисник використовує цю інформацію для здійснення фішингових атак або погроз проти жертви.
Спосіб роботи: Зазвичай, "пил" у пилових атаках розподіляється у формі аерозолів до гаманців користувачів, ці токени можуть мати певні назви або метадані, що спонукають користувачів відвідати певний вебсайт для отримання деталей. Користувачі можуть захотіти конвертувати ці токени, тоді як зловмисники можуть отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Ще більш прихованим є те, що пилові атаки можуть за допомогою соціальної інженерії аналізувати подальші транзакції користувача, фіксуючи активні адреси гаманців, щоб реалізувати більш точні шахрайства.
Реальний випадок: На певній блокчейн-мережі сталася "атака пилу" на токени GAS, що вплинула на тисячі гаманців. Деякі користувачі втратили свої нативні токени та інші токени через цікавість до взаємодії.
Два, чому ці шахрайства важко виявити?
Ці шахрайства успішні в значній мірі тому, що вони приховані в легітимних механізмах блокчейну, і звичайним користувачам важко розпізнати їхню злоякісну природу. Ось кілька ключових причин:
Технічна складність: Код смартконтрактів і запити на підпис часто є незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як рядок шістнадцяткових даних, і користувач не може інтуїтивно зрозуміти його значення.
Законність на ланцюзі: Всі транзакції записуються в блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже не можна повернути.
Соціальна інженерія: Шахраї використовують слабкі сторони людської природи, такі як жадібність ("отримати великі токени безкоштовно"), страх ("необхідна перевірка через незвичайну активність рахунку") або довіру (маскуючись під службу підтримки).
Хитра маскування: Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть підвищуючи довіру за допомогою HTTPS-сертифікатів.
Три, як захистити ваш гаманець з криптовалютою?
З огляду на ці шахрайства, що поєднують технологічні та психологічні війни, захист активів потребує багаторівневої стратегії. Нижче наведені детальні заходи запобігання:
Інструменти: використовуйте перевірник авторизацій у блокчейн-оглядачі або спеціалізований інструмент для скасування, щоб перевірити записи авторизації гаманця.
Операції: періодично скасовуйте непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес. Перед кожним наданням дозволу переконайтеся, що децентралізований додаток походить з надійного джерела.
Технічні деталі: перевірте значення "Allowance"; якщо воно "нескінченне" (наприклад, 2^256-1), його слід негайно скасувати.
Метод: ручне введення офіційної URL-адреси, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Перевірте: переконайтеся, що сайт використовує правильне доменне ім'я та SSL-сертифікат (зелена іконка замка). Будьте обережні з орфографічними помилками або зайвими символами.
Холодний гаманець: зберігайте більшість активів у апаратному гаманці, підключайте до мережі лише за необхідності.
Багатопідпис: Для великих активів використовуйте інструменти багатопідпису, які вимагають підтвердження транзакції кількома ключами, щоб знизити ризик одноразової помилки.
Кроки: кожного разу, підписуючи, ретельно читайте деталі транзакції у вікні гаманця. Деякі гаманці відображатимуть поле "дані"; якщо воно містить невідомі функції (наприклад, "TransferFrom"), відмовтеся від підпису.
Інструменти: використовуйте функцію декодування блокчейн-браузера для аналізу підписаного вмісту або зверніться до технічного експерта.
Рекомендація: створіть окремий гаманець для високоризикових операцій та зберігайте невелику кількість активів.
Стратегія: після отримання невідомого токена не взаємодійте. Позначте його як "сміття" або сховайте.
Перевірка: через блокчейн-оглядач підтвердьте джерело токенів, якщо це масова відправка, будьте дуже обережні.
Запобігання: уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Запроваджуючи вищезазначені заходи безпеки, користувачі можуть значно знизити ризик стати жертвою просунутих шахрайських схем, але справжня безпека зовсім не є однобокою перемогою технологій. Коли апаратні гаманці створюють фізичну лінію оборони, а мультипідписи розподіляють ризики, саме розуміння користувачами логіки авторизації та обережність щодо їхньої поведінки в мережі є останнім бастіоном проти атак. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації є клятвою на захист власного цифрового суверенітету.
У майбутньому, незалежно від того, як технології ітерують, найбільшою оборонною лінією завжди залишатиметься: внутрішня інтеграція усвідомлення безпеки в м'язову пам'ять, встановлення вічної рівноваги між довірою та перевіркою. Адже в світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди записується в ланцюзі, і їх неможливо змінити.