Nuevas amenazas en el mundo de la cadena de bloques: la combinación de vulnerabilidades en protocolos y la ingeniería social
Las criptomonedas y la tecnología de la cadena de bloques están redefiniendo la libertad financiera, pero al mismo tiempo han traído nuevos desafíos de seguridad. Los estafadores ya no solo aprovechan las vulnerabilidades técnicas, sino que transforman el protocolo de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social meticulosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en una herramienta para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que también son más engañosos debido a su apariencia "legalizada".
Uno, ¿cómo se puede convertir un protocolo en una herramienta de fraude?
El objetivo del protocolo de cadena de bloques es garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas encubiertas de ataque.
(1) autorización de contrato inteligente malicioso
Principios técnicos:
El estándar de tokens ERC-20 permite a los usuarios autorizar a terceros a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, pero también es aprovechada por estafadores.
Forma de operar:
Los estafadores crean DApps que se disfrazan de proyectos legítimos, induciendo a los usuarios a otorgar permisos. Superficialmente, se autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite ilimitado. Una vez que se completa la autorización, los estafadores pueden extraer en cualquier momento todos los tokens correspondientes de la billetera del usuario.
Caso:
A principios de 2023, un sitio web de phishing disfrazado de "actualización de cierto DEX" causó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Estas transacciones cumplían completamente con el estándar ERC-20, lo que dificultó a las víctimas recuperar su dinero a través de medios legales.
(2) firma de phishing
Principio técnico:
Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar:
Los usuarios reciben mensajes disfrazados de notificaciones oficiales, siendo dirigidos a sitios web maliciosos para firmar "verificar transacción". Esta transacción puede transferir directamente los activos del usuario o autorizar a los estafadores a controlar la colección de NFT del usuario.
Caso:
Una conocida comunidad de un proyecto NFT sufrió un ataque de phishing de firma, varios usuarios perdieron NFTs por valor de millones de dólares al firmar transacciones falsas de "recepción de airdrop".
(3) tokens falsos y "ataques de polvo"
Principio técnico:
La publicabilidad de la cadena de bloques permite a cualquiera enviar tokens a cualquier dirección. Los estafadores aprovechan esto, rastreando las actividades de las billeteras mediante el envío de pequeñas cantidades de criptomonedas.
Modo de operación:
Los estafadores envían pequeñas cantidades de tokens a varias direcciones, que pueden tener nombres engañosos. Cuando los usuarios intentan canjear, los atacantes pueden obtener acceso a la billetera o realizar estafas más precisas.
Caso:
En la red Ethereum se produjo un ataque de "tokens GAS" de polvo, afectando a miles de billeteras. Algunos usuarios perdieron ETH y otros tokens debido a la curiosidad de interactuar.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estas estafas se debe en gran medida a que se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes puedan discernir su naturaleza maliciosa. Las principales razones incluyen:
Complejidad técnica: El código del contrato inteligente y las solicitudes de firma son difíciles de entender para los usuarios no técnicos.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta del problema solo después.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza.
Disfraz ingenioso: los sitios web de phishing pueden usar URL similares al nombre de dominio oficial, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Ante estos fraudes que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples niveles:
Verificar y gestionar los permisos de autorización
Utilizar la herramienta de verificación de autorizaciones para revisar regularmente los registros de autorización de la billetera.
Revocar autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Verificar el enlace y la fuente
Ingrese manualmente la URL oficial, evite hacer clic en los enlaces de las redes sociales o correos electrónicos.
Asegúrese de que el sitio web utilice el nombre de dominio y el certificado SSL correctos.
Usar billetera fría y firma múltiple
Almacenar la mayor parte de los activos en una billetera de hardware.
Utilizar herramientas de firma múltiple para activos de gran valor, requiriendo la confirmación de transacciones por múltiples claves.
Manejar con precaución las solicitudes de firma
Lea detenidamente los detalles de la transacción en la ventana emergente de la billetera.
Utilizar la función del explorador de cadena de bloques para analizar el contenido de la firma.
Responder a ataques de polvo
No interactúe después de recibir tokens desconocidos.
Confirmar el origen del token a través del explorador de Cadena de bloques.
Evita hacer público tu dirección de billetera, o utiliza una nueva dirección para operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de planes de fraude avanzados. Sin embargo, la verdadera seguridad no solo depende de medios técnicos. La comprensión del usuario sobre la lógica de autorización y una actitud cautelosa hacia el comportamiento en la cadena de bloques son la última línea de defensa contra los ataques.
En el mundo de la cadena de bloques, cada firma y cada transacción se registran de forma permanente e inalterable. Por lo tanto, internalizar la conciencia de seguridad como un hábito diario y mantener un equilibrio entre la confianza y la verificación es crucial para proteger los activos digitales. Con el continuo desarrollo de la tecnología, la vigilancia y el conocimiento de los usuarios también deben mantenerse al día, de modo que puedan navegar de manera segura en este mundo financiero digital lleno de oportunidades y riesgos.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 me gusta
Recompensa
14
8
Compartir
Comentar
0/400
RooftopReserver
· hace14h
Cuídense, lentemente verán a viejos conocidos en la azotea.
Ver originalesResponder0
MissingSats
· 07-03 08:20
La cosecha del impuesto IQ ha comenzado de nuevo
Ver originalesResponder0
GateUser-bd883c58
· 07-02 05:49
tontos otra vez van a sufrir
Ver originalesResponder0
MetaReckt
· 07-02 05:48
Otra vez en la trampa de los contratos inteligentes, los que han perdido que pasen de largo.
Ver originalesResponder0
SmartContractRebel
· 07-02 05:43
Con esta seguridad, ¿se atreve a hablar de web3?
Ver originalesResponder0
ClassicDumpster
· 07-02 05:42
Hermanos de la cadena, mantengan un ojo en la autorización.
Ver originalesResponder0
SellTheBounce
· 07-02 05:41
Los tontos siempre son tontos, nunca se acaban.
Ver originalesResponder0
BearMarketSurvivor
· 07-02 05:39
Esta forma de tomar a la gente por tonta es un poco avanzada.
Nueva tendencia en los Lavado de ojos de la Cadena de bloques: amenaza combinada de vulnerabilidades en protocolos y técnicas de ingeniería social
Nuevas amenazas en el mundo de la cadena de bloques: la combinación de vulnerabilidades en protocolos y la ingeniería social
Las criptomonedas y la tecnología de la cadena de bloques están redefiniendo la libertad financiera, pero al mismo tiempo han traído nuevos desafíos de seguridad. Los estafadores ya no solo aprovechan las vulnerabilidades técnicas, sino que transforman el protocolo de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social meticulosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en una herramienta para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que también son más engañosos debido a su apariencia "legalizada".
Uno, ¿cómo se puede convertir un protocolo en una herramienta de fraude?
El objetivo del protocolo de cadena de bloques es garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas encubiertas de ataque.
(1) autorización de contrato inteligente malicioso
Principios técnicos: El estándar de tokens ERC-20 permite a los usuarios autorizar a terceros a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, pero también es aprovechada por estafadores.
Forma de operar: Los estafadores crean DApps que se disfrazan de proyectos legítimos, induciendo a los usuarios a otorgar permisos. Superficialmente, se autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite ilimitado. Una vez que se completa la autorización, los estafadores pueden extraer en cualquier momento todos los tokens correspondientes de la billetera del usuario.
Caso: A principios de 2023, un sitio web de phishing disfrazado de "actualización de cierto DEX" causó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Estas transacciones cumplían completamente con el estándar ERC-20, lo que dificultó a las víctimas recuperar su dinero a través de medios legales.
(2) firma de phishing
Principio técnico: Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar: Los usuarios reciben mensajes disfrazados de notificaciones oficiales, siendo dirigidos a sitios web maliciosos para firmar "verificar transacción". Esta transacción puede transferir directamente los activos del usuario o autorizar a los estafadores a controlar la colección de NFT del usuario.
Caso: Una conocida comunidad de un proyecto NFT sufrió un ataque de phishing de firma, varios usuarios perdieron NFTs por valor de millones de dólares al firmar transacciones falsas de "recepción de airdrop".
(3) tokens falsos y "ataques de polvo"
Principio técnico: La publicabilidad de la cadena de bloques permite a cualquiera enviar tokens a cualquier dirección. Los estafadores aprovechan esto, rastreando las actividades de las billeteras mediante el envío de pequeñas cantidades de criptomonedas.
Modo de operación: Los estafadores envían pequeñas cantidades de tokens a varias direcciones, que pueden tener nombres engañosos. Cuando los usuarios intentan canjear, los atacantes pueden obtener acceso a la billetera o realizar estafas más precisas.
Caso: En la red Ethereum se produjo un ataque de "tokens GAS" de polvo, afectando a miles de billeteras. Algunos usuarios perdieron ETH y otros tokens debido a la curiosidad de interactuar.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estas estafas se debe en gran medida a que se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta que los usuarios comunes puedan discernir su naturaleza maliciosa. Las principales razones incluyen:
Complejidad técnica: El código del contrato inteligente y las solicitudes de firma son difíciles de entender para los usuarios no técnicos.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta del problema solo después.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza.
Disfraz ingenioso: los sitios web de phishing pueden usar URL similares al nombre de dominio oficial, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Ante estos fraudes que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples niveles:
Verificar y gestionar los permisos de autorización
Verificar el enlace y la fuente
Usar billetera fría y firma múltiple
Manejar con precaución las solicitudes de firma
Responder a ataques de polvo
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de planes de fraude avanzados. Sin embargo, la verdadera seguridad no solo depende de medios técnicos. La comprensión del usuario sobre la lógica de autorización y una actitud cautelosa hacia el comportamiento en la cadena de bloques son la última línea de defensa contra los ataques.
En el mundo de la cadena de bloques, cada firma y cada transacción se registran de forma permanente e inalterable. Por lo tanto, internalizar la conciencia de seguridad como un hábito diario y mantener un equilibrio entre la confianza y la verificación es crucial para proteger los activos digitales. Con el continuo desarrollo de la tecnología, la vigilancia y el conocimiento de los usuarios también deben mantenerse al día, de modo que puedan navegar de manera segura en este mundo financiero digital lleno de oportunidades y riesgos.