Nouvelles menaces dans le monde du Blockchain : combinaison de vulnérabilités de protocole et d'ingénierie sociale
Les cryptomonnaies et la technologie Blockchain redéfinissent la liberté financière, mais elles apportent également de nouveaux défis en matière de sécurité. Les escrocs n'exploitent plus seulement les failles techniques, mais transforment les protocoles de contrats intelligents de la Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain, transformant la confiance des utilisateurs en outils de vol d'actifs. Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement difficiles à détecter, mais sont également plus trompeuses en raison de leur apparence "légitimée".
I. Comment un protocole peut-il être transformé en outil de fraude ?
Le protocole de Blockchain a pour but d'assurer la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées aux négligences des utilisateurs, pour créer diverses méthodes d'attaque clandestines.
(1) Autorisation de contrat intelligent malveillant
Principe technique :
La norme de jeton ERC-20 permet aux utilisateurs d'autoriser des tiers à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des fraudeurs.
Mode de fonctionnement :
Les escrocs créent des DApps déguisées en projets légitimes pour inciter les utilisateurs à autoriser. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela peut être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer tous les jetons correspondants du portefeuille de l'utilisateur à tout moment.
Exemple :
Début 2023, un site de phishing déguisé en "mise à niveau d'un certain DEX" a causé la perte de plusieurs millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Ces transactions étaient entièrement conformes à la norme ERC-20, rendant difficile pour les victimes de récupérer leur argent par des moyens juridiques.
(2) signature de phishing
Principe technique :
Les transactions Blockchain nécessitent que les utilisateurs génèrent des signatures via leur clé privée. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un message se faisant passer pour une notification officielle, le guidant vers un site malveillant pour signer "vérifier la transaction". Cette transaction peut directement transférer les actifs de l'utilisateur ou autoriser les escrocs à contrôler la collection NFT de l'utilisateur.
Exemple :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "pour recevoir des airdrops" falsifiées.
(3) jetons fictifs et "attaque de poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des tokens à n'importe quelle adresse. Les fraudeurs profitent de cela en envoyant une petite quantité de cryptomonnaie pour suivre les activités des portefeuilles.
Mode de fonctionnement :
Les escrocs envoient de petites quantités de jetons à plusieurs adresses, ces jetons pouvant avoir des noms trompeurs. Lorsque les utilisateurs essaient de les encaisser, les attaquants peuvent obtenir un accès au portefeuille ou effectuer des escroqueries plus ciblées.
Exemple :
Une attaque par "jetons GAS" a eu lieu sur le réseau Ethereum, touchant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et d'autres jetons en raison de leur curiosité à interagir.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Complexité technique : Le code des contrats intelligents et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes prennent souvent conscience du problème seulement après coup.
Ingénierie sociale : les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Déguisement subtil : Les sites de phishing peuvent utiliser des URL similaires aux noms de domaine officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces arnaques qui allient technologie et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux :
Vérifiez et gérez les autorisations d'autorisation
Utilisez l'outil de vérification des autorisations pour examiner régulièrement les enregistrements d'autorisation du portefeuille.
Révoquez les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Vérifier les liens et les sources
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et le certificat SSL.
Utiliser un portefeuille froid et des signatures multiples
Stockez la majeure partie de vos actifs dans un portefeuille matériel.
Utilisez des outils de signatures multiples pour des actifs importants, exigeant la confirmation des transactions par plusieurs clés.
Traitez les demandes de signature avec prudence
Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utiliser les fonctionnalités du navigateur Blockchain pour analyser le contenu de la signature.
Répondre aux attaques de poussière
Ne pas interagir après avoir reçu des jetons inconnus.
Confirmer l'origine du jeton via le navigateur Blockchain.
Évitez de rendre public l'adresse de votre portefeuille ou utilisez une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité mentionnées ci-dessus, les utilisateurs peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas uniquement sur des moyens techniques. La compréhension par les utilisateurs de la logique d'autorisation et leur attitude prudente envers les comportements sur la Blockchain sont la dernière ligne de défense contre les attaques.
Dans le monde de la Blockchain, chaque signature et chaque transaction sont enregistrées de façon permanente et ne peuvent être modifiées. Par conséquent, il est essentiel d'intérioriser la conscience de la sécurité en tant qu'habitude quotidienne et de maintenir un équilibre entre confiance et vérification pour protéger les actifs numériques. Avec le développement constant de la technologie, la vigilance et les connaissances des utilisateurs doivent également évoluer avec le temps, afin de naviguer en toute sécurité dans cet univers financier numérique rempli d'opportunités et de risques.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 J'aime
Récompense
14
8
Partager
Commentaire
0/400
RooftopReserver
· Il y a 14h
Faites attention tout le monde, prenez votre temps pour voir les vieux amis sur le toit.
Voir l'originalRépondre0
MissingSats
· 07-03 08:20
prendre les gens pour des idiots a encore commencé
Voir l'originalRépondre0
GateUser-bd883c58
· 07-02 05:49
pigeons vont encore souffrir
Voir l'originalRépondre0
MetaReckt
· 07-02 05:48
Encore un piège des smart contracts, ceux qui ont déjà perdu peuvent passer.
Voir l'originalRépondre0
SmartContractRebel
· 07-02 05:43
Avec une telle sécurité, ils osent encore parler de web3.
Voir l'originalRépondre0
ClassicDumpster
· 07-02 05:42
Frères de chaîne, restez vigilants sur l'autorisation.
Voir l'originalRépondre0
SellTheBounce
· 07-02 05:41
Les pigeons sont toujours des pigeons, on ne peut jamais les prendre pour des idiots.
Voir l'originalRépondre0
BearMarketSurvivor
· 07-02 05:39
Cette méthode de se faire prendre pour des cons est un peu sophistiquée.
Nouvelle tendance des arnaques en blockchain : menaces combinant des vulnérabilités de protocole et des techniques d'ingénierie sociale.
Nouvelles menaces dans le monde du Blockchain : combinaison de vulnérabilités de protocole et d'ingénierie sociale
Les cryptomonnaies et la technologie Blockchain redéfinissent la liberté financière, mais elles apportent également de nouveaux défis en matière de sécurité. Les escrocs n'exploitent plus seulement les failles techniques, mais transforment les protocoles de contrats intelligents de la Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain, transformant la confiance des utilisateurs en outils de vol d'actifs. Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement difficiles à détecter, mais sont également plus trompeuses en raison de leur apparence "légitimée".
I. Comment un protocole peut-il être transformé en outil de fraude ?
Le protocole de Blockchain a pour but d'assurer la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées aux négligences des utilisateurs, pour créer diverses méthodes d'attaque clandestines.
(1) Autorisation de contrat intelligent malveillant
Principe technique : La norme de jeton ERC-20 permet aux utilisateurs d'autoriser des tiers à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des fraudeurs.
Mode de fonctionnement : Les escrocs créent des DApps déguisées en projets légitimes pour inciter les utilisateurs à autoriser. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela peut être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer tous les jetons correspondants du portefeuille de l'utilisateur à tout moment.
Exemple : Début 2023, un site de phishing déguisé en "mise à niveau d'un certain DEX" a causé la perte de plusieurs millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Ces transactions étaient entièrement conformes à la norme ERC-20, rendant difficile pour les victimes de récupérer leur argent par des moyens juridiques.
(2) signature de phishing
Principe technique : Les transactions Blockchain nécessitent que les utilisateurs génèrent des signatures via leur clé privée. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : L'utilisateur reçoit un message se faisant passer pour une notification officielle, le guidant vers un site malveillant pour signer "vérifier la transaction". Cette transaction peut directement transférer les actifs de l'utilisateur ou autoriser les escrocs à contrôler la collection NFT de l'utilisateur.
Exemple : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "pour recevoir des airdrops" falsifiées.
(3) jetons fictifs et "attaque de poussière"
Principe technique : La transparence de la Blockchain permet à quiconque d'envoyer des tokens à n'importe quelle adresse. Les fraudeurs profitent de cela en envoyant une petite quantité de cryptomonnaie pour suivre les activités des portefeuilles.
Mode de fonctionnement : Les escrocs envoient de petites quantités de jetons à plusieurs adresses, ces jetons pouvant avoir des noms trompeurs. Lorsque les utilisateurs essaient de les encaisser, les attaquants peuvent obtenir un accès au portefeuille ou effectuer des escroqueries plus ciblées.
Exemple : Une attaque par "jetons GAS" a eu lieu sur le réseau Ethereum, touchant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et d'autres jetons en raison de leur curiosité à interagir.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Complexité technique : Le code des contrats intelligents et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes prennent souvent conscience du problème seulement après coup.
Ingénierie sociale : les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Déguisement subtil : Les sites de phishing peuvent utiliser des URL similaires aux noms de domaine officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces arnaques qui allient technologie et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux :
Vérifiez et gérez les autorisations d'autorisation
Vérifier les liens et les sources
Utiliser un portefeuille froid et des signatures multiples
Traitez les demandes de signature avec prudence
Répondre aux attaques de poussière
Conclusion
En mettant en œuvre les mesures de sécurité mentionnées ci-dessus, les utilisateurs peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas uniquement sur des moyens techniques. La compréhension par les utilisateurs de la logique d'autorisation et leur attitude prudente envers les comportements sur la Blockchain sont la dernière ligne de défense contre les attaques.
Dans le monde de la Blockchain, chaque signature et chaque transaction sont enregistrées de façon permanente et ne peuvent être modifiées. Par conséquent, il est essentiel d'intérioriser la conscience de la sécurité en tant qu'habitude quotidienne et de maintenir un équilibre entre confiance et vérification pour protéger les actifs numériques. Avec le développement constant de la technologie, la vigilance et les connaissances des utilisateurs doivent également évoluer avec le temps, afin de naviguer en toute sécurité dans cet univers financier numérique rempli d'opportunités et de risques.