Новые угрозы в мире Блокчейн: комбинация уязвимостей Протокола и социальной инженерии
Криптовалюты и технологии Блокчейн переопределяют финансовую свободу, но одновременно создают новые проблемы с безопасностью. Мошенники больше не просто используют уязвимости технологий, а превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно разработанных уловок социального инженерии они используют прозрачность и необратимость Блокчейн, превращая доверие пользователей в инструмент для кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными сделками, эти атаки не только скрытны и трудны для расследования, но и обладают большей обманчивостью из-за своего "легитимного" внешнего вида.
Один. Как протокол может быть превращен в инструмент мошенничества?
Первоначальная цель протокола Блокчейн заключалась в обеспечении безопасности и доверия, но мошенники используют его особенности, сочетая их с небрежностью пользователей, создавая множество скрытых способов атак.
(1) Злоумышленное разрешение смарт-контракта
Технический принцип:
Стандарт токенов ERC-20 позволяет пользователям с помощью функции "Approve" уполномочить третью сторону извлекать определенное количество токенов из их кошелька. Эта функция широко используется в DeFi-протоколах, но также используется мошенниками.
Способ работы:
Мошенники создают DApp, маскирующиеся под законные проекты, чтобы诱导 пользователей предоставить разрешение. На поверхности это выглядит как разрешение на небольшое количество токенов, но на самом деле это может быть неограниченный лимит. Как только разрешение завершено, мошенники могут в любое время изъять все соответствующие токены из кошелька пользователя.
Пример:
В начале 2023 года фишинговый сайт, замаскированный под "обновление какого-то DEX", привел к потере миллионов долларов в USDT и ETH сотнями пользователей. Эти транзакции полностью соответствовали стандарту ERC-20, и жертвам было трудно вернуть свои средства через юридические меры.
(2) Подпись Фишинг
Технический принцип:
Торговля на Блокчейне требует от пользователей создания подписи с помощью приватного ключа. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает сообщение, замаскированное под официальное уведомление, и его направляют на вредоносный сайт для подписания "подтверждения транзакции". Эта транзакция может напрямую перевести активы пользователя или предоставить мошенникам контроль над коллекцией NFT пользователя.
Пример:
Сообщество известного NFT-проекта подверглось атаке фишинга с использованием подписей, несколько пользователей потеряли NFT на сумму несколько миллионов долларов, подписав поддельные транзакции "получение аирдропа".
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость Блокчейна позволяет любому отправлять токены на любой адрес. Мошенники используют это, отправляя небольшое количество криптовалюты для отслеживания активности кошельков.
Способ работы:
Мошенники отправляют небольшое количество токенов на несколько адресов, которые могут иметь вводящие в заблуждение названия. Когда пользователи пытаются их обналичить, злоумышленники могут получить доступ к кошельку или провести более точное мошенничество.
Пример:
В сети Эфириума произошла атака пыли «GAS токенов», затронувшая тысячи кошельков. Некоторые пользователи потеряли ETH и другие токены из-за любопытства.
Два, почему эти мошенничества трудно заметить?
Эти мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:
Техническая сложность: Код смарт-контрактов и запросы на подпись трудно понять для нетехнических пользователей.
Законность на цепочке: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают проблему только позже.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие.
Замаскированная ловкость: Фишинговые сайты могут использовать URL, похожие на официальный домен, и даже повышать доверие с помощью сертификата HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, сочетающими в себе технические и психологические войны, защита активов требует многоуровневой стратегии:
Проверка и управление полномочиями
Регулярно проверяйте записи авторизации кошелька с помощью инструмента проверки авторизации.
Отмените ненужные разрешения, особенно безлимитные разрешения на неизвестные адреса.
Проверка ссылки и источника
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат.
Используйте холодные кошельки и мультиподпись
Храните большую часть активов в аппаратных кошельках.
Используйте инструменты многофакторной подписи для крупных активов, требуя подтверждения транзакции несколькими ключами.
Осторожно обрабатывайте запросы на подпись
Внимательно прочитайте детали транзакции в всплывающем окне кошелька.
Используйте функции Блокчейн-обозревателя для анализа содержания подписи.
Противодействие атакам пыли
Не взаимодействуйте после получения неопознанных токенов.
Подтвердите источник токена через Блокчейн браузер.
Избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.
Заключение
С помощью реализации вышеуказанных мер безопасности пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем. Однако настоящая безопасность не зависит только от технических средств. Понимание пользователями логики авторизации и осторожное отношение к действиям на Блокчейн являются последней линией защиты от атак.
В мире Блокчейн каждая подпись и каждая транзакция навсегда записываются и не могут быть изменены. Поэтому важно внутренне усвоить осознание безопасности как повседневную привычку, поддерживать баланс между доверием и проверкой, что крайне важно для защиты цифровых активов. С развитием технологий бдительность пользователей и их знания также должны идти в ногу со временем, чтобы безопасно ориентироваться в этом мире цифровых финансов, полном возможностей и рисков.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Лайков
Награда
14
8
Поделиться
комментарий
0/400
RooftopReserver
· 12ч назад
Будьте осторожны, медленно увидите старых знакомых на крыше.
Посмотреть ОригиналОтветить0
MissingSats
· 07-03 08:20
Налоговая жатва IQ снова началась
Посмотреть ОригиналОтветить0
GateUser-bd883c58
· 07-02 05:49
неудачники опять пострадают
Посмотреть ОригиналОтветить0
MetaReckt
· 07-02 05:48
Снова яма со смарт-контрактами. Прошедшие мимо, знайте, что я уже пострадал.
Посмотреть ОригиналОтветить0
SmartContractRebel
· 07-02 05:43
С такой безопасностью еще смеют говорить о web3.
Посмотреть ОригиналОтветить0
ClassicDumpster
· 07-02 05:42
Братья по цепи, держите внимание на разрешениях!
Посмотреть ОригиналОтветить0
SellTheBounce
· 07-02 05:41
неудачники永远是неудачники разыгрывайте людей как лохов不完的
Посмотреть ОригиналОтветить0
BearMarketSurvivor
· 07-02 05:39
Эта волна Будут играть для лохов выглядит довольно высококлассно.
Новая тенденция мошенничества в Блокчейне: угроза, возникающая от сочетания уязвимостей протокола и социальных методов.
Новые угрозы в мире Блокчейн: комбинация уязвимостей Протокола и социальной инженерии
Криптовалюты и технологии Блокчейн переопределяют финансовую свободу, но одновременно создают новые проблемы с безопасностью. Мошенники больше не просто используют уязвимости технологий, а превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно разработанных уловок социального инженерии они используют прозрачность и необратимость Блокчейн, превращая доверие пользователей в инструмент для кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными сделками, эти атаки не только скрытны и трудны для расследования, но и обладают большей обманчивостью из-за своего "легитимного" внешнего вида.
Один. Как протокол может быть превращен в инструмент мошенничества?
Первоначальная цель протокола Блокчейн заключалась в обеспечении безопасности и доверия, но мошенники используют его особенности, сочетая их с небрежностью пользователей, создавая множество скрытых способов атак.
(1) Злоумышленное разрешение смарт-контракта
Технический принцип: Стандарт токенов ERC-20 позволяет пользователям с помощью функции "Approve" уполномочить третью сторону извлекать определенное количество токенов из их кошелька. Эта функция широко используется в DeFi-протоколах, но также используется мошенниками.
Способ работы: Мошенники создают DApp, маскирующиеся под законные проекты, чтобы诱导 пользователей предоставить разрешение. На поверхности это выглядит как разрешение на небольшое количество токенов, но на самом деле это может быть неограниченный лимит. Как только разрешение завершено, мошенники могут в любое время изъять все соответствующие токены из кошелька пользователя.
Пример: В начале 2023 года фишинговый сайт, замаскированный под "обновление какого-то DEX", привел к потере миллионов долларов в USDT и ETH сотнями пользователей. Эти транзакции полностью соответствовали стандарту ERC-20, и жертвам было трудно вернуть свои средства через юридические меры.
(2) Подпись Фишинг
Технический принцип: Торговля на Блокчейне требует от пользователей создания подписи с помощью приватного ключа. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы: Пользователь получает сообщение, замаскированное под официальное уведомление, и его направляют на вредоносный сайт для подписания "подтверждения транзакции". Эта транзакция может напрямую перевести активы пользователя или предоставить мошенникам контроль над коллекцией NFT пользователя.
Пример: Сообщество известного NFT-проекта подверглось атаке фишинга с использованием подписей, несколько пользователей потеряли NFT на сумму несколько миллионов долларов, подписав поддельные транзакции "получение аирдропа".
(3) Ложные токены и "атака пыли"
Технический принцип: Открытость Блокчейна позволяет любому отправлять токены на любой адрес. Мошенники используют это, отправляя небольшое количество криптовалюты для отслеживания активности кошельков.
Способ работы: Мошенники отправляют небольшое количество токенов на несколько адресов, которые могут иметь вводящие в заблуждение названия. Когда пользователи пытаются их обналичить, злоумышленники могут получить доступ к кошельку или провести более точное мошенничество.
Пример: В сети Эфириума произошла атака пыли «GAS токенов», затронувшая тысячи кошельков. Некоторые пользователи потеряли ETH и другие токены из-за любопытства.
Два, почему эти мошенничества трудно заметить?
Эти мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Основные причины включают:
Техническая сложность: Код смарт-контрактов и запросы на подпись трудно понять для нетехнических пользователей.
Законность на цепочке: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают проблему только позже.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие.
Замаскированная ловкость: Фишинговые сайты могут использовать URL, похожие на официальный домен, и даже повышать доверие с помощью сертификата HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Столкнувшись с этими мошенничествами, сочетающими в себе технические и психологические войны, защита активов требует многоуровневой стратегии:
Проверка и управление полномочиями
Проверка ссылки и источника
Используйте холодные кошельки и мультиподпись
Осторожно обрабатывайте запросы на подпись
Противодействие атакам пыли
Заключение
С помощью реализации вышеуказанных мер безопасности пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем. Однако настоящая безопасность не зависит только от технических средств. Понимание пользователями логики авторизации и осторожное отношение к действиям на Блокчейн являются последней линией защиты от атак.
В мире Блокчейн каждая подпись и каждая транзакция навсегда записываются и не могут быть изменены. Поэтому важно внутренне усвоить осознание безопасности как повседневную привычку, поддерживать баланс между доверием и проверкой, что крайне важно для защиты цифровых активов. С развитием технологий бдительность пользователей и их знания также должны идти в ногу со временем, чтобы безопасно ориентироваться в этом мире цифровых финансов, полном возможностей и рисков.