Novas ameaças no mundo do Blockchain: a combinação de vulnerabilidades de protocolo e engenharia social
As criptomoedas e a tecnologia Blockchain estão a redefinir a liberdade financeira, mas ao mesmo tempo trazem novos desafios de segurança. Os golpistas não se aproveitam apenas de falhas tecnológicas, mas transformam o próprio protocolo de contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles utilizam a transparência e a irreversibilidade da Blockchain, convertendo a confiança dos usuários em ferramentas para roubar ativos. Desde contratos inteligentes falsificados até a manipulação de transações entre cadeias, esses ataques não apenas são escondidos e difíceis de detectar, mas também possuem uma maior capacidade de engano devido à sua aparência "legalizada".
Um, como o protocolo pode ser transformado em uma ferramenta de fraude?
O objetivo do protocolo Blockchain é garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar diversos métodos de ataque encobertos.
(1) autorização de contrato inteligente malicioso
Princípios técnicos:
O padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por golpistas.
Forma de operação:
Os golpistas criam DApps disfarçados como projetos legítimos, induzindo os usuários a conceder autorização. À primeira vista, parece que estão autorizando uma pequena quantidade de tokens, mas na realidade pode ser um limite ilimitado. Assim que a autorização é concluída, os golpistas podem retirar a qualquer momento todos os tokens correspondentes da carteira do usuário.
Exemplo:
No início de 2023, um site de phishing disfarçado de "atualização de某DEX" causou perdas de milhões de dólares em USDT e ETH para centenas de usuários. Essas transações estavam totalmente em conformidade com o padrão ERC-20, tornando difícil para as vítimas recuperarem os fundos através de meios legais.
(2) assinatura de phishing
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas. Os golpistas exploram esse processo para falsificar solicitações de assinatura e roubar ativos.
Funcionamento:
Os usuários recebem mensagens disfarçadas de notificações oficiais, sendo direcionados para sites maliciosos para assinar "verificar transação". Esta transação pode transferir diretamente os ativos dos usuários ou autorizar os golpistas a controlar a coleção de NFTs dos usuários.
Exemplo:
Uma comunidade de um conhecido projeto NFT sofreu um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" fraudulentas.
(3) Tokens falsos e "ataques de poeira"
Princípios Técnicos:
A publicidade da Blockchain permite que qualquer pessoa envie tokens para qualquer endereço. Os golpistas exploram isso, rastreando a atividade de carteiras ao enviar uma pequena quantidade de criptomoeda.
Modo de operação:
Os golpistas enviam pequenas quantidades de tokens para vários endereços, que podem ter nomes enganosos. Quando os usuários tentam resgatar, os atacantes podem obter acesso à carteira ou realizar fraudes mais precisas.
Exemplo:
No network Ethereum, houve um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários perderam ETH e outros tokens por curiosidade e interação.
Dois, por que esses golpes são difíceis de perceber?
Essas fraudes têm sucesso em grande parte porque estão ocultas nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua verdadeira natureza maliciosa. As principais razões incluem:
Complexidade técnica: o código do contrato inteligente e os pedidos de assinatura são difíceis de entender para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas no Blockchain, parecem transparentes, mas as vítimas muitas vezes percebem o problema apenas depois.
Engenharia social: os golpistas exploram fraquezas humanas, como ganância, medo ou confiança.
Camuflagem elaborada: Os sites de phishing podem usar URLs semelhantes ao domínio oficial, e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante desses golpes que coexistem com aspectos técnicos e psicológicos, proteger os ativos requer uma estratégia em múltiplas camadas:
Verificar e gerenciar permissões de autorização
Utilize a ferramenta de verificação de autorização para revisar regularmente os registros de autorização da carteira.
Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Verificar links e fontes
Insira manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
Certifique-se de que o site está a usar o domínio e o certificado SSL corretos.
Usar carteira fria e assinatura múltipla
Armazenar a maior parte dos ativos em uma carteira de hardware.
Usar ferramentas de múltiplas assinaturas para grandes ativos, exigindo a confirmação de transações por várias chaves.
Tratar os pedidos de assinatura com cautela
Leia atentamente os detalhes da transação na janela do carteira.
Usar as funcionalidades do Blockchain Explorer para analisar o conteúdo da assinatura.
Responder a ataques de poeira
Após receber tokens desconhecidos, não interaja.
Confirmar a origem do token através do Blockchain Explorer.
Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima, os usuários podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados. No entanto, a verdadeira segurança não depende apenas de meios técnicos. A compreensão do usuário sobre a lógica de autorização e uma atitude cautelosa em relação ao comportamento na Blockchain são a última linha de defesa contra ataques.
No mundo da Blockchain, cada assinatura e cada transação são permanentemente registradas e não podem ser alteradas. Portanto, internalizar a consciência de segurança como um hábito diário e manter um equilíbrio entre confiança e verificação é crucial para proteger os ativos digitais. Com o constante desenvolvimento da tecnologia, a vigilância e o conhecimento dos usuários também precisam evoluir, para que possam navegar com segurança neste mundo financeiro digital repleto de oportunidades e riscos.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Curtidas
Recompensa
14
8
Compartilhar
Comentário
0/400
RooftopReserver
· 13h atrás
Tenham cuidado, devagar ao ver velhos conhecidos no telhado.
Ver originalResponder0
MissingSats
· 07-03 08:20
A colheita fiscal do QI recomeçou
Ver originalResponder0
GateUser-bd883c58
· 07-02 05:49
idiotas novamente vão sofrer
Ver originalResponder0
MetaReckt
· 07-02 05:48
Mais uma armadilha de contratos inteligentes, quem já perdeu que passe.
Ver originalResponder0
SmartContractRebel
· 07-02 05:43
Com essa segurança, ainda se atreve a falar de web3?
Ver originalResponder0
ClassicDumpster
· 07-02 05:42
Irmãos da cadeia, fiquem atentos à autorização.
Ver originalResponder0
SellTheBounce
· 07-02 05:41
idiotas永远是idiotas fazer as pessoas de parvas不完的
Ver originalResponder0
BearMarketSurvivor
· 07-02 05:39
Esta estratégia de fazer as pessoas de parvas é um pouco avançada.
Blockchain lavar os olhos novo tendência: ameaça combinando protocolo vulnerabilidades e técnicas de engenharia social
Novas ameaças no mundo do Blockchain: a combinação de vulnerabilidades de protocolo e engenharia social
As criptomoedas e a tecnologia Blockchain estão a redefinir a liberdade financeira, mas ao mesmo tempo trazem novos desafios de segurança. Os golpistas não se aproveitam apenas de falhas tecnológicas, mas transformam o próprio protocolo de contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles utilizam a transparência e a irreversibilidade da Blockchain, convertendo a confiança dos usuários em ferramentas para roubar ativos. Desde contratos inteligentes falsificados até a manipulação de transações entre cadeias, esses ataques não apenas são escondidos e difíceis de detectar, mas também possuem uma maior capacidade de engano devido à sua aparência "legalizada".
Um, como o protocolo pode ser transformado em uma ferramenta de fraude?
O objetivo do protocolo Blockchain é garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar diversos métodos de ataque encobertos.
(1) autorização de contrato inteligente malicioso
Princípios técnicos: O padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por golpistas.
Forma de operação: Os golpistas criam DApps disfarçados como projetos legítimos, induzindo os usuários a conceder autorização. À primeira vista, parece que estão autorizando uma pequena quantidade de tokens, mas na realidade pode ser um limite ilimitado. Assim que a autorização é concluída, os golpistas podem retirar a qualquer momento todos os tokens correspondentes da carteira do usuário.
Exemplo: No início de 2023, um site de phishing disfarçado de "atualização de某DEX" causou perdas de milhões de dólares em USDT e ETH para centenas de usuários. Essas transações estavam totalmente em conformidade com o padrão ERC-20, tornando difícil para as vítimas recuperarem os fundos através de meios legais.
(2) assinatura de phishing
Princípios técnicos: As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas. Os golpistas exploram esse processo para falsificar solicitações de assinatura e roubar ativos.
Funcionamento: Os usuários recebem mensagens disfarçadas de notificações oficiais, sendo direcionados para sites maliciosos para assinar "verificar transação". Esta transação pode transferir diretamente os ativos dos usuários ou autorizar os golpistas a controlar a coleção de NFTs dos usuários.
Exemplo: Uma comunidade de um conhecido projeto NFT sofreu um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" fraudulentas.
(3) Tokens falsos e "ataques de poeira"
Princípios Técnicos: A publicidade da Blockchain permite que qualquer pessoa envie tokens para qualquer endereço. Os golpistas exploram isso, rastreando a atividade de carteiras ao enviar uma pequena quantidade de criptomoeda.
Modo de operação: Os golpistas enviam pequenas quantidades de tokens para vários endereços, que podem ter nomes enganosos. Quando os usuários tentam resgatar, os atacantes podem obter acesso à carteira ou realizar fraudes mais precisas.
Exemplo: No network Ethereum, houve um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários perderam ETH e outros tokens por curiosidade e interação.
Dois, por que esses golpes são difíceis de perceber?
Essas fraudes têm sucesso em grande parte porque estão ocultas nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua verdadeira natureza maliciosa. As principais razões incluem:
Complexidade técnica: o código do contrato inteligente e os pedidos de assinatura são difíceis de entender para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas no Blockchain, parecem transparentes, mas as vítimas muitas vezes percebem o problema apenas depois.
Engenharia social: os golpistas exploram fraquezas humanas, como ganância, medo ou confiança.
Camuflagem elaborada: Os sites de phishing podem usar URLs semelhantes ao domínio oficial, e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante desses golpes que coexistem com aspectos técnicos e psicológicos, proteger os ativos requer uma estratégia em múltiplas camadas:
Verificar e gerenciar permissões de autorização
Verificar links e fontes
Usar carteira fria e assinatura múltipla
Tratar os pedidos de assinatura com cautela
Responder a ataques de poeira
Conclusão
Ao implementar as medidas de segurança acima, os usuários podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados. No entanto, a verdadeira segurança não depende apenas de meios técnicos. A compreensão do usuário sobre a lógica de autorização e uma atitude cautelosa em relação ao comportamento na Blockchain são a última linha de defesa contra ataques.
No mundo da Blockchain, cada assinatura e cada transação são permanentemente registradas e não podem ser alteradas. Portanto, internalizar a consciência de segurança como um hábito diário e manter um equilíbrio entre confiança e verificação é crucial para proteger os ativos digitais. Com o constante desenvolvimento da tecnologia, a vigilância e o conhecimento dos usuários também precisam evoluir, para que possam navegar com segurança neste mundo financeiro digital repleto de oportunidades e riscos.