Нові загрози у світі Блокчейн: поєднання вразливостей протоколу та соціальної інженерії
Криптовалюта та технології блокчейну переосмислюють фінансову свободу, але водночас приносять нові виклики безпеки. Шахраї більше не просто використовують технічні вразливості, а перетворюють самі протоколи розумних контрактів блокчейну на інструменти атаки. Завдяки ретельно спроектованим соціально-інженерним пасткам, вони використовують прозорість та незворотність блокчейну, перетворюючи довіру користувачів на інструмент для крадіжки активів. Від підроблених розумних контрактів до маніпуляцій з міжланцюговими транзакціями, ці атаки не лише приховані та важко відстежуються, але й мають вищу обманливість через свій "легітимний" вигляд.
Один. Як протокол перетворюється на інструмент шахрайства?
Початкова мета Блокчейн-протоколу полягає в забезпеченні безпеки та довіри, але шахраї використовують його особливості, поєднуючи з недбалістю користувачів, створюючи різні приховані способи атаки.
(1) Зловмисний розумний контракт авторизація
Технічний принцип:
Стандарт токена ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону на вилучення визначеної кількості токенів з їхнього гаманця. Ця функція широко використовується в протоколах DeFi, але також використовується шахраями.
Спосіб роботи:
Шахраї створюють DApp, що маскується під легітимний проект, щоб спонукати користувачів надати авторизацію. На перший погляд, це авторизація невеликої кількості токенів, але насправді це може бути безмежний ліміт. Як тільки авторизація завершена, шахраї можуть в будь-який момент витягнути всі відповідні токени з гаманця користувача.
Приклад:
На початку 2023 року фішинговий сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів на мільйони доларів у USDT та ETH. Ці транзакції повністю відповідали стандарту ERC-20, і жертвам було важко повернути свої кошти через юридичні засоби.
(2) підпис риболовля
Технічний принцип:
Блокчейн-транзакції потребують від користувачів генерації підпису за допомогою приватного ключа. Шахраї використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб роботи:
Користувач отримує повідомлення, що маскується під офіційне повідомлення, та його направляють на шкідливий веб-сайт для підписання "перевірки транзакції". Ця транзакція може безпосередньо перевести активи користувача або надати шахраям контроль над колекцією NFT користувача.
Приклад:
Відомій спільноті проекту NFT була завдана атака фішингу підписів, внаслідок чого кілька користувачів втратили NFT на кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу".
(3) Фальшиві токени та "атака пилом"
Технічні принципи:
Блокчейн має відкритість, що дозволяє будь-кому надсилати токени на будь-яку адресу. Шахраї використовують цю можливість, відправляючи невелику кількість криптовалюти для відстеження активності гаманців.
Спосіб роботи:
Шахраї надсилають невелику кількість токенів на кілька адрес, ці токени можуть мати спокусливі назви. Коли користувачі намагаються їх обміняти, зловмисники можуть отримати доступ до гаманця або здійснити більш точний шахрайство.
Приклад:
На мережі Ефіру відбулася атака "пилових токенів GAS", яка вплинула на тисячі гаманців. Деякі користувачі через цікавість втратили ETH та інші токени.
Два, чому ці шахрайства важко виявити?
Ці шахрайства досягають успіху, в значній мірі завдяки тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню злочинну сутність. Основні причини включають:
Технічна складність: Код смарт-контракту та запити на підпис складні для розуміння нетехнічними користувачами.
Легітимність на ланцюзі: всі транзакції записані в Блокчейн, здається, що це прозоро, але жертви часто усвідомлюють проблему лише після того, як це сталося.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Замаскований майстерно: Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть через HTTPS-сертифікати для підвищення довіри.
Три, як захистити ваш гаманець для криптовалюти?
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії:
Перевірте та керуйте правами доступу
Використовуйте інструмент перевірки авторизації для регулярного перегляду записів авторизації гаманця.
Скасувати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
Перевірка посилання та джерела
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Переконайтеся, що веб-сайт використовує правильне доменне ім'я та SSL-сертифікат.
Використання холодного гаманця та мультипідпису
Зберігайте більшість активів у апаратних гаманцях.
Використовуйте інструменти багатопідпису для великих активів, що вимагають підтвердження транзакції кількома ключами.
Обережно обробляйте запити на підпис
Уважно прочитайте деталі транзакції у спливаючому вікні гаманця.
Використання функцій Блокчейн браузера для解析内容 підпису.
Реакція на атаки пилу
Після отримання невідомих токенів не взаємодійте.
Підтвердьте джерело токена через Блокчейн браузер.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, користувачі можуть істотно знизити ризик стати жертвою складних шахрайських схем. Проте справжня безпека не тільки покладається на технологічні засоби. Розуміння користувачами логіки авторизації та обережне ставлення до поведінки в блокчейні є останньою лінією захисту від атак.
У світі Блокчейн кожен підпис і кожна транзакція постійно записуються і не можуть бути змінені. Тому важливо інтегрувати свідомість безпеки в повсякденні звички, зберігаючи баланс між довірою та перевіркою, що має вирішальне значення для захисту цифрових активів. З розвитком технологій пильність користувачів і їхні знання також повинні йти в ногу з часом, щоб безпечно орієнтуватися в цьому світі цифрових фінансів, сповненому можливостей і ризиків.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 лайків
Нагородити
14
8
Поділіться
Прокоментувати
0/400
RooftopReserver
· 14год тому
Уважно, друзі, повільно підходьте, бачите, старі знайомі піднялися на дах.
Переглянути оригіналвідповісти на0
MissingSats
· 07-03 08:20
обдурювати людей, як лохів
Переглянути оригіналвідповісти на0
GateUser-bd883c58
· 07-02 05:49
невдахи знову постраждають
Переглянути оригіналвідповісти на0
MetaReckt
· 07-02 05:48
Знову яма смартконтрактів, хто постраждав, проходьте повз.
Переглянути оригіналвідповісти на0
SmartContractRebel
· 07-02 05:43
Ось така безпека, а вони ще кажуть про web3?
Переглянути оригіналвідповісти на0
ClassicDumpster
· 07-02 05:42
Ланцюгові браття, стежте за авторизацією!
Переглянути оригіналвідповісти на0
SellTheBounce
· 07-02 05:41
невдахи завжди залишаються невдахами, обдурювати людей, як лохів, не закінчується.
Нові тренди шахрайства в Блокчейні: загроза, що виникає внаслідок поєднання вразливостей протоколу та соціальної інженерії
Нові загрози у світі Блокчейн: поєднання вразливостей протоколу та соціальної інженерії
Криптовалюта та технології блокчейну переосмислюють фінансову свободу, але водночас приносять нові виклики безпеки. Шахраї більше не просто використовують технічні вразливості, а перетворюють самі протоколи розумних контрактів блокчейну на інструменти атаки. Завдяки ретельно спроектованим соціально-інженерним пасткам, вони використовують прозорість та незворотність блокчейну, перетворюючи довіру користувачів на інструмент для крадіжки активів. Від підроблених розумних контрактів до маніпуляцій з міжланцюговими транзакціями, ці атаки не лише приховані та важко відстежуються, але й мають вищу обманливість через свій "легітимний" вигляд.
Один. Як протокол перетворюється на інструмент шахрайства?
Початкова мета Блокчейн-протоколу полягає в забезпеченні безпеки та довіри, але шахраї використовують його особливості, поєднуючи з недбалістю користувачів, створюючи різні приховані способи атаки.
(1) Зловмисний розумний контракт авторизація
Технічний принцип: Стандарт токена ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону на вилучення визначеної кількості токенів з їхнього гаманця. Ця функція широко використовується в протоколах DeFi, але також використовується шахраями.
Спосіб роботи: Шахраї створюють DApp, що маскується під легітимний проект, щоб спонукати користувачів надати авторизацію. На перший погляд, це авторизація невеликої кількості токенів, але насправді це може бути безмежний ліміт. Як тільки авторизація завершена, шахраї можуть в будь-який момент витягнути всі відповідні токени з гаманця користувача.
Приклад: На початку 2023 року фішинговий сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів на мільйони доларів у USDT та ETH. Ці транзакції повністю відповідали стандарту ERC-20, і жертвам було важко повернути свої кошти через юридичні засоби.
(2) підпис риболовля
Технічний принцип: Блокчейн-транзакції потребують від користувачів генерації підпису за допомогою приватного ключа. Шахраї використовують цей процес для підробки запитів на підпис і крадіжки активів.
Спосіб роботи: Користувач отримує повідомлення, що маскується під офіційне повідомлення, та його направляють на шкідливий веб-сайт для підписання "перевірки транзакції". Ця транзакція може безпосередньо перевести активи користувача або надати шахраям контроль над колекцією NFT користувача.
Приклад: Відомій спільноті проекту NFT була завдана атака фішингу підписів, внаслідок чого кілька користувачів втратили NFT на кілька мільйонів доларів через підписання підроблених угод "отримання аеродропу".
(3) Фальшиві токени та "атака пилом"
Технічні принципи: Блокчейн має відкритість, що дозволяє будь-кому надсилати токени на будь-яку адресу. Шахраї використовують цю можливість, відправляючи невелику кількість криптовалюти для відстеження активності гаманців.
Спосіб роботи: Шахраї надсилають невелику кількість токенів на кілька адрес, ці токени можуть мати спокусливі назви. Коли користувачі намагаються їх обміняти, зловмисники можуть отримати доступ до гаманця або здійснити більш точний шахрайство.
Приклад: На мережі Ефіру відбулася атака "пилових токенів GAS", яка вплинула на тисячі гаманців. Деякі користувачі через цікавість втратили ETH та інші токени.
Два, чому ці шахрайства важко виявити?
Ці шахрайства досягають успіху, в значній мірі завдяки тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їхню злочинну сутність. Основні причини включають:
Технічна складність: Код смарт-контракту та запити на підпис складні для розуміння нетехнічними користувачами.
Легітимність на ланцюзі: всі транзакції записані в Блокчейн, здається, що це прозоро, але жертви часто усвідомлюють проблему лише після того, як це сталося.
Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.
Замаскований майстерно: Фішингові сайти можуть використовувати URL, схожі на офіційні домени, навіть через HTTPS-сертифікати для підвищення довіри.
Три, як захистити ваш гаманець для криптовалюти?
Стикаючись із цими шахрайствами, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії:
Перевірте та керуйте правами доступу
Перевірка посилання та джерела
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис
Реакція на атаки пилу
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, користувачі можуть істотно знизити ризик стати жертвою складних шахрайських схем. Проте справжня безпека не тільки покладається на технологічні засоби. Розуміння користувачами логіки авторизації та обережне ставлення до поведінки в блокчейні є останньою лінією захисту від атак.
У світі Блокчейн кожен підпис і кожна транзакція постійно записуються і не можуть бути змінені. Тому важливо інтегрувати свідомість безпеки в повсякденні звички, зберігаючи баланс між довірою та перевіркою, що має вирішальне значення для захисту цифрових активів. З розвитком технологій пильність користувачів і їхні знання також повинні йти в ногу з часом, щоб безпечно орієнтуватися в цьому світі цифрових фінансів, сповненому можливостей і ризиків.