Sécurité dans le monde de la Blockchain : Analyse des méthodes d'escroquerie par smart contracts
Les cryptomonnaies et la technologie Blockchain transforment le secteur financier, mais cette révolution a également entraîné de nouveaux défis en matière de sécurité. Les fraudeurs ne se limitent plus à exploiter des vulnérabilités techniques, mais transforment les protocoles de smart contracts de la Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en moyens de voler des actifs. Des smart contracts falsifiés à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des exemples pour révéler comment les fraudeurs transforment les protocoles en vecteurs d'attaque et fournira une solution complète allant de la protection technique à la prévention comportementale, aidant ainsi les utilisateurs à avancer en toute sécurité dans un monde décentralisé.
I. Comment un protocole peut-il devenir un outil de fraude ?
Les protocoles de Blockchain devraient garantir la sécurité et la confiance, mais les escrocs exploitent leurs caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques et leurs détails techniques :
(1) Autorisation de smart contracts malveillants
Principe technique :
Sur les blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser les smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, les escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Fonctionnement :
Les escrocs créent un DApp déguisé en projet légitime, généralement promu par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser une petite quantité de tokens, mais en réalité pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation complétée, l'adresse du contrat des escrocs obtient les droits et peut à tout moment appeler la fonction "TransferFrom" pour retirer tous les tokens correspondants du portefeuille de l'utilisateur.
Exemple :
Début 2023, un site de phishing déguisé en "mise à niveau de Uniswap V3" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes ont du mal à récupérer leur argent par des moyens juridiques, car l'autorisation était signée volontairement.
(2) Phishing par signature
Principe technique :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site Web malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'escroc ; ou bien être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection de NFT de l'utilisateur.
Exemple :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'acquisition d'airdrop" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Jetons frauduleux et "attaque de poussière"
Principes techniques :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les fraudeurs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre l'activité des portefeuilles et de les associer à des individus ou des entreprises qui possèdent ces portefeuilles.
Mode de fonctionnement :
Les attaquants envoient des "tokens de poussière" en petites quantités à de nombreuses adresses, ces tokens pouvant porter des noms ou des métadonnées attrayants. Les utilisateurs peuvent être curieux de rechercher ou d'essayer d'échanger ces tokens, exposant ainsi plus d'informations sur leur portefeuille. Les attaquants, en analysant les transactions ultérieures, identifient les adresses de portefeuille actives des utilisateurs et mettent en œuvre des escroqueries plus ciblées.
Cas d'utilisation :
Une attaque par "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 en raison de leur curiosité et de leur interaction.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Complexité technique : Le code des smart contracts et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : Toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes prennent souvent conscience des conséquences de l'autorisation ou de la signature seulement après coup.
Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Déguisement élaboré : Les sites de phishing peuvent utiliser des URL similaires aux noms de domaine officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaies ?
Face à ces escroqueries qui mêlent techniques et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux :
Vérifiez et gérez les autorisations.
Utilisez l'outil de vérification des autorisations pour vérifier régulièrement les enregistrements d'autorisation de votre portefeuille.
Révoquez les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Vérifiez le lien et la source
Saisissez manuellement l'URL officielle pour éviter de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et le certificat SSL.
Soyez vigilant aux erreurs de frappe ou aux caractères superflus dans le nom de domaine.
Utiliser un portefeuille froid et des signatures multiples
Stockez la plupart de vos actifs dans un portefeuille matériel et ne connectez à Internet que lorsque cela est nécessaire.
Pour les actifs de grande valeur, utilisez des outils de multi-signature, exigeant la confirmation de la transaction par plusieurs clés.
Traitez les demandes de signature avec prudence
Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utilisez la fonction de décodage du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Créer un portefeuille indépendant pour les opérations à haut risque, en y déposant une petite quantité d'actifs.
faire face à une attaque de poussière
Après avoir reçu des jetons inconnus, n'interagissez pas. Marquez-les comme "spam" ou cachez-les.
Confirmer la source des tokens via le Blockchain explorer, rester vigilant face aux envois en masse.
Évitez de rendre votre adresse de portefeuille publique ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut réduire considérablement le risque de devenir victime d'un plan de fraude avancé. Cependant, la véritable sécurité ne repose pas seulement sur la protection technologique, mais nécessite également une compréhension par l'utilisateur de la logique d'autorisation et une attitude prudente envers les comportements sur la chaîne. L'analyse des données avant chaque signature et la révision des autorisations après chaque autorisation sont des éléments de la protection de sa propre souveraineté numérique.
Dans le monde du Blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente et ne peuvent pas être modifiés. Par conséquent, intérioriser la conscience de la sécurité comme une habitude et maintenir un équilibre entre confiance et vérification est la clé pour protéger les actifs numériques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
18 J'aime
Récompense
18
2
Reposter
Partager
Commentaire
0/400
DeFi_Dad_Jokes
· 08-15 07:40
Il est important de prêter attention aux risques du protocole.
Nouvelles méthodes de fraude par smart contracts : le protocole devient un outil d'attaque. Comment se protéger ?
Sécurité dans le monde de la Blockchain : Analyse des méthodes d'escroquerie par smart contracts
Les cryptomonnaies et la technologie Blockchain transforment le secteur financier, mais cette révolution a également entraîné de nouveaux défis en matière de sécurité. Les fraudeurs ne se limitent plus à exploiter des vulnérabilités techniques, mais transforment les protocoles de smart contracts de la Blockchain eux-mêmes en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en moyens de voler des actifs. Des smart contracts falsifiés à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des exemples pour révéler comment les fraudeurs transforment les protocoles en vecteurs d'attaque et fournira une solution complète allant de la protection technique à la prévention comportementale, aidant ainsi les utilisateurs à avancer en toute sécurité dans un monde décentralisé.
I. Comment un protocole peut-il devenir un outil de fraude ?
Les protocoles de Blockchain devraient garantir la sécurité et la confiance, mais les escrocs exploitent leurs caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques et leurs détails techniques :
(1) Autorisation de smart contracts malveillants
Principe technique :
Sur les blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser les smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, les escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Fonctionnement :
Les escrocs créent un DApp déguisé en projet légitime, généralement promu par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser une petite quantité de tokens, mais en réalité pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation complétée, l'adresse du contrat des escrocs obtient les droits et peut à tout moment appeler la fonction "TransferFrom" pour retirer tous les tokens correspondants du portefeuille de l'utilisateur.
Exemple :
Début 2023, un site de phishing déguisé en "mise à niveau de Uniswap V3" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes ont du mal à récupérer leur argent par des moyens juridiques, car l'autorisation était signée volontairement.
(2) Phishing par signature
Principe technique :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site Web malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'escroc ; ou bien être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection de NFT de l'utilisateur.
Exemple :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'acquisition d'airdrop" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Jetons frauduleux et "attaque de poussière"
Principes techniques :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les fraudeurs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre l'activité des portefeuilles et de les associer à des individus ou des entreprises qui possèdent ces portefeuilles.
Mode de fonctionnement :
Les attaquants envoient des "tokens de poussière" en petites quantités à de nombreuses adresses, ces tokens pouvant porter des noms ou des métadonnées attrayants. Les utilisateurs peuvent être curieux de rechercher ou d'essayer d'échanger ces tokens, exposant ainsi plus d'informations sur leur portefeuille. Les attaquants, en analysant les transactions ultérieures, identifient les adresses de portefeuille actives des utilisateurs et mettent en œuvre des escroqueries plus ciblées.
Cas d'utilisation :
Une attaque par "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 en raison de leur curiosité et de leur interaction.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Les principales raisons incluent :
Trois, comment protéger votre portefeuille de cryptomonnaies ?
Face à ces escroqueries qui mêlent techniques et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux :
Vérifiez et gérez les autorisations.
Vérifiez le lien et la source
Utiliser un portefeuille froid et des signatures multiples
Traitez les demandes de signature avec prudence
faire face à une attaque de poussière
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut réduire considérablement le risque de devenir victime d'un plan de fraude avancé. Cependant, la véritable sécurité ne repose pas seulement sur la protection technologique, mais nécessite également une compréhension par l'utilisateur de la logique d'autorisation et une attitude prudente envers les comportements sur la chaîne. L'analyse des données avant chaque signature et la révision des autorisations après chaque autorisation sont des éléments de la protection de sa propre souveraineté numérique.
Dans le monde du Blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente et ne peuvent pas être modifiés. Par conséquent, intérioriser la conscience de la sécurité comme une habitude et maintenir un équilibre entre confiance et vérification est la clé pour protéger les actifs numériques.