Novas tendências de fraude em Blockchain: contratos inteligentes tornam-se armas de ataque
As criptomoedas e a tecnologia Blockchain estão a remodelar o panorama financeiro, mas também deram origem a uma nova ameaça. Os golpistas já não dependem apenas de falhas técnicas, mas transformam os próprios protocolos de contratos inteligentes do Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles aproveitam a transparência e a irreversibilidade do Blockchain para converter a confiança do usuário em uma arma para roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques são não apenas furtivos e difíceis de rastrear, mas também mais enganadores devido ao seu disfarce de "legalização".
Um. Como os contratos inteligentes se tornam ferramentas de fraude?
O protocolo Blockchain deve garantir segurança e confiança, mas os golpistas aproveitam suas características, combinando com a negligência dos usuários, para criar diversas formas de ataques secretos. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos:
O padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar um número específico de tokens de sua carteira através da função "Approve". Os golpistas exploram este mecanismo para projetar contratos inteligentes maliciosos.
Funcionamento:
Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a autorizar. À primeira vista, parece que estão autorizando uma quantidade reduzida de tokens, mas na realidade pode ser um limite ilimitado. Assim que a autorização é concluída, os golpistas podem retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Exemplo:
No início de 2023, um site de phishing disfarçado de uma atualização de um DEX levou à perda de milhões de dólares em USDT e ETH por centenas de usuários. Essas transações estavam totalmente em conformidade com o padrão ERC-20, e as vítimas tiveram dificuldade em recuperar os ativos.
(2) assinar phishing
Princípio técnico:
As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas. Os golpistas exploram esse processo para falsificar solicitações de assinatura e roubar ativos.
Funcionamento:
Os usuários recebem mensagens disfarçadas de notificações oficiais, sendo direcionados a sites maliciosos para assinar "verificação de transação". Esta transação pode, na realidade, transferir diretamente os ativos dos usuários ou autorizar os golpistas a controlarem os NFTs dos usuários.
Exemplo:
Uma comunidade de um conhecido projeto NFT sofreu um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas.
(3) Tokens falsos e "ataques de poeira"
Princípio técnico:
Os golpistas aproveitam a transparência da Blockchain para enviar pequenas quantidades de criptomoeda para vários endereços de carteira, a fim de rastrear as atividades das carteiras e associar informações pessoais.
Funcionamento:
Os golpistas distribuem tokens de "poeira" na forma de airdrops, induzindo os usuários a visitar um determinado site para consultar detalhes. Ao analisar as transações subsequentes dos usuários, eles identificam endereços de carteiras ativas, implementando fraudes mais precisas.
Caso:
No network Ethereum houve ataques de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários, por curiosidade interativa, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes são bem-sucedidas principalmente porque estão escondidas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. As principais razões incluem:
Complexidade técnica: o código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas na Blockchain, parecendo transparentes, mas as vítimas muitas vezes percebem as consequências da autorização ou assinatura apenas depois.
Engenharia social: os golpistas exploram as fraquezas humanas, como ganância, medo ou confiança.
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Perante estes golpes que combinam tecnologia e guerra psicológica, proteger os ativos requer uma estratégia em múltiplos níveis:
Verifique e gerencie permissões de autorização
Utilize a ferramenta de verificação de autorizações do explorador de Blockchain para verificar regularmente os registros de autorização da carteira.
Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que a origem do DApp é confiável.
Verifique o link e a fonte
Insira manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
Certifique-se de que o site utiliza o domínio e o certificado SSL corretos.
Esteja atento a erros de ortografia ou caracteres extras no domínio.
Usar carteira fria e múltiplas assinaturas
Armazene a maior parte dos ativos em carteiras de hardware, conectando à rede apenas quando necessário.
Para ativos de grande valor, utilize ferramentas de múltiplas assinaturas, exigindo a confirmação da transação por várias chaves.
Tenha cuidado ao lidar com pedidos de assinatura
Antes de assinar, leia atentamente os detalhes da transação na janela pop-up da carteira.
Use a funcionalidade de decodificação do navegador de Blockchain para analisar o conteúdo da assinatura.
Criar carteiras independentes para operações de alto risco, armazenando uma quantidade reduzida de ativos.
Em resposta a ataques de poeira
Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
Confirmar a origem do token através do Blockchain Explorer, estar atento ao envio em massa.
Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.
Conclusão
Ao implementar as medidas de segurança acima mencionadas, os usuários podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados. No entanto, a verdadeira segurança não depende apenas da proteção tecnológica, mas também da compreensão do usuário sobre a lógica de autorização e da cautela em relação ao comportamento na blockchain. Cada análise de dados antes da assinatura, cada revisão de permissões após a autorização, é um juramento à sua própria soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais importante sempre estará em: internalizar a consciência de segurança como um hábito, mantendo um equilíbrio entre confiança e verificação. No mundo Blockchain, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Portanto, é crucial cultivar a consciência de segurança e hábitos de operação cautelosos.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
8
Repostar
Compartilhar
Comentário
0/400
GmGmNoGn
· 08-15 16:13
Os vazamentos de contratos devem ser prevenidos com antecedência.
Ver originalResponder0
GateUser-a180694b
· 08-15 08:02
Armadilha atualizada e tornada complexa
Ver originalResponder0
BlockDetective
· 08-12 22:49
defesa ineficaz contra a armadilha
Ver originalResponder0
SchroedingersFrontrun
· 08-12 18:17
A autorização pode ser uma grande cilada, rapazes.
Ver originalResponder0
RugPullAlarm
· 08-12 18:13
A autorização deve ser utilizada com cautela
Ver originalResponder0
DegenWhisperer
· 08-12 18:06
A armadilha está enterrada no contrato.
Ver originalResponder0
DAOplomacy
· 08-12 17:57
É apenas uma armadilha renovada.
Ver originalResponder0
liquiditea_sipper
· 08-12 17:52
O progresso tecnológico tem vantagens e desvantagens.
Novas tendências de fraudes com contratos inteligentes: armadilhas de segurança em Blockchain e estratégias de prevenção
Novas tendências de fraude em Blockchain: contratos inteligentes tornam-se armas de ataque
As criptomoedas e a tecnologia Blockchain estão a remodelar o panorama financeiro, mas também deram origem a uma nova ameaça. Os golpistas já não dependem apenas de falhas técnicas, mas transformam os próprios protocolos de contratos inteligentes do Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles aproveitam a transparência e a irreversibilidade do Blockchain para converter a confiança do usuário em uma arma para roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques são não apenas furtivos e difíceis de rastrear, mas também mais enganadores devido ao seu disfarce de "legalização".
Um. Como os contratos inteligentes se tornam ferramentas de fraude?
O protocolo Blockchain deve garantir segurança e confiança, mas os golpistas aproveitam suas características, combinando com a negligência dos usuários, para criar diversas formas de ataques secretos. Abaixo estão algumas técnicas comuns e seus detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos: O padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar um número específico de tokens de sua carteira através da função "Approve". Os golpistas exploram este mecanismo para projetar contratos inteligentes maliciosos.
Funcionamento: Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a autorizar. À primeira vista, parece que estão autorizando uma quantidade reduzida de tokens, mas na realidade pode ser um limite ilimitado. Assim que a autorização é concluída, os golpistas podem retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Exemplo: No início de 2023, um site de phishing disfarçado de uma atualização de um DEX levou à perda de milhões de dólares em USDT e ETH por centenas de usuários. Essas transações estavam totalmente em conformidade com o padrão ERC-20, e as vítimas tiveram dificuldade em recuperar os ativos.
(2) assinar phishing
Princípio técnico: As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas. Os golpistas exploram esse processo para falsificar solicitações de assinatura e roubar ativos.
Funcionamento: Os usuários recebem mensagens disfarçadas de notificações oficiais, sendo direcionados a sites maliciosos para assinar "verificação de transação". Esta transação pode, na realidade, transferir diretamente os ativos dos usuários ou autorizar os golpistas a controlarem os NFTs dos usuários.
Exemplo: Uma comunidade de um conhecido projeto NFT sofreu um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas.
(3) Tokens falsos e "ataques de poeira"
Princípio técnico: Os golpistas aproveitam a transparência da Blockchain para enviar pequenas quantidades de criptomoeda para vários endereços de carteira, a fim de rastrear as atividades das carteiras e associar informações pessoais.
Funcionamento: Os golpistas distribuem tokens de "poeira" na forma de airdrops, induzindo os usuários a visitar um determinado site para consultar detalhes. Ao analisar as transações subsequentes dos usuários, eles identificam endereços de carteiras ativas, implementando fraudes mais precisas.
Caso: No network Ethereum houve ataques de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários, por curiosidade interativa, perderam ETH e tokens ERC-20.
Dois, por que esses golpes são difíceis de detectar?
Essas fraudes são bem-sucedidas principalmente porque estão escondidas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. As principais razões incluem:
Complexidade técnica: o código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas na Blockchain, parecendo transparentes, mas as vítimas muitas vezes percebem as consequências da autorização ou assinatura apenas depois.
Engenharia social: os golpistas exploram as fraquezas humanas, como ganância, medo ou confiança.
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Perante estes golpes que combinam tecnologia e guerra psicológica, proteger os ativos requer uma estratégia em múltiplos níveis:
Verifique e gerencie permissões de autorização
Verifique o link e a fonte
Usar carteira fria e múltiplas assinaturas
Tenha cuidado ao lidar com pedidos de assinatura
Em resposta a ataques de poeira
Conclusão
Ao implementar as medidas de segurança acima mencionadas, os usuários podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude avançados. No entanto, a verdadeira segurança não depende apenas da proteção tecnológica, mas também da compreensão do usuário sobre a lógica de autorização e da cautela em relação ao comportamento na blockchain. Cada análise de dados antes da assinatura, cada revisão de permissões após a autorização, é um juramento à sua própria soberania digital.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais importante sempre estará em: internalizar a consciência de segurança como um hábito, mantendo um equilíbrio entre confiança e verificação. No mundo Blockchain, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Portanto, é crucial cultivar a consciência de segurança e hábitos de operação cautelosos.