Segurança no mundo Blockchain: Análise das técnicas de fraude em contratos inteligentes
As criptomoedas e a tecnologia Blockchain estão a remodelar o setor financeiro, mas esta revolução também trouxe novos desafios de segurança. Os golpistas não se limitam mais a explorar falhas técnicas, mas transformam os próprios protocolos de contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente projetadas, eles utilizam a transparência e a irreversibilidade da Blockchain para transformar a confiança dos usuários em meios de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações cross-chain, esses ataques não são apenas furtivos e difíceis de detectar, mas também são mais enganosos devido à sua aparência "legitimada". Este artigo irá analisar, através de exemplos, como os golpistas transformam os protocolos em veículos de ataque e fornecer uma solução abrangente que vai desde a proteção técnica até a prevenção comportamental, ajudando os usuários a avançar com segurança no mundo descentralizado.
I. Como os protocolos se tornam ferramentas de fraude?
Os protocolos de Blockchain devem garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. Aqui estão algumas técnicas e suas explicações técnicas:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos:
Em blockchains como Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, golpistas aproveitam este mecanismo para criar contratos maliciosos.
Funcionamento:
Os golpistas criam um DApp que se disfarça de um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que aparentemente autoriza uma quantidade reduzida de tokens, mas na realidade pode ser um valor ilimitado (uint256.max). Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Caso:
No início de 2023, um site de phishing disfarçado de "Atualização Uniswap V3" levou à perda de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na blockchain mostram que essas transações estão totalmente de acordo com o padrão ERC-20, tornando difícil para as vítimas recuperarem seus fundos por meios legais, uma vez que a autorização foi assinada voluntariamente.
(2) assinatura de phishing
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legalidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam este processo para falsificar pedidos de assinatura e roubar ativos.
Forma de operação:
O usuário recebe um e-mail ou mensagem disfarçada de notificação oficial, como "O seu airdrop de NFT está pronto para ser reclamado, por favor verifique a sua carteira". Ao clicar no link, o usuário é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, chamar a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação de "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Exemplo:
Uma comunidade de um conhecido projeto NFT foi alvo de um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem uma transação falsa de "recebimento de airdrop". Os atacantes utilizaram o padrão de assinatura EIP-712 para falsificar um pedido que parecia seguro.
(3) Tokens falsos e "ataques de poeira"
Princípio técnico:
A publicidade da Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam-se disso, enviando pequenas quantidades de criptomoeda para vários endereços de carteira, a fim de rastrear a atividade das carteiras e associá-las a indivíduos ou empresas que as possuem.
Como funciona:
Os atacantes enviam pequenas quantidades de tokens "poeira" para um grande número de endereços, que podem ter nomes ou metadados atraentes. Os usuários podem ficar curiosos e consultar ou tentar trocar esses tokens, expondo assim mais informações sobre suas carteiras. Os atacantes, analisando transações subsequentes, localizam os endereços de carteira ativos dos usuários e implementam fraudes mais precisas.
Caso:
Houve um ataque de poeira de "tokens GAS" na rede Ethereum, afetando milhares de carteiras. Alguns usuários perderam ETH e tokens ERC-20 devido à curiosidade de interagir.
Dois, por que esses golpes são difíceis de perceber?
Essas fraudes são bem-sucedidas em grande parte porque estão ocultas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernirem sua verdadeira natureza maliciosa. As principais razões incluem:
Complexidade técnica: O código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos.
Legalidade em cadeia: Todas as transações são registradas no Blockchain, aparentando ser transparentes, mas as vítimas frequentemente percebem as consequências da autorização ou assinatura apenas depois.
Engenharia social: Os golpistas exploram as fraquezas humanas, como ganância, medo ou confiança.
Disfarce engenhoso: Sites de phishing podem usar URLs semelhantes ao domínio oficial, e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Perante estes esquemas que coexistem entre a tecnologia e a guerra psicológica, proteger os ativos requer uma estratégia em múltiplas camadas:
Verificar e gerir permissões de autorização
Utilize a ferramenta de verificação de autorização para inspecionar regularmente os registros de autorização da carteira.
Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
Verifique o link e a fonte
Introduza manualmente a URL oficial, evitando clicar em links nas redes sociais ou e-mails.
Garantir que o site utilize o nome de domínio e o certificado SSL corretos.
Esteja atento a erros de ortografia ou caracteres a mais no nome de domínio.
Usar carteira fria e múltiplas assinaturas
Armazene a maior parte dos ativos em uma carteira de hardware e conecte-se à rede apenas quando necessário.
Para ativos de grande valor, utilize ferramentas de múltiplas assinaturas, exigindo a confirmação da transação por várias chaves.
Tenha cuidado ao lidar com solicitações de assinatura
Leia atentamente os detalhes da transação na janela pop-up da carteira.
Utilize a funcionalidade de decodificação do explorador de Blockchain para analisar o conteúdo da assinatura, ou consulte um especialista técnico.
Criar uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
responder a ataques de poeira
Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
Confirme a origem do token através do explorador de Blockchain, esteja atento ao envio em massa.
Evite divulgar o endereço da carteira ou usar um novo endereço para operações sensíveis.
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de esquemas de fraude sofisticados. No entanto, a verdadeira segurança não depende apenas da proteção tecnológica, mas também requer que os usuários compreendam a lógica de autorização e tenham uma atitude prudente em relação ao comportamento na blockchain. A análise dos dados antes de cada assinatura e a revisão das permissões após cada autorização são formas de manter a soberania digital.
No mundo do Blockchain onde o código é a lei, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Assim, internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação é a chave para proteger os ativos digitais.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Novas técnicas de fraude em contratos inteligentes: o protocolo se torna uma ferramenta de ataque. Como se prevenir?
Segurança no mundo Blockchain: Análise das técnicas de fraude em contratos inteligentes
As criptomoedas e a tecnologia Blockchain estão a remodelar o setor financeiro, mas esta revolução também trouxe novos desafios de segurança. Os golpistas não se limitam mais a explorar falhas técnicas, mas transformam os próprios protocolos de contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente projetadas, eles utilizam a transparência e a irreversibilidade da Blockchain para transformar a confiança dos usuários em meios de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações cross-chain, esses ataques não são apenas furtivos e difíceis de detectar, mas também são mais enganosos devido à sua aparência "legitimada". Este artigo irá analisar, através de exemplos, como os golpistas transformam os protocolos em veículos de ataque e fornecer uma solução abrangente que vai desde a proteção técnica até a prevenção comportamental, ajudando os usuários a avançar com segurança no mundo descentralizado.
I. Como os protocolos se tornam ferramentas de fraude?
Os protocolos de Blockchain devem garantir segurança e confiança, mas os golpistas aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. Aqui estão algumas técnicas e suas explicações técnicas:
(1) autorização de contratos inteligentes maliciosos
Princípios técnicos:
Em blockchains como Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, golpistas aproveitam este mecanismo para criar contratos maliciosos.
Funcionamento:
Os golpistas criam um DApp que se disfarça de um projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que aparentemente autoriza uma quantidade reduzida de tokens, mas na realidade pode ser um valor ilimitado (uint256.max). Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Caso:
No início de 2023, um site de phishing disfarçado de "Atualização Uniswap V3" levou à perda de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na blockchain mostram que essas transações estão totalmente de acordo com o padrão ERC-20, tornando difícil para as vítimas recuperarem seus fundos por meios legais, uma vez que a autorização foi assinada voluntariamente.
(2) assinatura de phishing
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem uma assinatura através da chave privada para provar a legalidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas aproveitam este processo para falsificar pedidos de assinatura e roubar ativos.
Forma de operação:
O usuário recebe um e-mail ou mensagem disfarçada de notificação oficial, como "O seu airdrop de NFT está pronto para ser reclamado, por favor verifique a sua carteira". Ao clicar no link, o usuário é direcionado para um site malicioso, que solicita a conexão da carteira e a assinatura de uma "transação de verificação". Esta transação pode, na verdade, chamar a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação de "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.
Exemplo:
Uma comunidade de um conhecido projeto NFT foi alvo de um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem uma transação falsa de "recebimento de airdrop". Os atacantes utilizaram o padrão de assinatura EIP-712 para falsificar um pedido que parecia seguro.
(3) Tokens falsos e "ataques de poeira"
Princípio técnico:
A publicidade da Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam-se disso, enviando pequenas quantidades de criptomoeda para vários endereços de carteira, a fim de rastrear a atividade das carteiras e associá-las a indivíduos ou empresas que as possuem.
Como funciona:
Os atacantes enviam pequenas quantidades de tokens "poeira" para um grande número de endereços, que podem ter nomes ou metadados atraentes. Os usuários podem ficar curiosos e consultar ou tentar trocar esses tokens, expondo assim mais informações sobre suas carteiras. Os atacantes, analisando transações subsequentes, localizam os endereços de carteira ativos dos usuários e implementam fraudes mais precisas.
Caso:
Houve um ataque de poeira de "tokens GAS" na rede Ethereum, afetando milhares de carteiras. Alguns usuários perderam ETH e tokens ERC-20 devido à curiosidade de interagir.
Dois, por que esses golpes são difíceis de perceber?
Essas fraudes são bem-sucedidas em grande parte porque estão ocultas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernirem sua verdadeira natureza maliciosa. As principais razões incluem:
Três, como proteger a sua carteira de criptomoedas?
Perante estes esquemas que coexistem entre a tecnologia e a guerra psicológica, proteger os ativos requer uma estratégia em múltiplas camadas:
Verificar e gerir permissões de autorização
Verifique o link e a fonte
Usar carteira fria e múltiplas assinaturas
Tenha cuidado ao lidar com solicitações de assinatura
responder a ataques de poeira
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de esquemas de fraude sofisticados. No entanto, a verdadeira segurança não depende apenas da proteção tecnológica, mas também requer que os usuários compreendam a lógica de autorização e tenham uma atitude prudente em relação ao comportamento na blockchain. A análise dos dados antes de cada assinatura e a revisão das permissões após cada autorização são formas de manter a soberania digital.
No mundo do Blockchain onde o código é a lei, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Assim, internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação é a chave para proteger os ativos digitais.