смартконтракти протоокол: від забезпечення безпеки до еволюції інструментів шахрайства

Криптовалюта та технології блокчейн переосмислюють концепцію фінансової свободи, але ця революція також принесла нові виклики. Шахраї більше не покладаються лише на технічні вразливості, а перетворюють самі протоколи смартконтрактів блокчейну на інструменти атаки. Через ретельно сплановані соціальні інженерні пастки вони використовують прозорість та незворотність блокчейну, перетворюючи довіру користувачів на засіб крадіжки активів. Від підробки смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не лише приховані, але й складні для відстеження, а їх «легітимний» вигляд робить їх ще більш оманливими. У цій статті за допомогою реальних випадків буде показано, як шахраї перетворюють самі протоколи на носії атак, а також буде надано повний набір рішень, що охоплюють від технічного захисту до поведінкових запобіжників, щоб допомогти користувачам безпечно рухатись у децентралізованому світі.

Один. Як легальний протокол перетворюється на інструмент шахрайства?

Дизайн блокчейн-протоколів має на меті забезпечити безпеку та довіру, але шахраї використовують його особливості разом з недбалістю користувачів для створення різноманітних прихованих способів атаки. Ось кілька методів та технічних деталей для ілюстрації:

(1) зловмисне надання дозволу смартконтракту (Approve Scam)

Технічний принцип:

На блокчейнах, таких як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважувати третіх осіб (зазвичай смартконтракти) витягувати з їхнього гаманця визначену кількість токенів. Ця функція широко використовується в DeFi протоколах, таких як деякі DEX або платформи кредитування, де користувачі повинні уповноважити смартконтракти для завершення транзакцій, стейкінгу або ліквідного майнінгу. Проте шахраї використовують цей механізм для розробки шкідливих контрактів.

Спосіб роботи:

Шахраї створюють DApp, що маскується під легітимний проєкт, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці та їх спонукають натиснути "Approve", що на поверхні виглядає як авторизація невеликої кількості токенів, але насправді може бути безмежним лімітом (значення uint256.max). Як тільки авторизація завершена, адреса контракту шахрая отримує дозвіл і може в будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні токени з гаманця користувача.

Справжній випадок:

На початку 2023 року фішинговий сайт, що маскувався під оновлення певного DEX, призвів до втрат сотень користувачів на мільйони доларів у USDT та ETH. Дані в ланцюзі показують, що ці транзакції повністю відповідають стандарту ERC-20, і жертви навіть не можуть повернути свої кошти через законні засоби, оскільки авторизація була підписана добровільно.

(2) підписна рибалка (Phishing Signature)

Технічний принцип:

Блокчейн-транзакції вимагають від користувачів генерувати підпис за допомогою приватного ключа, щоб підтвердити законність транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувачем транзакція транслюється в мережу. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.

Спосіб роботи:

Користувач отримує листа, що маскується під офіційне повідомлення, або миттєве повідомлення, наприклад, "Ваш NFT airdrop чекає на отримання, будь ласка, підтвердіть гаманець". Після натискання на посилання користувача перенаправляють на шкідливий сайт, де просять підключити гаманець і підписати "перевірочну угоду". Ця угода насправді може викликати функцію "Transfer", яка безпосередньо переводить ETH або токени з гаманця на адресу шахрая; або ж це може бути операція "SetApprovalForAll", яка надає шахраєві право контролювати колекцію NFT користувача.

Реальний випадок:

Відомий NFT проект зазнав атаки риболовлі через підпис, внаслідок чого численні користувачі втратили NFT на кілька мільйонів доларів через підписання підроблених угод на "отримання аеродропу". Зловмисники скористалися стандартом підпису EIP-712, підробивши запити, які виглядали безпечними.

(3) Фальшиві токени та "атака пилу" (Dust Attack)

Технічний принцип:

Відкритість блокчейну дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не робив активного запиту. Шахраї використовують це, надсилаючи невелику кількість криптовалюти на кілька адрес гаманців, щоб відстежувати активність гаманців і пов’язувати її з особами або компаніями, які володіють гаманцями. Атакувальники починають з надсилання пилу, а потім намагаються з’ясувати, який з них належить одному і тому ж гаманцю. Врешті-решт, атакувальники використовують цю інформацію для здійснення фішингових атак або погроз до жертви.

Спосіб роботи:

В більшості випадків "пил" для атак з використанням пилу надсилається у вигляді аірдропів до гаманців користувачів, ці токени можуть містити назву або метадані (такі як "FREE_AIRDROP"), що спонукає користувачів перейти на певний веб-сайт для отримання деталей. Користувачі зазвичай радісно прагнуть обміняти ці токени, і тоді зловмисники можуть отримати доступ до гаманця користувача через адресу контракту, що супроводжує токени. Приховано, атаки з використанням пилу здійснюються через соціальну інженерію, аналізуючи подальші транзакції користувача, зосереджуючи увагу на активних адресах гаманців користувачів, щоб здійснити більш точні шахрайства.

Справжній випадок:

В минулому, атака з використанням токенів-пилу в мережі Ethereum вплинула на тисячі гаманців. Деякі користувачі, керуючись цікавістю, втратили ETH та ERC-20 токени.

Два, чому ці шахрайства важко помітити?

Ці шахрайства успішні в значній мірі завдяки тому, що вони приховані в легітимних механізмах блокчейну, звичайним користувачам важко розпізнати їх зловмисну природу. Ось кілька ключових причин:

• Технічна складність:

Код смартконтракту та запит на підпис можуть бути незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані типу "0x095ea7b3...", з яких користувач не може інтуїтивно визначити його значення.

• Законність на ланцюгу:

Усі交易 записуються в блокчейні, здається, прозорими, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже неможливо повернути.

• Соціальна інженерія:

Шахраї використовують слабкості людської природи, такі як жадібність ("отримати безкоштовно 1000 доларів США токенів"), страх ("необхідна перевірка через аномалії в акаунті") або довіру (маскуються під службу підтримки).

• Підробка витончена:

Фішингові сайти можуть використовувати URL, схожі на офіційний домен (наприклад, додаючи додаткові символи до нормального домену), навіть через HTTPS сертифікати, щоб підвищити довіру.

Три, як захистити свій криптовалютний гаманець?

Безпека блокчейну перед такими шахрайствами, що поєднують технічні та психологічні війни, вимагає багаторівневої стратегії для захисту активів. Ось детальні заходи запобігання:

• Перевірте та керуйте правами доступу

Інструменти: використовуйте інструмент перевірки дозволів блокчейн-браузера або спеціалізовану платформу управління дозволами для перевірки записів дозволів гаманця.

Операції: періодично скасовуйте непотрібні дозволи, особливо на безлімітні дозволи для невідомих адрес. Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.

Технічні деталі: перевірте значення "Allowance"; якщо воно "безмежне" (наприклад, 2^256-1), слід негайно скасувати.

• Перевірка посилань і джерел

Метод: вручну введіть офіційне URL, уникаючи натискання на посилання в соціальних мережах або електронних листах.

Перевірка: переконайтеся, що сайт використовує правильне доменне ім'я та SSL-сертифікат (зелений значок замка). Будьте обережні з орфографічними помилками або зайвими символами.

Приклад: якщо ви отримали модифікацію з офіційного веб-сайту (наприклад, додані додаткові символи або піддомен), негайно підозрюйте в її автентичності.

• Використання холодного гаманця та мультипідпису

Холодний гаманець: зберігайте більшість активів у апаратному гаманці, підключайтеся до мережі лише за необхідності.

Багаторазове підписання: для великих активів використовуйте інструменти багатопідпису, що вимагають підтвердження транзакції декількома ключами, щоб знизити ризик одноточкових помилок.

Перевага: навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.

• Обережно обробляйте запити на підпис

Кроки: щоразу підписуючи, уважно читайте деталі транзакції у спливаючому вікні гаманця. Деякі гаманці показують поле "дані", якщо містить невідомі функції (наприклад, "TransferFrom"), відмовтеся підписувати.

Інструменти: використовуйте функцію "Decode Input Data" блокчейн-браузера для розшифровки підписаного вмісту або зверніться до технічного експерта.

Рекомендація: створіть окремий гаманець для високоризикових операцій і зберігайте в ньому невелику кількість активів.

• Протидія атакам пилу

Стратегія: після отримання невідомого токена не взаємодійте. Позначте його як "сміття" або сховайте.

Перевірка: за допомогою блокчейн-браузера підтвердіть походження токена, якщо це масова відправка, будьте надзвичайно обережні.

Запобігання: уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.

Висновок

Завдяки впровадженню вищезазначених заходів безпеки, звичайні користувачі можуть суттєво знизити ризик стати жертвами складних шахрайських схем, але справжня безпека не є лише технічним досягненням. Коли апаратні гаманці створюють фізичний захист, а мультипідписи розподіляють ризики, саме розуміння користувачем логіки авторизації та обережність щодо поведінки в мережі є останньою фортецею в боротьбі з атаками. Кожен аналіз даних перед підписанням, кожен перегляд прав після авторизації є запевненням власного цифрового суверенітету.

У майбутньому, незважаючи на те, як технології будуть ітеруватися, найголовніша лінія захисту завжди буде полягати в: інтерналізації свідомості про безпеку як м'язової пам'яті, встановлення вічної рівноваги між довірою та верифікацією. Адже в світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди фіксується в ланцюзі, не підлягає зміні.