Смарт-контракты уязвимости: новые вызовы безопасности Блокчейн
Криптовалюты и технологии Блокчейн трансформируют финансовую систему, но одновременно создают новые угрозы безопасности. В отличие от традиционных уязвимостей технологий, некоторые злоумышленники начинают использовать смарт-контракты Блокчейн как инструменты атаки. Они тщательно разрабатывают ловушки социальной инженерии, используя прозрачность и необратимость Блокчейн для превращения доверия пользователей в средства кражи активов. От подделки смарт-контрактов до манипуляции кросс-чейн транзакциями, эти атаки не только скрытны и труднонаходимы, но и становятся более обманчивыми из-за их "легитимного" внешнего вида. В данной статье будет проведен анализ на примерах, чтобы показать, как злоумышленники превращают протоколы в средства атаки и предложить комплексные стратегии защиты.
Один. Как протокол стал инструментом мошенничества?
Блокчейн-протоколы должны обеспечивать безопасность и доверие, но злоумышленники используют его особенности, в сочетании с небрежностью пользователей, чтобы создать множество скрытых способов атак:
(1) Злоумышленное разрешение смарт-контрактов
Технический принцип:
На таких Блокчейн, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьи стороны извлекать определенное количество токенов из их кошельков. Эта функция широко используется в DeFi-протоколах, но также используется злоумышленниками.
Способ работы:
Нелегальные лица создают DApp, маскирующиеся под легальные проекты, и вводят пользователей в заблуждение, заставляя их подключать кошельки и давать разрешение. На поверхности это выглядит как разрешение на небольшое количество токенов, но на самом деле это может быть неограниченный лимит. После завершения разрешения нелегальные лица могут в любое время извлекать все соответствующие токены из кошелька пользователя.
(2) Подпись Фишинг
Технический принцип:
Блокчейн-транзакции требуют от пользователей создания подписи с помощью приватного ключа. Преступники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы:
Пользователь получает сообщение, замаскированное под официальное уведомление, и его направляют на вредоносный сайт для подписания "подтверждения транзакции". Эта транзакция может напрямую перевести активы пользователя или авторизовать контроль над коллекцией NFT пользователя.
(3) Ложные токены и "атака пыли"
Технический принцип:
Открытость Блокчейна позволяет отправлять токены на любые адреса. Злоумышленники используют этот факт, отправляя небольшие суммы криптовалюты для отслеживания активности кошельков.
Способ работы:
Преступники распространяют токены "пыль" в форме аирдропа, подталкивая пользователей посетить определенный сайт для получения подробной информации. Анализируя последующие транзакции пользователей, они определяют активные адреса кошельков и осуществляют целенаправленное мошенничество.
Два, почему эти мошенничества трудно заметить?
Эти мошенничества успешны, в основном потому, что они скрываются в законных механизмах Блокчейн:
Техническая сложность: код смарт-контрактов и запросы на подпись трудны для понимания обычным пользователям.
Законность на цепочке: все транзакции записываются в Блокчейн и выглядят прозрачными, но жертвы часто осознают проблему только после того, как это произошло.
Социальная инженерия: использование человеческих слабостей, таких как жадность, страх или доверие.
Замаскированность: Фишинговые сайты могут использовать URL, похожие на официальный домен, и даже повышать доверие с помощью сертификатов HTTPS.
Три. Как защитить кошелек для криптовалюты?
Столкнувшись с этими мошенничествами, где сочетаются технические и психологические войны, защита активов требует многослойной стратегии:
Проверьте и управляйте правами доступа
Регулярно проверяйте записи авторизации кошелька с помощью инструмента проверки авторизации.
Отмените ненужные разрешения, особенно на неограниченные разрешения для неизвестных адресов.
Перед каждым разрешением убедитесь, что источник DApp надежен.
Проверьте ссылку и источник
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронной почте.
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат.
Будьте осторожны с ошибками в написании доменных имен или лишними символами.
Используйте холодный кошелек и мультиподпись
Храните большую часть активов в аппаратных кошельках и подключайте сеть только при необходимости.
Используйте инструменты многофакторной подписи для крупных активов, требуя подтверждения транзакции несколькими ключами.
Будьте осторожны с запросами на подпись
Внимательно читайте детали транзакции при каждом подписании.
Используйте инструменты для анализа содержимого подписи или проконсультируйтесь с экспертом.
Создайте отдельный кошелек для высокорисковых операций, храните небольшое количество активов.
Реакция на атаку пыли
Не взаимодействуйте с неизвестными токенами, отметьте их как "мусор" или скрыть.
Подтвердите источник токена через Блокчейн браузер.
Избегайте раскрытия адреса кошелька или используйте новый адрес для проведения чувствительных операций.
Заключение
Реализация вышеуказанных мер безопасности может значительно снизить риски, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а мультиподписи распределяют риски, понимание пользователями логики авторизации и осмотрительность в отношении действий в цепочке становятся последней защитной линией. Каждый анализ данных перед подписанием, каждая проверка прав после авторизации — это поддержка цифрового суверенитета.
В будущем, независимо от того, как будет развиваться технология, основной защитной линией всегда будет: интернализация осознания безопасности в привычку, поддержание баланса между доверием и проверкой. В мире Блокчейн каждое нажатие, каждая транзакция навсегда записывается и не может быть изменена. Будьте бдительны, чтобы безопасно двигаться вперед.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
22 Лайков
Награда
22
7
Поделиться
комментарий
0/400
BlockchainTherapist
· 07-24 02:10
Старые ловушки, новые обманы. Путь не изменился, все еще слишком жадно~
Посмотреть ОригиналОтветить0
MidnightSnapHunter
· 07-21 02:43
Если вы не можете правильно купить токен, как вы собираетесь заключать контракты? Лучше отдохните.
Посмотреть ОригиналОтветить0
SelfMadeRuggee
· 07-21 02:43
это не новость.. много проектов уже обречено
Посмотреть ОригиналОтветить0
AirdropBuffet
· 07-21 02:38
Блокчейн это яма, каждый шаг - ловушка
Посмотреть ОригиналОтветить0
FancyResearchLab
· 07-21 02:37
Еще одна умная ловушка, которая должна быть Мошенничество менее чем через 24 часа. Академическая ценность на максимуме.
Посмотреть ОригиналОтветить0
SatoshiNotNakamoto
· 07-21 02:37
О, в этом контракте много ловушек, не трогай.
Посмотреть ОригиналОтветить0
MaticHoleFiller
· 07-21 02:14
Истинная технология все еще зависит от устранения недостатков.
Смарт-контракты стали новым инструментом мошенничества: полная аналитика угроз безопасности Блокчейн и стратегии защиты
Смарт-контракты уязвимости: новые вызовы безопасности Блокчейн
Криптовалюты и технологии Блокчейн трансформируют финансовую систему, но одновременно создают новые угрозы безопасности. В отличие от традиционных уязвимостей технологий, некоторые злоумышленники начинают использовать смарт-контракты Блокчейн как инструменты атаки. Они тщательно разрабатывают ловушки социальной инженерии, используя прозрачность и необратимость Блокчейн для превращения доверия пользователей в средства кражи активов. От подделки смарт-контрактов до манипуляции кросс-чейн транзакциями, эти атаки не только скрытны и труднонаходимы, но и становятся более обманчивыми из-за их "легитимного" внешнего вида. В данной статье будет проведен анализ на примерах, чтобы показать, как злоумышленники превращают протоколы в средства атаки и предложить комплексные стратегии защиты.
Один. Как протокол стал инструментом мошенничества?
Блокчейн-протоколы должны обеспечивать безопасность и доверие, но злоумышленники используют его особенности, в сочетании с небрежностью пользователей, чтобы создать множество скрытых способов атак:
(1) Злоумышленное разрешение смарт-контрактов
Технический принцип: На таких Блокчейн, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьи стороны извлекать определенное количество токенов из их кошельков. Эта функция широко используется в DeFi-протоколах, но также используется злоумышленниками.
Способ работы: Нелегальные лица создают DApp, маскирующиеся под легальные проекты, и вводят пользователей в заблуждение, заставляя их подключать кошельки и давать разрешение. На поверхности это выглядит как разрешение на небольшое количество токенов, но на самом деле это может быть неограниченный лимит. После завершения разрешения нелегальные лица могут в любое время извлекать все соответствующие токены из кошелька пользователя.
(2) Подпись Фишинг
Технический принцип: Блокчейн-транзакции требуют от пользователей создания подписи с помощью приватного ключа. Преступники используют этот процесс для подделки запросов на подпись с целью кражи активов.
Способ работы: Пользователь получает сообщение, замаскированное под официальное уведомление, и его направляют на вредоносный сайт для подписания "подтверждения транзакции". Эта транзакция может напрямую перевести активы пользователя или авторизовать контроль над коллекцией NFT пользователя.
(3) Ложные токены и "атака пыли"
Технический принцип: Открытость Блокчейна позволяет отправлять токены на любые адреса. Злоумышленники используют этот факт, отправляя небольшие суммы криптовалюты для отслеживания активности кошельков.
Способ работы: Преступники распространяют токены "пыль" в форме аирдропа, подталкивая пользователей посетить определенный сайт для получения подробной информации. Анализируя последующие транзакции пользователей, они определяют активные адреса кошельков и осуществляют целенаправленное мошенничество.
Два, почему эти мошенничества трудно заметить?
Эти мошенничества успешны, в основном потому, что они скрываются в законных механизмах Блокчейн:
Три. Как защитить кошелек для криптовалюты?
Столкнувшись с этими мошенничествами, где сочетаются технические и психологические войны, защита активов требует многослойной стратегии:
Проверьте и управляйте правами доступа
Проверьте ссылку и источник
Используйте холодный кошелек и мультиподпись
Будьте осторожны с запросами на подпись
Реакция на атаку пыли
Заключение
Реализация вышеуказанных мер безопасности может значительно снизить риски, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а мультиподписи распределяют риски, понимание пользователями логики авторизации и осмотрительность в отношении действий в цепочке становятся последней защитной линией. Каждый анализ данных перед подписанием, каждая проверка прав после авторизации — это поддержка цифрового суверенитета.
В будущем, независимо от того, как будет развиваться технология, основной защитной линией всегда будет: интернализация осознания безопасности в привычку, поддержание баланса между доверием и проверкой. В мире Блокчейн каждое нажатие, каждая транзакция навсегда записывается и не может быть изменена. Будьте бдительны, чтобы безопасно двигаться вперед.