Blockchain smart contracts : de l'outil de sécurité au vecteur de fraude
Les cryptomonnaies et la technologie Blockchain redéfinissent la liberté financière, mais cette révolution a également apporté de nouvelles menaces. Les escrocs ne se fient plus uniquement aux vulnérabilités techniques, mais transforment les protocoles de smart contracts de la Blockchain eux-mêmes en outils d'attaque. Ils exploitent des pièges d'ingénierie sociale soigneusement conçus, combinés à la transparence et à l'irréversibilité de la Blockchain, pour transformer la confiance des utilisateurs en moyens de vol d'actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à retracer, mais elles sont également plus trompeuses en raison de leur apparence "légitime".
I. Comment un protocole peut-il devenir un outil de fraude ?
Le but initial des protocoles Blockchain est d'assurer la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques et la négligence des utilisateurs pour créer diverses méthodes d'attaque secrètes :
(1) autorisation de smart contracts malveillants
Principes techniques :
La norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles de finance décentralisée (DeFi), mais elle est également exploitée par des fraudeurs.
Mode de fonctionnement :
Les escrocs créent des applications décentralisées (DApp) déguisées en projets légitimes, incitant les utilisateurs à autoriser. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela pourrait être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer à tout moment tous les jetons correspondants du portefeuille de l'utilisateur.
(2) Phishing par signature
Principe technique :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
Les utilisateurs reçoivent des messages déguisés en notifications officielles, les guidant vers des sites malveillants pour signer "valider la transaction". Cette transaction peut transférer directement les actifs de l'utilisateur ou autoriser les escrocs à contrôler la collection NFT de l'utilisateur.
(3) Tokens frauduleux et "attaque par poussière"
Principe technique :
La transparence de la Blockchain permet d'envoyer des tokens à n'importe quelle adresse. Les fraudeurs exploitent ce point pour suivre les activités des portefeuilles et les associer à des individus ou des entreprises.
Mode de fonctionnement :
Les escrocs envoient de petites quantités de cryptomonnaie à plusieurs adresses, analysant les transactions ultérieures pour identifier les adresses de portefeuilles actifs. Ils peuvent également envoyer des jetons portant des noms trompeurs, incitant les utilisateurs à visiter des sites Web malveillants.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces arnaques réussissent principalement parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain :
Complexité technique : le code des smart contracts et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent le problème a posteriori.
Ingénierie sociale : les escrocs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Détournement subtil : les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces arnaques alliant techniques et guerre psychologique, la protection des actifs nécessite une stratégie à plusieurs niveaux :
Vérifiez et gérez les autorisations d'autorisation
Utiliser l'outil de vérification d'autorisation du navigateur Blockchain
Révoquer régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues
Assurez-vous que la source de la DApp est fiable avant chaque autorisation.
Vérifier les liens et les sources
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL
Faites attention aux fautes d'orthographe ou aux caractères en trop
Utiliser un portefeuille froid et une signature multiple
Stocker la plupart des actifs dans un portefeuille matériel
Utiliser des outils de signature multiple pour les actifs importants
Même si le portefeuille chaud est compromis, les actifs stockés à froid restent sécurisés.
Traitez les demandes de signature avec prudence
Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utiliser la fonction d'analyse du navigateur Blockchain pour analyser le contenu de la signature
Créer un portefeuille indépendant pour les opérations à haut risque, stocker une petite quantité d'actifs
Répondre aux attaques par la poussière
Ne pas interagir après avoir reçu des jetons inconnus
Confirmer l'origine des tokens via le navigateur Blockchain
Évitez de rendre votre adresse de portefeuille publique, ou utilisez une nouvelle adresse pour des opérations sensibles
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut réduire considérablement le risque de devenir une victime de programmes de fraude avancés. Cependant, la véritable sécurité ne dépend pas seulement de la technologie, mais nécessite également la compréhension par l'utilisateur de la logique d'autorisation et une prudence concernant les comportements sur la chaîne. L'analyse des données avant chaque signature et la vérification des autorisations après chaque autorisation sont autant de moyens de préserver sa souveraineté numérique.
Dans le monde de la Blockchain où le code est loi, chaque clic et chaque transaction sont enregistrés de manière permanente et ne peuvent pas être modifiés. Par conséquent, il est essentiel d'intégrer la conscience de la sécurité comme une habitude et de maintenir un équilibre entre confiance et vérification, afin de protéger les actifs à long terme.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
7
Reposter
Partager
Commentaire
0/400
wrekt_but_learning
· Il y a 6h
Le clown, c'est moi-même. Je suis impressionné par mes frères.
Voir l'originalRépondre0
StakeOrRegret
· 08-06 00:47
Le pouvoir est la pierre de touche de la nature humaine.
Voir l'originalRépondre0
MeltdownSurvivalist
· 08-06 00:39
Les pigeons sont toujours pris pour des idiots.
Voir l'originalRépondre0
SocialFiQueen
· 08-06 00:33
Les smart contracts sont-ils aussi devenus des outils de fraude ? C'est vraiment l'intelligence de tout.
Voir l'originalRépondre0
BlockchainBouncer
· 08-06 00:28
Avec autant de tracas, il vaut mieux la sécurité du web2.
Voir l'originalRépondre0
SchrodingerAirdrop
· 08-06 00:25
Portefeuille signature bloqué dans le contrat, même go doit s'inquiéter.
Voir l'originalRépondre0
MetaverseLandlord
· 08-06 00:20
Trading des cryptomonnaies, c'est comme rêver. Faites attention, ne vous laissez pas voler.
Blockchain smart contracts deviennent de nouveaux outils de fraude, la protection des actifs nécessite des stratégies multiples.
Blockchain smart contracts : de l'outil de sécurité au vecteur de fraude
Les cryptomonnaies et la technologie Blockchain redéfinissent la liberté financière, mais cette révolution a également apporté de nouvelles menaces. Les escrocs ne se fient plus uniquement aux vulnérabilités techniques, mais transforment les protocoles de smart contracts de la Blockchain eux-mêmes en outils d'attaque. Ils exploitent des pièges d'ingénierie sociale soigneusement conçus, combinés à la transparence et à l'irréversibilité de la Blockchain, pour transformer la confiance des utilisateurs en moyens de vol d'actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à retracer, mais elles sont également plus trompeuses en raison de leur apparence "légitime".
I. Comment un protocole peut-il devenir un outil de fraude ?
Le but initial des protocoles Blockchain est d'assurer la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques et la négligence des utilisateurs pour créer diverses méthodes d'attaque secrètes :
(1) autorisation de smart contracts malveillants
Principes techniques : La norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles de finance décentralisée (DeFi), mais elle est également exploitée par des fraudeurs.
Mode de fonctionnement : Les escrocs créent des applications décentralisées (DApp) déguisées en projets légitimes, incitant les utilisateurs à autoriser. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela pourrait être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer à tout moment tous les jetons correspondants du portefeuille de l'utilisateur.
(2) Phishing par signature
Principe technique : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : Les utilisateurs reçoivent des messages déguisés en notifications officielles, les guidant vers des sites malveillants pour signer "valider la transaction". Cette transaction peut transférer directement les actifs de l'utilisateur ou autoriser les escrocs à contrôler la collection NFT de l'utilisateur.
(3) Tokens frauduleux et "attaque par poussière"
Principe technique : La transparence de la Blockchain permet d'envoyer des tokens à n'importe quelle adresse. Les fraudeurs exploitent ce point pour suivre les activités des portefeuilles et les associer à des individus ou des entreprises.
Mode de fonctionnement : Les escrocs envoient de petites quantités de cryptomonnaie à plusieurs adresses, analysant les transactions ultérieures pour identifier les adresses de portefeuilles actifs. Ils peuvent également envoyer des jetons portant des noms trompeurs, incitant les utilisateurs à visiter des sites Web malveillants.
Deux, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces arnaques réussissent principalement parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain :
Complexité technique : le code des smart contracts et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent le problème a posteriori.
Ingénierie sociale : les escrocs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Détournement subtil : les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces arnaques alliant techniques et guerre psychologique, la protection des actifs nécessite une stratégie à plusieurs niveaux :
Vérifiez et gérez les autorisations d'autorisation
Vérifier les liens et les sources
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
Répondre aux attaques par la poussière
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut réduire considérablement le risque de devenir une victime de programmes de fraude avancés. Cependant, la véritable sécurité ne dépend pas seulement de la technologie, mais nécessite également la compréhension par l'utilisateur de la logique d'autorisation et une prudence concernant les comportements sur la chaîne. L'analyse des données avant chaque signature et la vérification des autorisations après chaque autorisation sont autant de moyens de préserver sa souveraineté numérique.
Dans le monde de la Blockchain où le code est loi, chaque clic et chaque transaction sont enregistrés de manière permanente et ne peuvent pas être modifiés. Par conséquent, il est essentiel d'intégrer la conscience de la sécurité comme une habitude et de maintenir un équilibre entre confiance et vérification, afin de protéger les actifs à long terme.