Блокчейн смарт-контракты: от инструмента безопасности до средства мошенничества
Криптовалюты и технологии Блокчейн переопределяют финансовую свободу, но эта революция также принесла новые угрозы. Мошенники больше не полагаются исключительно на уязвимости технологий, а превращают сами протоколы смарт-контрактов Блокчейна в инструменты атаки. Они используют тщательно спланированные ловушки социального инженерии, сочетая прозрачность и необратимость Блокчейна, чтобы превратить доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными транзакциями, эти атаки не только скрытны и трудны для отслеживания, но и становятся более обманчивыми благодаря своему "легитимному" виду.
Один. Как соглашение становится инструментом мошенничества?
Первоначальная цель Блокчейн-протокола — обеспечить безопасность и доверие, но мошенники используют его характеристики и неосторожность пользователей, создавая различные скрытые методы атаки:
(1) Злоумышленное смарт-контрактное разрешение
Технический принцип:
Стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону извлекать указанное количество токенов из их кошелька. Эта функция широко используется в протоколах децентрализованных финансов (DeFi), но также используется мошенниками.
Способ работы:
Мошенники создают децентрализованные приложения (DApp), замаскированные под законные проекты, чтобы заставить пользователей предоставить доступ. На поверхности это выглядит как разрешение на небольшое количество токенов, но на самом деле это может быть неограниченный лимит. Как только разрешение будет дано, мошенники могут в любое время извлечь все соответствующие токены из кошелька пользователя.
(2) Подпись фишинга
Технический принцип:
Блокчейн-транзакции требуют от пользователей генерировать подписи с помощью приватного ключа. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы:
Пользователи получают сообщения, замаскированные под официальные уведомления, и их направляют на вредоносный сайт для подписания "верификации транзакции". Эта транзакция может напрямую перевести активы пользователя или предоставить мошенникам контроль над коллекцией NFT пользователя.
(3) Ложные токены и "атака пыли"
Технические принципы:
Открытость Блокчейна позволяет отправлять токены на любые адреса. Мошенники используют этот факт для отслеживания активности кошельков и связывания с личностями или компаниями.
Способ работы:
Мошенники отправляют небольшое количество криптовалюты на несколько адресов, анализируя последующие транзакции для определения активных кошельков. Они также могут отправлять токены с заманчивыми названиями, направляя пользователей на вредоносные сайты.
Два, почему эти мошенничества трудно заметить?
Эти мошенничества успешны в основном потому, что они скрываются в легитимных механизмах Блокчейн:
Техническая сложность: код смарт-контрактов и запросы на подпись трудно понять для нетехнических пользователей.
Законность на цепочке: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают проблему лишь позже.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие.
Умелая маскировка: Фишинговые сайты могут использовать URL, похожие на официальный домен, даже увеличивая доверие с помощью сертификата HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Перед лицом этих афер технической и психологической войны защита активов требует многоуровневой стратегии:
Проверьте и управляйте правами доступа
Использовать инструменты проверки авторизации блокчейн-браузера
Регулярно отменяйте ненужные полномочия, особенно неограниченные полномочия для неизвестных адресов
Перед каждым предоставлением разрешения убедитесь, что источник DApp надежен
Проверка ссылок и источников
Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах
Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат
Будьте осторожны с опечатками или лишними символами
Использование холодного кошелька и мультиподписей
Храните большую часть активов в аппаратных кошельках
Используйте инструменты многофакторной подписи для крупных активов
Даже если горячий кошелек будет взломан, активы на холодном хранении останутся в безопасности.
Осторожно обрабатывайте запросы на подпись
Внимательно прочитайте детали транзакции в всплывающем окне кошелька
Используйте функцию анализа подписей в Блокчейн-браузере
Создайте отдельный кошелек для высокорисковых операций, храните небольшое количество активов
Реакция на атаки с помощью пыли
Не взаимодействуйте после получения неизвестного токена
Подтверждение источника токенов через Блокчейн браузер
Избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций
Заключение
Реализация вышеупомянутых мер безопасности может значительно снизить риск стать жертвой высококвалифицированной мошеннической схемы. Однако настоящая безопасность зависит не только от технологий, но и от понимания пользователем логики авторизации и осмотрительности в действиях на блокчейне. Каждое декодирование данных перед подписанием и каждая проверка прав после авторизации — это защита собственного цифрового суверенитета.
В мире блокчейна, где код является законом, каждое нажатие кнопки и каждая транзакция навсегда записываются и не могут быть изменены. Поэтому важно интегрировать осознание безопасности в привычку и поддерживать баланс между доверием и проверкой, что является ключом к долгосрочной защите активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
25 Лайков
Награда
25
7
Репост
Поделиться
комментарий
0/400
wrekt_but_learning
· 20ч назад
Клоуном оказался я сам, я сдался, братцы.
Посмотреть ОригиналОтветить0
StakeOrRegret
· 08-06 00:47
Власть — это испытательный камень человеческой природы.
Посмотреть ОригиналОтветить0
MeltdownSurvivalist
· 08-06 00:39
неудачники разыгрывайте людей как лохов永不停
Посмотреть ОригиналОтветить0
SocialFiQueen
· 08-06 00:33
смарт-контракты тоже стали инструментом мошенничества? 草 真就万物智能
Посмотреть ОригиналОтветить0
BlockchainBouncer
· 08-06 00:28
Такое количество усилий, не лучше ли безопасность web2?
Посмотреть ОригиналОтветить0
SchrodingerAirdrop
· 08-06 00:25
Кошелек подписывает контракт, не отпуская, даже Go в панике.
Посмотреть ОригиналОтветить0
MetaverseLandlord
· 08-06 00:20
Торговля криптовалютой как сон, будьте осторожны, чтобы не стать жертвой кражи.
Блокчейн смарт-контракты стали новым инструментом мошенничества. Защита активов требует многослойной стратегии.
Блокчейн смарт-контракты: от инструмента безопасности до средства мошенничества
Криптовалюты и технологии Блокчейн переопределяют финансовую свободу, но эта революция также принесла новые угрозы. Мошенники больше не полагаются исключительно на уязвимости технологий, а превращают сами протоколы смарт-контрактов Блокчейна в инструменты атаки. Они используют тщательно спланированные ловушки социального инженерии, сочетая прозрачность и необратимость Блокчейна, чтобы превратить доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными транзакциями, эти атаки не только скрытны и трудны для отслеживания, но и становятся более обманчивыми благодаря своему "легитимному" виду.
Один. Как соглашение становится инструментом мошенничества?
Первоначальная цель Блокчейн-протокола — обеспечить безопасность и доверие, но мошенники используют его характеристики и неосторожность пользователей, создавая различные скрытые методы атаки:
(1) Злоумышленное смарт-контрактное разрешение
Технический принцип: Стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону извлекать указанное количество токенов из их кошелька. Эта функция широко используется в протоколах децентрализованных финансов (DeFi), но также используется мошенниками.
Способ работы: Мошенники создают децентрализованные приложения (DApp), замаскированные под законные проекты, чтобы заставить пользователей предоставить доступ. На поверхности это выглядит как разрешение на небольшое количество токенов, но на самом деле это может быть неограниченный лимит. Как только разрешение будет дано, мошенники могут в любое время извлечь все соответствующие токены из кошелька пользователя.
(2) Подпись фишинга
Технический принцип: Блокчейн-транзакции требуют от пользователей генерировать подписи с помощью приватного ключа. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.
Способ работы: Пользователи получают сообщения, замаскированные под официальные уведомления, и их направляют на вредоносный сайт для подписания "верификации транзакции". Эта транзакция может напрямую перевести активы пользователя или предоставить мошенникам контроль над коллекцией NFT пользователя.
(3) Ложные токены и "атака пыли"
Технические принципы: Открытость Блокчейна позволяет отправлять токены на любые адреса. Мошенники используют этот факт для отслеживания активности кошельков и связывания с личностями или компаниями.
Способ работы: Мошенники отправляют небольшое количество криптовалюты на несколько адресов, анализируя последующие транзакции для определения активных кошельков. Они также могут отправлять токены с заманчивыми названиями, направляя пользователей на вредоносные сайты.
Два, почему эти мошенничества трудно заметить?
Эти мошенничества успешны в основном потому, что они скрываются в легитимных механизмах Блокчейн:
Техническая сложность: код смарт-контрактов и запросы на подпись трудно понять для нетехнических пользователей.
Законность на цепочке: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают проблему лишь позже.
Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие.
Умелая маскировка: Фишинговые сайты могут использовать URL, похожие на официальный домен, даже увеличивая доверие с помощью сертификата HTTPS.
Три, как защитить ваш криптовалютный кошелек?
Перед лицом этих афер технической и психологической войны защита активов требует многоуровневой стратегии:
Проверьте и управляйте правами доступа
Проверка ссылок и источников
Использование холодного кошелька и мультиподписей
Осторожно обрабатывайте запросы на подпись
Реакция на атаки с помощью пыли
Заключение
Реализация вышеупомянутых мер безопасности может значительно снизить риск стать жертвой высококвалифицированной мошеннической схемы. Однако настоящая безопасность зависит не только от технологий, но и от понимания пользователем логики авторизации и осмотрительности в действиях на блокчейне. Каждое декодирование данных перед подписанием и каждая проверка прав после авторизации — это защита собственного цифрового суверенитета.
В мире блокчейна, где код является законом, каждое нажатие кнопки и каждая транзакция навсегда записываются и не могут быть изменены. Поэтому важно интегрировать осознание безопасности в привычку и поддерживать баланс между доверием и проверкой, что является ключом к долгосрочной защите активов.