La espada de doble filo de los contratos inteligentes de la cadena de bloques: oportunidades y riesgos potenciales coexisten
Las criptomonedas y la tecnología de la Cadena de bloques están remodelando el concepto de libertad financiera, pero esta revolución también ha traído nuevos desafíos. Con el desarrollo de la tecnología, los delincuentes ya no se limitan a aprovechar las vulnerabilidades del sistema, sino que convierten de manera ingeniosa los protocolos de contratos inteligentes de la Cadena de bloques en herramientas de ataque. Diseñan cuidadosamente trampas de ingeniería social, aprovechando la transparencia e irreversibilidad de la Cadena de bloques, convirtiendo la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legalizada". Este artículo analizará casos reales para revelar cómo los delincuentes transforman el protocolo en un vehículo de ataque y proporcionará soluciones integrales, desde la protección técnica hasta la prevención de conductas, para ayudar a los usuarios a avanzar de manera segura en un mundo descentralizado.
Uno, ¿cómo se pueden abusar de los contratos inteligentes?
El propósito del diseño de protocolos de cadena de bloques es garantizar la seguridad y la confianza, pero los delincuentes aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas encubiertas de ataque. A continuación se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (normalmente contratos inteligentes) a retirar una cantidad específica de tokens de su billetera mediante la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, ya que los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los delincuentes han aprovechado este mecanismo para diseñar contratos maliciosos.
Forma de operar:
Crean un DApp que se disfraza de un proyecto legítimo, a menudo promovido a través de sitios web de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato de los delincuentes obtiene permiso para llamar a la función "TransferFrom" en cualquier momento, extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real:
A principios de 2023, un sitio web de phishing disfrazado como "actualización de algún DEX" provocó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas ni siquiera pueden recuperarlo a través de medios legales, ya que la autorización fue firmada de manera voluntaria.
(2) firma de phishing
Principio técnico:
Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de su clave privada para probar la legalidad de la transacción. La billetera generalmente mostrará una solicitud de firma, y una vez que el usuario la confirme, la transacción se transmitirá a la red. Los delincuentes aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar:
El usuario recibe un correo electrónico o un mensaje en redes sociales disfrazado de notificación oficial, como "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que solicita conectar la billetera y firmar una "transacción de verificación". Esta transacción podría ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del otro; o una operación de "SetApprovalForAll", que autoriza al otro a controlar la colección de NFT del usuario.
Caso real:
Una conocida comunidad de un proyecto NFT sufrió un ataque de phishing por firma, donde varios usuarios perdieron NFTs por valor de millones de dólares al firmar transacciones falsas de "recepción de airdrop". Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico:
La apertura de la cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los delincuentes aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y asociarlas con las personas o empresas que poseen las billeteras. Esto comienza con el envío de "polvo": enviar pequeñas cantidades de criptomonedas a diferentes direcciones y luego intentar averiguar cuál pertenece a la misma billetera. Posteriormente, utilizan esta información para lanzar ataques de phishing o amenazas a las víctimas.
Forma de operación:
En la mayoría de los casos, el "polvo" utilizado en un ataque de polvo se distribuye a los billeteras de los usuarios en forma de airdrop, y estos tokens pueden tener nombres o metadatos (como "FREE_AIRDROP"), lo que induce a los usuarios a visitar un sitio web para consultar los detalles. Los usuarios generalmente estarán encantados de querer canjear estos tokens, y luego los delincuentes podrán acceder a la billetera del usuario a través de la dirección del contrato adjunta al token. De manera encubierta, el ataque de polvo utiliza ingeniería social, analiza las transacciones posteriores del usuario y localiza la dirección de la billetera activa del usuario, lo que permite llevar a cabo estafas más precisas.
Caso real:
En el pasado, el ataque de "tokens GAS" en la red de Ethereum afectó a miles de billeteras. Algunos usuarios, por curiosidad al interactuar, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de identificar estos ataques?
Estos ataques han tenido éxito en gran medida porque se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica:
El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que impide que los usuarios comprendan su significado de manera intuitiva.
Legalidad en la cadena de bloques:
Todas las transacciones se registran en la cadena de bloques, parecen ser transparentes, pero las víctimas a menudo solo se dan cuenta de las consecuencias de la autorización o la firma después de que ya no se pueden recuperar los activos.
Ingeniería social:
Los delincuentes aprovechan las debilidades humanas, como la codicia ("recibe gratis 1000 dólares en tokens"), el miedo ("se requiere verificación de cuenta anormal") o la confianza (suplantando al servicio al cliente).
Camuflaje ingenioso:
Los sitios de phishing pueden usar URLs similares al nombre de dominio oficial (como "metamask.io" convirtiéndose en "metamaskk.io"), e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos ataques que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples capas. A continuación se detallan las medidas de prevención:
Verificar y gestionar permisos de autorización
Utiliza el verificador de aprobación del explorador de bloques o herramientas de gestión de permisos especializadas para revisar los registros de autorización de la billetera.
Revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Antes de cada autorización, asegúrate de que el DApp provenga de una fuente confiable.
Verifica el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Verificar el enlace y la fuente
Introduzca manualmente la URL oficial, evite hacer clic en los enlaces de las redes sociales o correos electrónicos.
Asegúrate de que el sitio web utilice el nombre de dominio correcto y el certificado SSL (icono de candado verde). Ten cuidado con errores de ortografía o caracteres adicionales.
Si recibe una variante de un dominio de una plataforma conocida (como "opensea.io-login"), sospeche de su autenticidad.
usar una billetera fría y firmas múltiples
Almacene la mayor parte de los activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
Para activos de gran cantidad, utiliza herramientas de firma múltiple que requieren la confirmación de la transacción por múltiples claves, reduciendo el riesgo de errores de un solo punto.
Incluso si la billetera caliente es comprometida, los activos en almacenamiento en frío siguen siendo seguros.
Maneje con cuidado las solicitudes de firma
Cada vez que firme, lea detenidamente los detalles de la transacción en la ventana emergente de la billetera.
Utilice la función "decodificar datos de entrada" del explorador de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
Crear una billetera independiente para operaciones de alto riesgo y almacenar una pequeña cantidad de activos.
respuesta a ataques de polvo
Después de recibir tokens desconocidos, no interactúe. Márquelos como "basura" o escóndalos.
A través de la plataforma del explorador de la cadena de bloques, confirma el origen del token; si es un envío masivo, mantén una alta vigilancia.
Evita hacer pública la dirección de tu billetera, o utiliza una nueva dirección para realizar operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de planes de fraude avanzados, pero la verdadera seguridad no es una victoria unilateral de la tecnología. Cuando las billeteras de hardware construyen una defensa física y la firma múltiple distribuye la exposición al riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son el último bastión contra los ataques. Cada análisis de datos antes de la firma y cada revisión de permisos después de la autorización son un juramento a su propia soberanía digital.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa más crítica siempre radicará en: internalizar la conciencia de seguridad como memoria muscular y establecer un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente en el mundo de la cadena, y no pueden ser modificados.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
6
Compartir
Comentar
0/400
WalletWhisperer
· 07-18 06:04
los patrones de comportamiento nunca mienten... las estadísticas de vulnerabilidades de contratos inteligentes están aumentando desde el segundo trimestre
Ver originalesResponder0
RunWhenCut
· 07-17 21:01
¿Además de hacer un Rug Pull, hay otras opciones?
Ver originalesResponder0
MetaNeighbor
· 07-15 20:33
¡Los contratos basura son más comunes que los perros!
Ver originalesResponder0
CryptoTarotReader
· 07-15 20:32
Hacker de versión pobre está merodeando por todas partes
Seguridad de los contratos inteligentes en zonas ciegas: Revelando nuevas técnicas de ataque a los protocolos de la cadena de bloques para novatos
La espada de doble filo de los contratos inteligentes de la cadena de bloques: oportunidades y riesgos potenciales coexisten
Las criptomonedas y la tecnología de la Cadena de bloques están remodelando el concepto de libertad financiera, pero esta revolución también ha traído nuevos desafíos. Con el desarrollo de la tecnología, los delincuentes ya no se limitan a aprovechar las vulnerabilidades del sistema, sino que convierten de manera ingeniosa los protocolos de contratos inteligentes de la Cadena de bloques en herramientas de ataque. Diseñan cuidadosamente trampas de ingeniería social, aprovechando la transparencia e irreversibilidad de la Cadena de bloques, convirtiendo la confianza del usuario en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legalizada". Este artículo analizará casos reales para revelar cómo los delincuentes transforman el protocolo en un vehículo de ataque y proporcionará soluciones integrales, desde la protección técnica hasta la prevención de conductas, para ayudar a los usuarios a avanzar de manera segura en un mundo descentralizado.
Uno, ¿cómo se pueden abusar de los contratos inteligentes?
El propósito del diseño de protocolos de cadena de bloques es garantizar la seguridad y la confianza, pero los delincuentes aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas encubiertas de ataque. A continuación se presentan algunas técnicas comunes y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principio técnico: En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (normalmente contratos inteligentes) a retirar una cantidad específica de tokens de su billetera mediante la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, ya que los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los delincuentes han aprovechado este mecanismo para diseñar contratos maliciosos.
Forma de operar: Crean un DApp que se disfraza de un proyecto legítimo, a menudo promovido a través de sitios web de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad podría ser un límite infinito (valor uint256.max). Una vez que se completa la autorización, la dirección del contrato de los delincuentes obtiene permiso para llamar a la función "TransferFrom" en cualquier momento, extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real: A principios de 2023, un sitio web de phishing disfrazado como "actualización de algún DEX" provocó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas ni siquiera pueden recuperarlo a través de medios legales, ya que la autorización fue firmada de manera voluntaria.
(2) firma de phishing
Principio técnico: Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de su clave privada para probar la legalidad de la transacción. La billetera generalmente mostrará una solicitud de firma, y una vez que el usuario la confirme, la transacción se transmitirá a la red. Los delincuentes aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar: El usuario recibe un correo electrónico o un mensaje en redes sociales disfrazado de notificación oficial, como "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que solicita conectar la billetera y firmar una "transacción de verificación". Esta transacción podría ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del otro; o una operación de "SetApprovalForAll", que autoriza al otro a controlar la colección de NFT del usuario.
Caso real: Una conocida comunidad de un proyecto NFT sufrió un ataque de phishing por firma, donde varios usuarios perdieron NFTs por valor de millones de dólares al firmar transacciones falsas de "recepción de airdrop". Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principio técnico: La apertura de la cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los delincuentes aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de las billeteras y asociarlas con las personas o empresas que poseen las billeteras. Esto comienza con el envío de "polvo": enviar pequeñas cantidades de criptomonedas a diferentes direcciones y luego intentar averiguar cuál pertenece a la misma billetera. Posteriormente, utilizan esta información para lanzar ataques de phishing o amenazas a las víctimas.
Forma de operación: En la mayoría de los casos, el "polvo" utilizado en un ataque de polvo se distribuye a los billeteras de los usuarios en forma de airdrop, y estos tokens pueden tener nombres o metadatos (como "FREE_AIRDROP"), lo que induce a los usuarios a visitar un sitio web para consultar los detalles. Los usuarios generalmente estarán encantados de querer canjear estos tokens, y luego los delincuentes podrán acceder a la billetera del usuario a través de la dirección del contrato adjunta al token. De manera encubierta, el ataque de polvo utiliza ingeniería social, analiza las transacciones posteriores del usuario y localiza la dirección de la billetera activa del usuario, lo que permite llevar a cabo estafas más precisas.
Caso real: En el pasado, el ataque de "tokens GAS" en la red de Ethereum afectó a miles de billeteras. Algunos usuarios, por curiosidad al interactuar, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de identificar estos ataques?
Estos ataques han tenido éxito en gran medida porque se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que impide que los usuarios comprendan su significado de manera intuitiva.
Legalidad en la cadena de bloques: Todas las transacciones se registran en la cadena de bloques, parecen ser transparentes, pero las víctimas a menudo solo se dan cuenta de las consecuencias de la autorización o la firma después de que ya no se pueden recuperar los activos.
Ingeniería social: Los delincuentes aprovechan las debilidades humanas, como la codicia ("recibe gratis 1000 dólares en tokens"), el miedo ("se requiere verificación de cuenta anormal") o la confianza (suplantando al servicio al cliente).
Camuflaje ingenioso: Los sitios de phishing pueden usar URLs similares al nombre de dominio oficial (como "metamask.io" convirtiéndose en "metamaskk.io"), e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos ataques que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples capas. A continuación se detallan las medidas de prevención:
Verificar y gestionar permisos de autorización
Verificar el enlace y la fuente
usar una billetera fría y firmas múltiples
Maneje con cuidado las solicitudes de firma
respuesta a ataques de polvo
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de planes de fraude avanzados, pero la verdadera seguridad no es una victoria unilateral de la tecnología. Cuando las billeteras de hardware construyen una defensa física y la firma múltiple distribuye la exposición al riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son el último bastión contra los ataques. Cada análisis de datos antes de la firma y cada revisión de permisos después de la autorización son un juramento a su propia soberanía digital.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa más crítica siempre radicará en: internalizar la conciencia de seguridad como memoria muscular y establecer un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente en el mundo de la cadena, y no pueden ser modificados.