Blockchain des smart contracts : opportunités et risques potentiels coexistent
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution s'accompagne également de nouveaux défis. Avec l'évolution de la technologie, les criminels ne se contentent plus d'exploiter les failles du système, mais transforment habilement les protocoles de smart contracts de la Blockchain en outils d'attaque. Ils conçoivent des pièges d'ingénierie sociale, utilisant la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en moyens de vol d'actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitime". Cet article analysera des cas réels pour révéler comment les criminels transforment le protocole lui-même en vecteur d'attaque, et fournira des solutions complètes, allant de la protection technique à la prévention comportementale, pour aider les utilisateurs à naviguer en toute sécurité dans un monde décentralisé.
I. Comment les protocoles de smart contracts peuvent-ils être abusés ?
La conception des protocoles Blockchain a pour objectif de garantir la sécurité et la confiance, mais des individus malveillants tirent parti de ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques courantes et leurs détails techniques :
(1) Autorisation de smart contracts malveillants
Principe technique :
Sur des blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement des smart contracts) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, des individus malveillants exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Ils créent une DApp se faisant passer pour un projet légitime, généralement promue via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", qui semble autoriser un petit montant de jetons, mais en réalité, cela pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation accordée, l'adresse du contrat des malfaiteurs obtient les droits et peut à tout moment appeler la fonction "TransferFrom" pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing déguisé en "mise à niveau de某DEX" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données en chaîne montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes n'ont même pas pu récupérer leur argent par des moyens légaux, car l'autorisation a été signée volontairement.
(2) Phishing de signature
Principe de la technologie :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légalité de la transaction. Les portefeuilles affichent généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les criminels exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message sur les réseaux sociaux déguisé en notification officielle, par exemple "Votre airdrop NFT est prêt à être réclamé, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est redirigé vers un site malveillant, lui demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'autre partie ; ou être une opération "SetApprovalForAll", autorisant l'autre partie à contrôler la collection NFT de l'utilisateur.
Cas réel :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "de réception d'airdrop" falsifiées. Les attaquants ont exploité la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens faux et "attaque par poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les criminels exploitent cela en envoyant de petites quantités de cryptomonnaies à plusieurs adresses de portefeuille afin de suivre les activités des portefeuilles et de les associer aux individus ou entreprises qui possèdent ces portefeuilles. Cela commence par l'envoi de poussière - envoyer de petites quantités de cryptomonnaies à différentes adresses, puis tenter de déterminer lesquelles appartiennent au même portefeuille. Ensuite, ils utilisent ces informations pour lancer des attaques de phishing ou des menaces contre les victimes.
Fonctionnement :
Dans la plupart des cas, la "poussière" utilisée dans les attaques par poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs, ces tokens pouvant comporter un nom ou des métadonnées (comme "FREE_AIRDROP"), incitant les utilisateurs à visiter un site web pour plus de détails. Les utilisateurs sont généralement très heureux de vouloir encaisser ces tokens, puis des personnes malveillantes peuvent accéder au portefeuille de l'utilisateur via l'adresse du contrat associée aux tokens. Ce qui est insidieux, c'est que l'attaque par poussière utilise l'ingénierie sociale, en analysant les transactions ultérieures de l'utilisateur, pour cibler l'adresse de portefeuille active de l'utilisateur et ainsi mettre en œuvre des escroqueries plus précises.
Cas réel :
Dans le passé, les attaques de poussière sur les "tokens GAS" sur le réseau Ethereum ont affecté des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des tokens ERC-20 par curiosité.
Deuxièmement, pourquoi ces attaques sont-elles difficiles à identifier ?
Ces attaques ont réussi en grande partie parce qu'elles se cachent derrière les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique :
Le code des smart contracts et les requêtes de signature sont obscurs et difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une requête "Approve" pourrait apparaître sous forme de données hexadécimales telles que "0x095ea7b3...", rendant difficile pour l'utilisateur de juger de son sens de manière intuitive.
Légalité sur la Blockchain :
Toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent seulement après coup les conséquences de l'autorisation ou de la signature, et à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale :
Des personnes malintentionnées exploitent les faiblesses humaines, telles que la cupidité ("recevoir gratuitement des jetons d'une valeur de 1000 dollars"), la peur ("vérification requise en raison d'une anomalie de compte") ou la confiance (se faisant passer pour un service client).
Déguisement subtil :
Les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel (par exemple, "metamask.io" devient "metamaskk.io"), et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaies ?
Face à ces attaques alliant technologie et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Utilisez l'outil de vérification des autorisations du navigateur Blockchain ou un outil de gestion des droits spécialisé pour vérifier les enregistrements d'autorisation du portefeuille.
Révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour des adresses inconnues.
Avant chaque autorisation, assurez-vous que le DApp provient d'une source de confiance.
Vérifiez la valeur "Allowance" ; si elle est "illimitée" (comme 2^256-1), elle doit être immédiatement annulée.
Vérifiez le lien et la source
Saisissez manuellement l'URL officielle, évitez de cliquer sur des liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL (icône de cadenas vert). Méfiez-vous des fautes d'orthographe ou des caractères superflus.
Si vous recevez une variante d'un domaine d'une plateforme réputée (comme "opensea.io-login"), suspectez immédiatement sa véracité.
Utiliser un portefeuille froid et une signature multiple
Stockez la plupart de vos actifs dans un portefeuille matériel et ne connectez le réseau que lorsque cela est nécessaire.
Pour les actifs de grande valeur, utilisez des outils de multi-signature, exigeant la confirmation des transactions par plusieurs clés, afin de réduire le risque d'erreur unique.
Même si le portefeuille chaud est piraté, les actifs de stockage à froid restent en sécurité.
Traitez les demandes de signature avec prudence
Lors de chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utilisez la fonction "Décoder les données d'entrée" du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Créez un portefeuille indépendant pour les opérations à haut risque, en y plaçant une petite quantité d'actifs.
faire face aux attaques de poussière
Après avoir reçu des jetons inconnus, n'interagissez pas. Marquez-les comme "spam" ou cachez-les.
Confirmez l'origine des jetons via la plateforme du navigateur Blockchain, et si l'envoi est en masse, restez très vigilant.
Évitez de rendre publique votre adresse de portefeuille ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité susmentionnées, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés, mais la véritable sécurité n'est en aucun cas une victoire unilatérale de la technologie. Lorsque les portefeuilles matériels établissent une défense physique et que les signatures multiples répartissent l'exposition au risque, la compréhension par l'utilisateur de la logique d'autorisation et la prudence dans les comportements en chaîne sont la dernière forteresse contre les attaques. Chaque analyse de données avant la signature et chaque réexamen des autorisations après un consentement sont un serment de leur souveraineté numérique.
Dans le futur, peu importe comment la technologie évolue, la ligne de défense la plus fondamentale réside toujours dans : internaliser la conscience de la sécurité jusqu'à en faire un réflexe, établir un équilibre éternel entre confiance et vérification. Après tout, dans le monde du Blockchain où le code est loi, chaque clic, chaque transaction est enregistré de façon permanente dans le monde de la chaîne, et ne peut être modifié.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
6
Partager
Commentaire
0/400
WalletWhisperer
· 07-18 06:04
les modèles de comportement ne mentent jamais... les statistiques de vulnérabilité des contrats intelligents augmentent depuis le deuxième trimestre
Voir l'originalRépondre0
RunWhenCut
· 07-17 21:01
Rug Pull, à part se faire prendre sur le boulevard, y a-t-il d'autres choix ?
Voir l'originalRépondre0
MetaNeighbor
· 07-15 20:33
Il y a tellement de contrats pourris !
Voir l'originalRépondre0
CryptoTarotReader
· 07-15 20:32
Le Hacker de la version mendiant se déplace partout.
Sécurité des smart contracts : révéler de nouvelles méthodes d'attaque des protocoles Blockchain pour les Débutants
Blockchain des smart contracts : opportunités et risques potentiels coexistent
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution s'accompagne également de nouveaux défis. Avec l'évolution de la technologie, les criminels ne se contentent plus d'exploiter les failles du système, mais transforment habilement les protocoles de smart contracts de la Blockchain en outils d'attaque. Ils conçoivent des pièges d'ingénierie sociale, utilisant la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en moyens de vol d'actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitime". Cet article analysera des cas réels pour révéler comment les criminels transforment le protocole lui-même en vecteur d'attaque, et fournira des solutions complètes, allant de la protection technique à la prévention comportementale, pour aider les utilisateurs à naviguer en toute sécurité dans un monde décentralisé.
I. Comment les protocoles de smart contracts peuvent-ils être abusés ?
La conception des protocoles Blockchain a pour objectif de garantir la sécurité et la confiance, mais des individus malveillants tirent parti de ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques courantes et leurs détails techniques :
(1) Autorisation de smart contracts malveillants
Principe technique : Sur des blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement des smart contracts) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, des individus malveillants exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement : Ils créent une DApp se faisant passer pour un projet légitime, généralement promue via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", qui semble autoriser un petit montant de jetons, mais en réalité, cela pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation accordée, l'adresse du contrat des malfaiteurs obtient les droits et peut à tout moment appeler la fonction "TransferFrom" pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel : Début 2023, un site de phishing déguisé en "mise à niveau de某DEX" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données en chaîne montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes n'ont même pas pu récupérer leur argent par des moyens légaux, car l'autorisation a été signée volontairement.
(2) Phishing de signature
Principe de la technologie : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légalité de la transaction. Les portefeuilles affichent généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les criminels exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : L'utilisateur reçoit un e-mail ou un message sur les réseaux sociaux déguisé en notification officielle, par exemple "Votre airdrop NFT est prêt à être réclamé, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est redirigé vers un site malveillant, lui demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'autre partie ; ou être une opération "SetApprovalForAll", autorisant l'autre partie à contrôler la collection NFT de l'utilisateur.
Cas réel : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "de réception d'airdrop" falsifiées. Les attaquants ont exploité la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens faux et "attaque par poussière"
Principe technique : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les criminels exploitent cela en envoyant de petites quantités de cryptomonnaies à plusieurs adresses de portefeuille afin de suivre les activités des portefeuilles et de les associer aux individus ou entreprises qui possèdent ces portefeuilles. Cela commence par l'envoi de poussière - envoyer de petites quantités de cryptomonnaies à différentes adresses, puis tenter de déterminer lesquelles appartiennent au même portefeuille. Ensuite, ils utilisent ces informations pour lancer des attaques de phishing ou des menaces contre les victimes.
Fonctionnement : Dans la plupart des cas, la "poussière" utilisée dans les attaques par poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs, ces tokens pouvant comporter un nom ou des métadonnées (comme "FREE_AIRDROP"), incitant les utilisateurs à visiter un site web pour plus de détails. Les utilisateurs sont généralement très heureux de vouloir encaisser ces tokens, puis des personnes malveillantes peuvent accéder au portefeuille de l'utilisateur via l'adresse du contrat associée aux tokens. Ce qui est insidieux, c'est que l'attaque par poussière utilise l'ingénierie sociale, en analysant les transactions ultérieures de l'utilisateur, pour cibler l'adresse de portefeuille active de l'utilisateur et ainsi mettre en œuvre des escroqueries plus précises.
Cas réel : Dans le passé, les attaques de poussière sur les "tokens GAS" sur le réseau Ethereum ont affecté des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des tokens ERC-20 par curiosité.
Deuxièmement, pourquoi ces attaques sont-elles difficiles à identifier ?
Ces attaques ont réussi en grande partie parce qu'elles se cachent derrière les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des smart contracts et les requêtes de signature sont obscurs et difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une requête "Approve" pourrait apparaître sous forme de données hexadécimales telles que "0x095ea7b3...", rendant difficile pour l'utilisateur de juger de son sens de manière intuitive.
Légalité sur la Blockchain : Toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent seulement après coup les conséquences de l'autorisation ou de la signature, et à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Des personnes malintentionnées exploitent les faiblesses humaines, telles que la cupidité ("recevoir gratuitement des jetons d'une valeur de 1000 dollars"), la peur ("vérification requise en raison d'une anomalie de compte") ou la confiance (se faisant passer pour un service client).
Déguisement subtil : Les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel (par exemple, "metamask.io" devient "metamaskk.io"), et même augmenter leur crédibilité grâce à des certificats HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaies ?
Face à ces attaques alliant technologie et guerre psychologique, la protection des actifs nécessite une stratégie multi-niveaux. Voici des mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Vérifiez le lien et la source
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
faire face aux attaques de poussière
Conclusion
En mettant en œuvre les mesures de sécurité susmentionnées, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés, mais la véritable sécurité n'est en aucun cas une victoire unilatérale de la technologie. Lorsque les portefeuilles matériels établissent une défense physique et que les signatures multiples répartissent l'exposition au risque, la compréhension par l'utilisateur de la logique d'autorisation et la prudence dans les comportements en chaîne sont la dernière forteresse contre les attaques. Chaque analyse de données avant la signature et chaque réexamen des autorisations après un consentement sont un serment de leur souveraineté numérique.
Dans le futur, peu importe comment la technologie évolue, la ligne de défense la plus fondamentale réside toujours dans : internaliser la conscience de la sécurité jusqu'à en faire un réflexe, établir un équilibre éternel entre confiance et vérification. Après tout, dans le monde du Blockchain où le code est loi, chaque clic, chaque transaction est enregistré de façon permanente dans le monde de la chaîne, et ne peut être modifié.