Blockchain sécurité : nouvelles formes de fraude par smart contracts et stratégies de prévention
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette transformation apporte également de nouvelles menaces. Les escrocs ne se limitent plus à exploiter les vulnérabilités technologiques, mais transforment les protocoles de smart contracts Blockchain eux-mêmes en outils d'attaque. Ils utilisent des pièges d'ingénierie sociale soigneusement conçus, tirant parti de la transparence et de l'irréversibilité de la Blockchain, pour transformer la confiance des utilisateurs en un moyen de vol d'actifs. Des smart contracts falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des cas réels pour révéler comment les escrocs transforment les protocoles en vecteurs d'attaque et proposera des solutions complètes allant de la protection technique à la prévention comportementale, afin d'aider les utilisateurs à naviguer en toute sécurité dans un monde décentralisé.
I. Comment un contrat légal peut-il devenir un outil de fraude ?
Le but initial des protocoles Blockchain est de garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principe technique :
Sur des blockchains comme Ethereum, le standard de jetons ERC-20 permet aux utilisateurs d'autoriser des tiers (généralement des smart contracts) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, du staking ou du mining de liquidités. Cependant, les fraudeurs exploitent ce mécanisme pour concevoir des contrats malveillants.
Fonctionnement :
Les escrocs créent un DApp déguisé en projet légitime, généralement promu via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", qui semble autoriser une petite quantité de jetons, mais en réalité pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse du contrat de l'escroc obtient les droits et peut à tout moment appeler la fonction "TransferFrom" pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing déguisé en "mise à niveau d'Uniswap V3" a conduit des centaines d'utilisateurs à perdre des millions de dollars en USDT et ETH. Les données on-chain montrent que ces transactions sont entièrement conformes à la norme ERC-20, et les victimes ne peuvent même pas récupérer leurs fonds par des moyens légaux, car l'autorisation a été signée volontairement.
(2) Phishing par signature
Principe technique :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affiche généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature afin de voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est à récupérer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, qui demande de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les tokens du portefeuille vers l'adresse de l'escroc ; ou être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel :
La communauté Bored Ape Yacht Club (BAYC) a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'acquisition de largage" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens frauduleux et "attaque de poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille pour suivre l'activité des portefeuilles et la relier à la personne ou à l'entreprise qui possède le portefeuille.
Mode de fonctionnement :
Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs, ces jetons peuvent porter un nom ou des métadonnées (comme "FREE_AIRDROP"), incitant les utilisateurs à visiter un site web pour consulter les détails. Les utilisateurs peuvent vouloir encaisser ces jetons, puis les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse de contrat associée aux jetons. Ce qui est insidieux, c'est que les attaques de poussière utilisent l'ingénierie sociale, analysent les transactions ultérieures des utilisateurs, et ciblent les adresses de portefeuille actives des utilisateurs pour mettre en œuvre des escroqueries plus précises.
Cas réel :
Dans le passé, les attaques de poussière de "jetons GAS" sur le réseau Ethereum ont affecté des milliers de portefeuilles. Certains utilisateurs, par curiosité, ont perdu de l'ETH et des jetons ERC-20.
Deuxièmement, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour l'utilisateur moyen de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique :
Le code des smart contracts et les demandes de signature peuvent sembler obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", rendant difficile pour l'utilisateur de comprendre intuitivement sa signification.
Légalité sur la Blockchain :
Toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent les conséquences de l'autorisation ou de la signature trop tard, à un moment où les actifs ne peuvent plus être récupérés.
Ingénierie sociale :
Les escrocs exploitent les faiblesses humaines, telles que la cupidité ("recevez gratuitement des jetons d'une valeur de 1000 dollars"), la peur ("vérification nécessaire en raison d'une activité suspecte sur le compte") ou la confiance (se faisant passer pour un service client).
Déguisement subtil :
Les sites de phishing peuvent utiliser des URL similaires à celles du nom de domaine officiel (par exemple, "metamask.io" devient "metamaskk.io"), voire augmenter leur crédibilité grâce à un certificat HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaies ?
La sécurité de la Blockchain face à ces escroqueries qui coexistent entre techniques et guerres psychologiques nécessite des stratégies multicouches pour protéger les actifs. Voici les mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Outils : utilisez l'outil de vérification des autorisations ou l'outil de révocation pour vérifier les enregistrements d'autorisation du portefeuille.
Opération : révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues. Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Détails techniques : vérifiez la valeur "Allowance", si elle est "illimitée" (comme 2^256-1), elle doit être immédiatement annulée.
Vérifier le lien et la source
Méthode : saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Vérifiez : assurez-vous que le site utilise le bon nom de domaine et le certificat SSL (icône de cadenas vert). Soyez attentif aux fautes d'orthographe ou aux caractères superflus.
Exemple : Si vous recevez une variante de "opensea.io" (comme "opensea.io-login"), soupçonnez immédiatement son authenticité.
Utiliser un portefeuille froid et une multi-signature
Cold wallet : stocker la majorité des actifs dans un portefeuille matériel, et ne se connecter au réseau que lorsque c'est nécessaire.
Multisignature : Pour les actifs de grande valeur, utilisez des outils de multisignature, exigeant la confirmation de plusieurs clés pour les transactions, réduisant ainsi le risque d'erreur unique.
Avantages : même si le portefeuille chaud est compromis, les actifs stockés à froid restent sécurisés.
Traitez les demandes de signature avec prudence
Étapes : Lors de chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille. Si des fonctions inconnues (comme "TransferFrom") sont incluses, refusez de signer.
Outils : utilisez la fonction "Décoder les données d'entrée" du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Conseil : Créez un portefeuille indépendant pour les opérations à haut risque et stockez une petite quantité d'actifs.
faire face à une attaque de poussière
Stratégie : après avoir reçu des jetons inconnus, ne pas interagir. Marquez-les comme "poubelle" ou cachez-les.
Vérifiez : confirmez la source des jetons via le navigateur Blockchain, si c'est un envoi en masse, soyez très prudent.
Prévention : éviter de rendre publique l'adresse du portefeuille, ou utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir des victimes de programmes de fraude avancés, mais la véritable sécurité n'est en aucun cas une victoire unilatérale sur le plan technique. Lorsque les portefeuilles matériels établissent une barrière physique et que la signature multiple disperse l'exposition au risque, la compréhension par l'utilisateur de la logique d'autorisation et la prudence dans ses comportements on-chain constituent le dernier rempart contre les attaques. Chaque analyse des données avant la signature et chaque vérification des autorisations après l'autorisation sont un serment pour sa propre souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité comme un réflexe, établir un équilibre éternel entre confiance et vérification. Après tout, dans le monde du Blockchain où le code est la loi, chaque clic, chaque transaction est enregistré de manière permanente sur la chaîne, et ne peut être modifié.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
6
Reposter
Partager
Commentaire
0/400
BlockchainDecoder
· Il y a 9h
Il est nécessaire d'explorer la logique sous-jacente.
Voir l'originalRépondre0
SigmaValidator
· Il y a 9h
Méfiez-vous des pièges de fausses signatures
Voir l'originalRépondre0
liquidation_surfer
· Il y a 9h
Encore un nouveau piège des hackers
Voir l'originalRépondre0
New_Ser_Ngmi
· Il y a 9h
Ceux qui ont raison disent la vérité.
Voir l'originalRépondre0
LiquidatedTwice
· Il y a 9h
Approbation des bonnes stratégies de prévention des contrefaçons
Analyse des techniques de fraude liées aux protocoles Blockchain : stratégies complètes pour protéger la sécurité des actifs numériques.
Blockchain sécurité : nouvelles formes de fraude par smart contracts et stratégies de prévention
Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette transformation apporte également de nouvelles menaces. Les escrocs ne se limitent plus à exploiter les vulnérabilités technologiques, mais transforment les protocoles de smart contracts Blockchain eux-mêmes en outils d'attaque. Ils utilisent des pièges d'ingénierie sociale soigneusement conçus, tirant parti de la transparence et de l'irréversibilité de la Blockchain, pour transformer la confiance des utilisateurs en un moyen de vol d'actifs. Des smart contracts falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des cas réels pour révéler comment les escrocs transforment les protocoles en vecteurs d'attaque et proposera des solutions complètes allant de la protection technique à la prévention comportementale, afin d'aider les utilisateurs à naviguer en toute sécurité dans un monde décentralisé.
I. Comment un contrat légal peut-il devenir un outil de fraude ?
Le but initial des protocoles Blockchain est de garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principe technique : Sur des blockchains comme Ethereum, le standard de jetons ERC-20 permet aux utilisateurs d'autoriser des tiers (généralement des smart contracts) à retirer un montant spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, du staking ou du mining de liquidités. Cependant, les fraudeurs exploitent ce mécanisme pour concevoir des contrats malveillants.
Fonctionnement : Les escrocs créent un DApp déguisé en projet légitime, généralement promu via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", qui semble autoriser une petite quantité de jetons, mais en réalité pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse du contrat de l'escroc obtient les droits et peut à tout moment appeler la fonction "TransferFrom" pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel : Début 2023, un site de phishing déguisé en "mise à niveau d'Uniswap V3" a conduit des centaines d'utilisateurs à perdre des millions de dollars en USDT et ETH. Les données on-chain montrent que ces transactions sont entièrement conformes à la norme ERC-20, et les victimes ne peuvent même pas récupérer leurs fonds par des moyens légaux, car l'autorisation a été signée volontairement.
(2) Phishing par signature
Principe technique : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affiche généralement une demande de signature, et après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature afin de voler des actifs.
Mode de fonctionnement : L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est à récupérer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, qui demande de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les tokens du portefeuille vers l'adresse de l'escroc ; ou être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel : La communauté Bored Ape Yacht Club (BAYC) a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "d'acquisition de largage" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens frauduleux et "attaque de poussière"
Principe technique : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille pour suivre l'activité des portefeuilles et la relier à la personne ou à l'entreprise qui possède le portefeuille.
Mode de fonctionnement : Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs, ces jetons peuvent porter un nom ou des métadonnées (comme "FREE_AIRDROP"), incitant les utilisateurs à visiter un site web pour consulter les détails. Les utilisateurs peuvent vouloir encaisser ces jetons, puis les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse de contrat associée aux jetons. Ce qui est insidieux, c'est que les attaques de poussière utilisent l'ingénierie sociale, analysent les transactions ultérieures des utilisateurs, et ciblent les adresses de portefeuille actives des utilisateurs pour mettre en œuvre des escroqueries plus précises.
Cas réel : Dans le passé, les attaques de poussière de "jetons GAS" sur le réseau Ethereum ont affecté des milliers de portefeuilles. Certains utilisateurs, par curiosité, ont perdu de l'ETH et des jetons ERC-20.
Deuxièmement, pourquoi ces escroqueries sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour l'utilisateur moyen de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des smart contracts et les demandes de signature peuvent sembler obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", rendant difficile pour l'utilisateur de comprendre intuitivement sa signification.
Légalité sur la Blockchain : Toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent les conséquences de l'autorisation ou de la signature trop tard, à un moment où les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, telles que la cupidité ("recevez gratuitement des jetons d'une valeur de 1000 dollars"), la peur ("vérification nécessaire en raison d'une activité suspecte sur le compte") ou la confiance (se faisant passer pour un service client).
Déguisement subtil : Les sites de phishing peuvent utiliser des URL similaires à celles du nom de domaine officiel (par exemple, "metamask.io" devient "metamaskk.io"), voire augmenter leur crédibilité grâce à un certificat HTTPS.
Trois, comment protéger votre portefeuille de cryptomonnaies ?
La sécurité de la Blockchain face à ces escroqueries qui coexistent entre techniques et guerres psychologiques nécessite des stratégies multicouches pour protéger les actifs. Voici les mesures de prévention détaillées :
Vérifiez et gérez les autorisations d'autorisation
Outils : utilisez l'outil de vérification des autorisations ou l'outil de révocation pour vérifier les enregistrements d'autorisation du portefeuille.
Opération : révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues. Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Détails techniques : vérifiez la valeur "Allowance", si elle est "illimitée" (comme 2^256-1), elle doit être immédiatement annulée.
Vérifier le lien et la source
Méthode : saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
Vérifiez : assurez-vous que le site utilise le bon nom de domaine et le certificat SSL (icône de cadenas vert). Soyez attentif aux fautes d'orthographe ou aux caractères superflus.
Exemple : Si vous recevez une variante de "opensea.io" (comme "opensea.io-login"), soupçonnez immédiatement son authenticité.
Utiliser un portefeuille froid et une multi-signature
Cold wallet : stocker la majorité des actifs dans un portefeuille matériel, et ne se connecter au réseau que lorsque c'est nécessaire.
Multisignature : Pour les actifs de grande valeur, utilisez des outils de multisignature, exigeant la confirmation de plusieurs clés pour les transactions, réduisant ainsi le risque d'erreur unique.
Avantages : même si le portefeuille chaud est compromis, les actifs stockés à froid restent sécurisés.
Traitez les demandes de signature avec prudence
Étapes : Lors de chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille. Si des fonctions inconnues (comme "TransferFrom") sont incluses, refusez de signer.
Outils : utilisez la fonction "Décoder les données d'entrée" du navigateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Conseil : Créez un portefeuille indépendant pour les opérations à haut risque et stockez une petite quantité d'actifs.
faire face à une attaque de poussière
Stratégie : après avoir reçu des jetons inconnus, ne pas interagir. Marquez-les comme "poubelle" ou cachez-les.
Vérifiez : confirmez la source des jetons via le navigateur Blockchain, si c'est un envoi en masse, soyez très prudent.
Prévention : éviter de rendre publique l'adresse du portefeuille, ou utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir des victimes de programmes de fraude avancés, mais la véritable sécurité n'est en aucun cas une victoire unilatérale sur le plan technique. Lorsque les portefeuilles matériels établissent une barrière physique et que la signature multiple disperse l'exposition au risque, la compréhension par l'utilisateur de la logique d'autorisation et la prudence dans ses comportements on-chain constituent le dernier rempart contre les attaques. Chaque analyse des données avant la signature et chaque vérification des autorisations après l'autorisation sont un serment pour sa propre souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité comme un réflexe, établir un équilibre éternel entre confiance et vérification. Après tout, dans le monde du Blockchain où le code est la loi, chaque clic, chaque transaction est enregistré de manière permanente sur la chaîne, et ne peut être modifié.