Блокчейн смартконтракти: можливості та потенційні ризики одночасно
Криптовалюти та технології блокчейн змінюють концепцію фінансової свободи, але ця революція також принесла нові виклики. З розвитком технологій зловмисники більше не обмежуються використанням вразливостей системи, а майстерно перетворюють протоколи смартконтрактів блокчейну на знаряддя атак. Вони ретельно розробляють соціальні інженерні пастки, використовуючи прозорість та незворотність блокчейну, перетворюючи довіру користувачів на засіб для крадіжки активів. Від підробки смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не тільки приховані й важко виявляються, але й завдяки своїй "легалізованій" зовнішності є ще більш оманливими. У цій статті буде проаналізовано реальні випадки, щоб виявити, як зловмисники перетворюють самі протоколи на знаряддя атак, а також буде надано всеосяжне рішення від технічного захисту до запобігання поведінки, щоб допомогти користувачам безпечно просуватися в децентралізованому світі.
Один. Як можуть бути зловживані смартконтракти?
Проектування протоколів Блокчейн було задумано для забезпечення безпеки та довіри, але злочинці використовують його особливості, поєднуючи їх з недбалістю користувачів, щоб створити різноманітні приховані методи атаки. Ось деякі поширені прийоми та їх технічні деталі:
(1) Шкідливе надання прав смартконтрактів
Технічний принцип:
На Блокчейн, таких як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай смартконтракт) витягувати вказану кількість токенів з їхнього гаманця. Ця функція широко використовується в DeFi-протоколах, користувачам потрібно уповноважити смартконтракт для завершення угод, стейкінгу або ліквідного майнінгу. Однак зловмисники використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи:
Вони створюють DApp, який маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні медіа. Користувачі підключають гаманці і їх спонукають натиснути "Approve", що на перший погляд є авторизацією невеликої кількості токенів, але насправді може бути безмежним лімітом (значення uint256.max). Як тільки авторизацію завершено, адреса контракту зловмисників отримує доступ і може в будь-який момент викликати функцію "TransferFrom", щоб вилучити всі відповідні токени з гаманця користувача.
Справжній випадок:
На початку 2023 року фішинг-сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів у мільйонах доларів США в USDT та ETH. Дані на блокчейні вказують на те, що ці транзакції повністю відповідали стандарту ERC-20, і жертви навіть не змогли повернути свої кошти через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) Підпис фішинг
Технічний принцип:
Блокчейн-транзакції потребують від користувачів створення підпису за допомогою приватного ключа, щоб підтвердити легітимність угоди. Гаманець зазвичай виводить запит на підпис, і після підтвердження користувача угода транслюється в мережу. Зловмисники використовують цей процес для підробки запитів на підпис та крадіжки активів.
Спосіб роботи:
Користувач отримує лист, що маскується під офіційне повідомлення, або повідомлення в соціальних мережах, наприклад, "Ваш NFT airdrop чекає на отримання, будь ласка, підтвердіть гаманець". Після натискання на посилання користувач перенаправляється на шкідливий вебсайт, де його просять підключити гаманець і підписати "перевірочну транзакцію". Ця транзакція насправді може бути викликом функції "Transfer", яка безпосередньо переводить ETH або токени з гаманця на адресу отримувача; або ж це може бути операція "SetApprovalForAll", яка дозволяє стороні контролювати колекцію NFT користувача.
Реальний випадок:
Відоме NFT-проєктне співтовариство стало жертвою фішингової атаки на підпис, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених "транзакцій на отримання аеродропу". Зловмисники використали стандарт підпису EIP-712, підробивши запит, який виглядав безпечним.
(3) Фальшиві токени та "атака пилу"
Технічні принципи:
Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не просить про це. Зловмисники використовують це, надсилаючи невелику кількість криптовалюти на кілька гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, які володіють гаманцями. Це починається з надсилання пилу — надсилання невеликої кількості криптовалюти на різні адреси, а потім спроба дізнатися, яка з них належить одному й тому ж гаманцю. Потім вони використовують цю інформацію для здійснення фішингових атак або погроз до жертв.
Спосіб роботи:
В більшості випадків, "пил" (dust), що використовується в атаках пилу, надсилається користувачеві у вигляді аірдропу в його гаманець. Ці токени можуть містити назви або метадані (наприклад, "FREE_AIRDROP"), що спонукає користувача відвідати певний вебсайт для отримання деталей. Користувачі, як правило, будуть раді намагатися обміняти ці токени, а зловмисники можуть отримати доступ до гаманця користувача через адресу смартконтракту, що супроводжує токени. Приховано, атака пилу здійснюється через соціальну інженерію, аналізуючи подальші транзакції користувача, фіксуючи активні адреси гаманців, щоб здійснити більш точне шахрайство.
Справжній випадок:
В минулому, атака "пилу токенів GAS", що виникла в мережі Ефіріум, вплинула на тисячі гаманців. Деякі користувачі втратили ETH та токени ERC-20 через цікавість до взаємодії.
Два, чому ці атаки важко виявити?
Ці атаки були успішними в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їх зловмисну природу. Ось кілька ключових причин:
Технологічна складність:
Код смартконтракту та запит на підпис можуть бути незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані на кшталт "0x095ea7b3...", і користувач не може інтуїтивно зрозуміти його значення.
Законність на Блокчейні:
Усі транзакції записуються в Блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже не можна повернути.
Соціальна інженерія:
Зловмисники використовують людські слабкості, такі як жадібність ("Отримайте безкоштовно 1000 доларів токенів"), страх ("Аномалія в акаунті, необхідна перевірка") або довіра (прикидаючись службою підтримки).
Вишукане маскування:
Фішингові сайти можуть використовувати URL, подібні до офіційних доменів (наприклад, "metamask.io" стає "metamaskk.io"), навіть підвищуючи довіру за допомогою HTTPS-сертифікатів.
Три, як захистити ваш гаманець для криптовалюти?
Зважаючи на ці атаки, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії. Ось детальні заходи захисту:
Перевірка та управління правами доступу
Використовуйте перевірник дозволів блокчейн-браузера або спеціалізовані інструменти управління правами для перевірки записів авторизації гаманця.
Регулярно відкликати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
Перед кожним авторизацією переконайтеся, що DApp походить з надійного джерела.
Перевірте значення "Allowance", якщо воно "безмежне" (наприклад, 2^256-1), слід негайно скасувати.
перевірка посилання та джерела
Введіть офіційний URL вручну, уникаючи натискання на посилання в соціальних мережах або електронних листах.
Переконайтесь, що веб-сайт використовує правильне доменне ім'я та сертифікат SSL (зеленик замок). Будьте обережні щодо орфографічних помилок або зайвих символів.
Якщо ви отримали варіацію доменного імені відомої платформи (наприклад, "opensea.io-login"), негайно сумнівайтеся в його достовірності.
Використання холодного гаманця та мультипідпису
Зберігайте більшість активів у апаратних гаманцях і підключайтеся до мережі лише за необхідності.
Для великих активів використовуйте інструменти багатопідпису, які вимагають підтвердження транзакції кількома ключами, щоб зменшити ризик одноточкових помилок.
Навіть якщо гарячий гаманець буде зламано, активи в холодному зберіганні залишаться в безпеці.
Обережно обробляйте запити на підпис
Кожного разу, підписуючи, уважно читайте деталі транзакції у спливаючому вікні гаманця.
Використовуйте функцію "декодувати вхідні дані" блокчейн-браузера для розшифровки підпису або проконсультуйтеся з технічним експертом.
Створіть окремий гаманець для високоризикових операцій, зберігаючи невелику кількість активів.
відповісти на пилові атаки
Після отримання невідомих токенів не взаємодійте з ними. Позначте їх як "сміття" або сховайте.
Через платформу браузера Блокчейн підтверджуйте джерело токенів, якщо це масова відправка, будьте надзвичайно обережні.
Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, звичайні користувачі можуть суттєво знизити ризик стати жертвою висококласних шахрайських схем, але справжня безпека не є перемогою лише з технічної точки зору. Коли апаратні гаманці створюють фізичну лінію захисту та мультипідписи розподіляють ризики, саме розуміння користувачем логіки авторизації та обережність щодо поведінки в мережі є останнім бастіоном для захисту від атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації – це клятва на захист власного цифрового суверенітету.
В майбутньому, незалежно від того, як технології будуть еволюціонувати, найголовніша лінія оборони завжди полягатиме в тому, щоб інтерналізувати усвідомлення безпеки як м'язову пам'ять, встановивши вічний баланс між довірою та перевіркою. Адже в світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди записуються в блокчейн, і їх неможливо змінити.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
6
Поділіться
Прокоментувати
0/400
WalletWhisperer
· 07-18 06:04
поведінкові паттерни ніколи не брешуть... статистика вразливостей смарт-контрактів зростає з другого кварталу
Переглянути оригіналвідповісти на0
RunWhenCut
· 07-17 21:01
Шахрайство, крім того, щоб вийти на вулицю, є ще інші варіанти?
Безпека смартконтрактів: розкриття нових методів атаки на блокчейн-протоколи для новачків
Блокчейн смартконтракти: можливості та потенційні ризики одночасно
Криптовалюти та технології блокчейн змінюють концепцію фінансової свободи, але ця революція також принесла нові виклики. З розвитком технологій зловмисники більше не обмежуються використанням вразливостей системи, а майстерно перетворюють протоколи смартконтрактів блокчейну на знаряддя атак. Вони ретельно розробляють соціальні інженерні пастки, використовуючи прозорість та незворотність блокчейну, перетворюючи довіру користувачів на засіб для крадіжки активів. Від підробки смартконтрактів до маніпуляцій з кросчейн-транзакціями, ці атаки не тільки приховані й важко виявляються, але й завдяки своїй "легалізованій" зовнішності є ще більш оманливими. У цій статті буде проаналізовано реальні випадки, щоб виявити, як зловмисники перетворюють самі протоколи на знаряддя атак, а також буде надано всеосяжне рішення від технічного захисту до запобігання поведінки, щоб допомогти користувачам безпечно просуватися в децентралізованому світі.
Один. Як можуть бути зловживані смартконтракти?
Проектування протоколів Блокчейн було задумано для забезпечення безпеки та довіри, але злочинці використовують його особливості, поєднуючи їх з недбалістю користувачів, щоб створити різноманітні приховані методи атаки. Ось деякі поширені прийоми та їх технічні деталі:
(1) Шкідливе надання прав смартконтрактів
Технічний принцип: На Блокчейн, таких як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай смартконтракт) витягувати вказану кількість токенів з їхнього гаманця. Ця функція широко використовується в DeFi-протоколах, користувачам потрібно уповноважити смартконтракт для завершення угод, стейкінгу або ліквідного майнінгу. Однак зловмисники використовують цей механізм для створення шкідливих контрактів.
Спосіб роботи: Вони створюють DApp, який маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні медіа. Користувачі підключають гаманці і їх спонукають натиснути "Approve", що на перший погляд є авторизацією невеликої кількості токенів, але насправді може бути безмежним лімітом (значення uint256.max). Як тільки авторизацію завершено, адреса контракту зловмисників отримує доступ і може в будь-який момент викликати функцію "TransferFrom", щоб вилучити всі відповідні токени з гаманця користувача.
Справжній випадок: На початку 2023 року фішинг-сайт, що маскувався під "оновлення певного DEX", призвів до втрат сотень користувачів у мільйонах доларів США в USDT та ETH. Дані на блокчейні вказують на те, що ці транзакції повністю відповідали стандарту ERC-20, і жертви навіть не змогли повернути свої кошти через юридичні засоби, оскільки авторизація була підписана добровільно.
(2) Підпис фішинг
Технічний принцип: Блокчейн-транзакції потребують від користувачів створення підпису за допомогою приватного ключа, щоб підтвердити легітимність угоди. Гаманець зазвичай виводить запит на підпис, і після підтвердження користувача угода транслюється в мережу. Зловмисники використовують цей процес для підробки запитів на підпис та крадіжки активів.
Спосіб роботи: Користувач отримує лист, що маскується під офіційне повідомлення, або повідомлення в соціальних мережах, наприклад, "Ваш NFT airdrop чекає на отримання, будь ласка, підтвердіть гаманець". Після натискання на посилання користувач перенаправляється на шкідливий вебсайт, де його просять підключити гаманець і підписати "перевірочну транзакцію". Ця транзакція насправді може бути викликом функції "Transfer", яка безпосередньо переводить ETH або токени з гаманця на адресу отримувача; або ж це може бути операція "SetApprovalForAll", яка дозволяє стороні контролювати колекцію NFT користувача.
Реальний випадок: Відоме NFT-проєктне співтовариство стало жертвою фішингової атаки на підпис, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підроблених "транзакцій на отримання аеродропу". Зловмисники використали стандарт підпису EIP-712, підробивши запит, який виглядав безпечним.
(3) Фальшиві токени та "атака пилу"
Технічні принципи: Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не просить про це. Зловмисники використовують це, надсилаючи невелику кількість криптовалюти на кілька гаманців, щоб відстежувати активність гаманців і пов'язувати їх з особами або компаніями, які володіють гаманцями. Це починається з надсилання пилу — надсилання невеликої кількості криптовалюти на різні адреси, а потім спроба дізнатися, яка з них належить одному й тому ж гаманцю. Потім вони використовують цю інформацію для здійснення фішингових атак або погроз до жертв.
Спосіб роботи: В більшості випадків, "пил" (dust), що використовується в атаках пилу, надсилається користувачеві у вигляді аірдропу в його гаманець. Ці токени можуть містити назви або метадані (наприклад, "FREE_AIRDROP"), що спонукає користувача відвідати певний вебсайт для отримання деталей. Користувачі, як правило, будуть раді намагатися обміняти ці токени, а зловмисники можуть отримати доступ до гаманця користувача через адресу смартконтракту, що супроводжує токени. Приховано, атака пилу здійснюється через соціальну інженерію, аналізуючи подальші транзакції користувача, фіксуючи активні адреси гаманців, щоб здійснити більш точне шахрайство.
Справжній випадок: В минулому, атака "пилу токенів GAS", що виникла в мережі Ефіріум, вплинула на тисячі гаманців. Деякі користувачі втратили ETH та токени ERC-20 через цікавість до взаємодії.
Два, чому ці атаки важко виявити?
Ці атаки були успішними в значній мірі тому, що вони приховані в легітимних механізмах Блокчейн, і звичайним користувачам важко розпізнати їх зловмисну природу. Ось кілька ключових причин:
Технологічна складність: Код смартконтракту та запит на підпис можуть бути незрозумілими для нетехнічних користувачів. Наприклад, запит "Approve" може відображатися як шістнадцяткові дані на кшталт "0x095ea7b3...", і користувач не може інтуїтивно зрозуміти його значення.
Законність на Блокчейні: Усі транзакції записуються в Блокчейн, що здається прозорим, але жертви часто усвідомлюють наслідки авторизації або підпису лише після того, як активи вже не можна повернути.
Соціальна інженерія: Зловмисники використовують людські слабкості, такі як жадібність ("Отримайте безкоштовно 1000 доларів токенів"), страх ("Аномалія в акаунті, необхідна перевірка") або довіра (прикидаючись службою підтримки).
Вишукане маскування: Фішингові сайти можуть використовувати URL, подібні до офіційних доменів (наприклад, "metamask.io" стає "metamaskk.io"), навіть підвищуючи довіру за допомогою HTTPS-сертифікатів.
Три, як захистити ваш гаманець для криптовалюти?
Зважаючи на ці атаки, що поєднують технічні та психологічні війни, захист активів потребує багаторівневої стратегії. Ось детальні заходи захисту:
Перевірка та управління правами доступу
перевірка посилання та джерела
Використання холодного гаманця та мультипідпису
Обережно обробляйте запити на підпис
відповісти на пилові атаки
Висновок
Завдяки впровадженню вищезазначених заходів безпеки, звичайні користувачі можуть суттєво знизити ризик стати жертвою висококласних шахрайських схем, але справжня безпека не є перемогою лише з технічної точки зору. Коли апаратні гаманці створюють фізичну лінію захисту та мультипідписи розподіляють ризики, саме розуміння користувачем логіки авторизації та обережність щодо поведінки в мережі є останнім бастіоном для захисту від атак. Кожен аналіз даних перед підписанням, кожна перевірка прав після авторизації – це клятва на захист власного цифрового суверенітету.
В майбутньому, незалежно від того, як технології будуть еволюціонувати, найголовніша лінія оборони завжди полягатиме в тому, щоб інтерналізувати усвідомлення безпеки як м'язову пам'ять, встановивши вічний баланс між довірою та перевіркою. Адже в світі блокчейну, де код є законом, кожен клік, кожна транзакція назавжди записуються в блокчейн, і їх неможливо змінити.