Переосмысление финансовой свободы: новые вызовы и меры по обеспечению безопасности Блокчейн

Криптовалюты и технологии Блокчейн переопределяют концепцию финансовой свободы, но эта революция также приносит новые вызовы безопасности. Мошенники больше не полагаются только на технические уязвимости, а искусно превращают сами протоколы умных контрактов Блокчейн в инструменты атаки. С помощью тщательно разработанных социальных инженерных ловушек они используют прозрачность и необратимость Блокчейн, превращая доверие пользователей в инструмент кражи активов. От подделки умных контрактов до манипуляций с межсетевыми транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и обладают высокой степенью обмана из-за своего "легитимного" внешнего вида. В этой статье будет проанализировано несколько реальных случаев, чтобы показать, как мошенники превращают протоколы в средства атаки, и предложены комплексные решения от технической защиты до поведенческой профилактики, чтобы помочь вам безопасно двигаться в децентрализованном мире.

Один. Как законный договор становится инструментом мошенничества?

Первоначальная цель протоколов Блокчейн заключается в обеспечении безопасности и доверия, однако мошенники ловко используют их особенности, сочетая с небрежностью пользователей, создавая различные скрытые способы атак. Ниже приведены некоторые распространенные методы и их технические детали:

(1) Зловредное разрешение на смарт-контракт

Технический принцип: На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьих лиц (обычно это смарт-контракты) извлекать из их кошелька указанное количество токенов. Эта функция широко используется в DeFi-протоколах, пользователям необходимо уполномочить смарт-контракты для завершения сделок, стейкинга или ликвидного майнинга. Однако мошенники используют этот механизм для создания вредоносных контрактов.

Способ работы: Мошенники создают DApp, маскирующийся под легальный проект, который обычно продвигается через фишинговые сайты или социальные сети. Пользователи подключают кошельки и их подталкивают к нажатию "Approve", что на первый взгляд является авторизацией небольшого количества токенов, но на самом деле может быть неограниченной суммой (значение uint256.max). Как только авторизация завершена, адрес контракта мошенников получает разрешение и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.

Реальный случай: В начале 2023 года фишинговый сайт, замаскированный под "обновление некоторого DEX", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Данные в Блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические меры, поскольку разрешение было подписано добровольно.

(2) Подпись фишинга

Технический принцип: Блокчейн-транзакции требуют от пользователей создания подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.

Способ работы: Пользователь получает письмо или сообщение в социальных сетях, замаскированное под официальное уведомление, например, "Ваш NFT airdrop ожидает получения, пожалуйста, подтвердите кошелек". Нажав на ссылку, пользователь перенаправляется на вредоносный сайт, где ему предлагается подключить кошелек и подписать "транзакцию подтверждения". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", разрешающая мошеннику управлять коллекцией NFT пользователя.

Реальный случай: Некоторое известное сообщество NFT-проекта подверглось атаке с использованием фишинга через подписи, в результате чего несколько пользователей потеряли NFT стоимостью несколько миллионов долларов из-за подписания поддельной транзакции "получение аирдропа". Нападающие использовали стандарт подписи EIP-712 для подделки, казалось бы, безопасного запроса.

(3) Ложные токены и "атака пылью"

Технический принцип: Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал этого. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими этими кошельками.

Способ работы: В большинстве случаев, "пыль", используемая в атаках с помощью пыли, распределяется в виде аирдропа в кошельки пользователей. Эти токены могут иметь привлекательные названия или метаданные, побуждая пользователей посетить определенный веб-сайт для получения подробной информации. Пользователи могут попытаться обналичить эти токены, и тогда злоумышленники смогут получить доступ к кошельку пользователя через адрес контракта, связанный с токенами. Более скрытно, атаки с помощью пыли могут осуществляться через социальную инженерию, анализируя последующие транзакции пользователя и фиксируя его активный адрес кошелька для проведения более точного мошенничества.

Реальный случай: В прошлом на сети Эфириума произошла атака "пыльцевыми токенами", которая затронула тысячи кошельков. Некоторые пользователи потеряли ETH и ERC-20 токены из-за любопытного взаимодействия.

Два, почему эти мошенничества трудно заметить?

Эти мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:

• Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть непонятными для нетехнических пользователей. Например, запрос "Approve" может отображаться как шестнадцатеричные данные, такие как "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.

• Законность на блокчейне: Все транзакции записываются в блокчейне, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только после того, как активы уже невозможно вернуть.

• Социальная инженерия: мошенники используют слабости человеческой природы, такие как жадность ("Получите 1000 долларов в токенах бесплатно"), страх ("Аномалия учетной записи требует проверки") или доверие (выдавая себя за службу поддержки).

• Искусная маскировка: Фишинговые сайты могут использовать URL, схожие с официальным доменным именем, а также увеличивать доверие с помощью сертификатов HTTPS.

Три, как защитить ваш криптовалютный кошелек?

Столкнувшись с этими мошенничествами, где сосуществуют технические и психологические войны, защита активов требует многослойной стратегии. Ниже приведены подробные меры предосторожности:

Проверьте и управляйте полномочиями доступа

• Инструменты: используйте функцию проверки авторизации блокчейн-обозревателя или специальные инструменты управления авторизацией для проверки записей авторизации кошелька.
• Операции: регулярно отменяйте ненужные полномочия, особенно на неограниченные полномочия для неизвестных адресов. Перед каждым предоставлением полномочий убедитесь, что DApp происходит из надежного источника.
• Технические детали: проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отменить.

Проверка ссылки и источника

• Метод: вручную введите официальный URL, избегая нажатия на ссылки в социальных сетях или электронной почте.
• Проверьте: убедитесь, что сайт использует правильное доменное имя и сертификат SSL (зеленый значок замка). Будьте осторожны с опечатками или лишними символами.
• Пример: если вы получили вариант официального домена (например, с добавлением дополнительных символов), немедленно сомневайтесь в его подлинности.

Использование холодного кошелька и мультиподписей

• Холодный кошелек: храните большинство активов в аппаратном кошельке, подключайте к сети только при необходимости.
• Мультиподпись: для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск единичной ошибки.
• Преимущества: даже если горячий кошелек будет взломан, активы в холодном хранилище останутся в безопасности.

Осторожно обрабатывайте запросы на подпись

• Шаги: Каждый раз при подписании внимательно читайте детали транзакции в всплывающем окне кошелька. Обратите внимание на поле "Данные"; если оно содержит неизвестные функции (например, "TransferFrom"), откажитесь от подписи.
• Инструменты: используйте функцию "Декодировать входные данные" блокчейн-обозревателя для анализа содержимого подписи или проконсультируйтесь с техническим специалистом.
• Рекомендация: создайте отдельный кошелек для высокорисковых операций и храните в нем небольшое количество активов.

Реакция на атаки пыли

• Стратегия: после получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "мусор" или скрыть.
• Проверка: с помощью Блокчейн обозревателя подтвердите источник токенов, если это массовая отправка, будьте крайне осторожны.
• Профилактика: избегайте публикации адреса кошелька или используйте новый адрес для выполнения чувствительных операций.

Заключение

С помощью внедрения вышеупомянутых мер безопасности пользователи могут значительно снизить риск стать жертвой высококлассных мошеннических схем, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а мультиподписи распределяют риск, понимание пользователем логики авторизации и осмотрительность в действиях на блокчейне становятся последней крепостью против атак. Каждый анализ данных перед подписанием, каждая проверка полномочий после авторизации — это клятва собственной цифровой суверенности.

В будущем, независимо от того, как будет развиваться технология, самой важной линией защиты всегда будет: внутреннее восприятие безопасности как мышечной памяти, создание вечного баланса между доверием и проверкой. В конце концов, в мире Блокчейн, где код — это закон, каждое нажатие, каждая транзакция навсегда записывается в мире цепочки и не может быть изменена.