La double lame des smart contracts : défis et stratégies pour la sécurité financière sur Blockchain
Les crypto-monnaies et la technologie Blockchain transforment le secteur financier, mais cette révolution a également entraîné de nouvelles menaces à la sécurité. Les escrocs ne se limitent plus à exploiter les vulnérabilités techniques, mais transforment les protocoles Blockchain eux-mêmes en outils d'attaque. Ils conçoivent habilement des pièges d'ingénierie sociale, utilisant la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en un moyen de voler des actifs. Des smart contracts soigneusement construits à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également très trompeuses en raison de leur apparence "légale".
Le principe selon lequel le protocole devient un outil de fraude
Les protocoles de Blockchain ont été initialement conçus pour garantir la sécurité et la confiance, mais les escrocs, combinant la négligence des utilisateurs, ont développé plusieurs méthodes d'attaque dissimulées :
1. autorisation de smart contracts malveillants
Principe technique :
Le standard de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des escrocs.
Mode de fonctionnement :
Les escrocs créent des DApps déguisés en projets légitimes, incitant les utilisateurs à autoriser des jetons. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais cela peut en réalité être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer à tout moment tous les jetons correspondants du portefeuille de l'utilisateur.
Exemple :
Début 2023, un site de phishing déguisé en "Mise à niveau Uniswap V3" a conduit des centaines d'utilisateurs à perdre d'importants montants de USDT et d'ETH. Ces transactions étaient entièrement conformes à la norme ERC-20, rendant difficile pour les victimes de récupérer leurs actifs par des voies légales.
2. Phishing par signature
Principe technique :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
Les utilisateurs reçoivent des messages déguisés en notifications officielles, leur demandant de connecter leur portefeuille et de signer "vérifier la transaction". Cette transaction pourrait directement transférer l'ETH ou les tokens de l'utilisateur, ou autoriser les escrocs à contrôler la collection NFT de l'utilisateur.
Exemple :
Une communauté d'un projet NFT connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant de fausses transactions de "réception de l'airdrop". Les attaquants ont profité de la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
3. Tokens faux et "attaque par poussière"
Principes techniques :
La transparence du Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, pour suivre l'activité des portefeuilles et identifier les utilisateurs.
Mode de fonctionnement :
Les escrocs distribuent des tokens "poussière" sous forme d'airdrop, ces tokens pouvant avoir des noms ou des métadonnées trompeurs. Lorsque les utilisateurs essaient de les encaisser, les attaquants peuvent obtenir un accès au portefeuille. Plus insidieusement, en analysant les transactions ultérieures des utilisateurs, ils ciblent les adresses de portefeuilles actifs pour réaliser des escroqueries précises.
Exemple :
Une attaque de poussière de "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs, par curiosité, ont interagi avec cela, perdant des ETH et des jetons ERC-20.
Raisons pour lesquelles les arnaques sont difficiles à détecter
Ces escroqueries réussissent principalement parce qu'elles se cachent dans les mécanismes légitimes du Blockchain, rendant difficile pour les utilisateurs ordinaires de reconnaître leur nature malveillante :
Complexité technique : le code des smart contracts et les demandes de signature sont obscurs et difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent les conséquences de l'autorisation ou de la signature seulement après coup.
Ingénierie sociale : les escrocs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Dissimuler habilement : Les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Stratégies pour protéger les portefeuilles de cryptomonnaie
Face à ces escroqueries qui allient à la fois des aspects techniques et psychologiques, la protection des actifs nécessite des stratégies multilayer.
1. Vérifiez et gérez les autorisations d'autorisation
Utilisez des outils professionnels pour vérifier régulièrement les enregistrements d'autorisation de votre portefeuille.
Révoquez les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Avant chaque autorisation, assurez-vous que la source du DApp est fiable.
Vérifiez la valeur "Allowance" ; si elle est "illimitée", elle doit être immédiatement annulée.
2. Vérifier les liens et les sources
Saisissez manuellement l'URL officielle pour éviter de cliquer sur des liens dans les réseaux sociaux ou les e-mails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL.
Méfiez-vous des noms de domaine avec des fautes de frappe ou des caractères en trop.
3. Utiliser un portefeuille froid et des signatures multiples
Stockez la majorité de vos actifs dans un portefeuille matériel et ne connectez le réseau que lorsque cela est nécessaire.
Utiliser des outils de multi-signature pour les actifs importants, nécessitant la confirmation des transactions par plusieurs clés.
4. Traitez les demandes de signature avec prudence
Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utiliser la fonction d'analyse du navigateur Blockchain pour analyser le contenu de la signature.
Créez un portefeuille indépendant pour les opérations à haut risque et stockez une petite quantité d'actifs.
5. Répondre aux attaques de poussière
Ne pas interagir avec des jetons inconnus reçus.
Confirmer l'origine des tokens via le Blockchain explorer.
Évitez de rendre votre adresse de portefeuille publique ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
La mise en œuvre des mesures de sécurité mentionnées ci-dessus peut réduire considérablement le risque de devenir victime d'un programme de fraude avancé. Cependant, la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque des portefeuilles matériels construisent une barrière physique et que la signature multiple répartit les risques, la compréhension par l'utilisateur de la logique d'autorisation et sa prudence concernant les comportements sur la Blockchain constituent la dernière ligne de défense contre les attaques.
Dans le monde de la Blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente et ne peuvent pas être modifiés. Par conséquent, il est crucial d'intégrer la sensibilisation à la sécurité en tant qu'habitude et de maintenir un équilibre entre confiance et vérification. Ce n'est qu'ainsi que nous pourrons avancer en toute sécurité dans ce nouveau monde financier rempli d'opportunités et de risques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
3
Reposter
Partager
Commentaire
0/400
FOMOSapien
· Il y a 12h
Encore se faire prendre pour des cons, n'est-ce pas ?
Voir l'originalRépondre0
Frontrunner
· Il y a 12h
On a touché un point sensible ! Qui n'a jamais été piégé par une autorisation ?
Voir l'originalRépondre0
GasFeeNightmare
· Il y a 13h
Encore un contrat d'autorisation hors de contrôle, j'en peux plus.
Les pièges de la sécurité des smart contracts : l'épée à double tranchant de la Blockchain financière et les stratégies de protection
La double lame des smart contracts : défis et stratégies pour la sécurité financière sur Blockchain
Les crypto-monnaies et la technologie Blockchain transforment le secteur financier, mais cette révolution a également entraîné de nouvelles menaces à la sécurité. Les escrocs ne se limitent plus à exploiter les vulnérabilités techniques, mais transforment les protocoles Blockchain eux-mêmes en outils d'attaque. Ils conçoivent habilement des pièges d'ingénierie sociale, utilisant la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en un moyen de voler des actifs. Des smart contracts soigneusement construits à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également très trompeuses en raison de leur apparence "légale".
Le principe selon lequel le protocole devient un outil de fraude
Les protocoles de Blockchain ont été initialement conçus pour garantir la sécurité et la confiance, mais les escrocs, combinant la négligence des utilisateurs, ont développé plusieurs méthodes d'attaque dissimulées :
1. autorisation de smart contracts malveillants
Principe technique : Le standard de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des escrocs.
Mode de fonctionnement : Les escrocs créent des DApps déguisés en projets légitimes, incitant les utilisateurs à autoriser des jetons. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais cela peut en réalité être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer à tout moment tous les jetons correspondants du portefeuille de l'utilisateur.
Exemple : Début 2023, un site de phishing déguisé en "Mise à niveau Uniswap V3" a conduit des centaines d'utilisateurs à perdre d'importants montants de USDT et d'ETH. Ces transactions étaient entièrement conformes à la norme ERC-20, rendant difficile pour les victimes de récupérer leurs actifs par des voies légales.
2. Phishing par signature
Principe technique : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : Les utilisateurs reçoivent des messages déguisés en notifications officielles, leur demandant de connecter leur portefeuille et de signer "vérifier la transaction". Cette transaction pourrait directement transférer l'ETH ou les tokens de l'utilisateur, ou autoriser les escrocs à contrôler la collection NFT de l'utilisateur.
Exemple : Une communauté d'un projet NFT connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant de fausses transactions de "réception de l'airdrop". Les attaquants ont profité de la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
3. Tokens faux et "attaque par poussière"
Principes techniques : La transparence du Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, pour suivre l'activité des portefeuilles et identifier les utilisateurs.
Mode de fonctionnement : Les escrocs distribuent des tokens "poussière" sous forme d'airdrop, ces tokens pouvant avoir des noms ou des métadonnées trompeurs. Lorsque les utilisateurs essaient de les encaisser, les attaquants peuvent obtenir un accès au portefeuille. Plus insidieusement, en analysant les transactions ultérieures des utilisateurs, ils ciblent les adresses de portefeuilles actifs pour réaliser des escroqueries précises.
Exemple : Une attaque de poussière de "jetons GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs, par curiosité, ont interagi avec cela, perdant des ETH et des jetons ERC-20.
Raisons pour lesquelles les arnaques sont difficiles à détecter
Ces escroqueries réussissent principalement parce qu'elles se cachent dans les mécanismes légitimes du Blockchain, rendant difficile pour les utilisateurs ordinaires de reconnaître leur nature malveillante :
Complexité technique : le code des smart contracts et les demandes de signature sont obscurs et difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, ce qui semble transparent, mais les victimes réalisent souvent les conséquences de l'autorisation ou de la signature seulement après coup.
Ingénierie sociale : les escrocs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Dissimuler habilement : Les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.
Stratégies pour protéger les portefeuilles de cryptomonnaie
Face à ces escroqueries qui allient à la fois des aspects techniques et psychologiques, la protection des actifs nécessite des stratégies multilayer.
1. Vérifiez et gérez les autorisations d'autorisation
2. Vérifier les liens et les sources
3. Utiliser un portefeuille froid et des signatures multiples
4. Traitez les demandes de signature avec prudence
5. Répondre aux attaques de poussière
Conclusion
La mise en œuvre des mesures de sécurité mentionnées ci-dessus peut réduire considérablement le risque de devenir victime d'un programme de fraude avancé. Cependant, la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque des portefeuilles matériels construisent une barrière physique et que la signature multiple répartit les risques, la compréhension par l'utilisateur de la logique d'autorisation et sa prudence concernant les comportements sur la Blockchain constituent la dernière ligne de défense contre les attaques.
Dans le monde de la Blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente et ne peuvent pas être modifiés. Par conséquent, il est crucial d'intégrer la sensibilisation à la sécurité en tant qu'habitude et de maintenir un équilibre entre confiance et vérification. Ce n'est qu'ainsi que nous pourrons avancer en toute sécurité dans ce nouveau monde financier rempli d'opportunités et de risques.