A espada de dois gumes dos contratos inteligentes: Desafios e contramedidas para a segurança financeira do Blockchain
As criptomoedas e a tecnologia Blockchain estão a remodelar o setor financeiro, mas esta revolução também trouxe novas ameaças à segurança. Os golpistas não se limitam mais a explorar vulnerabilidades tecnológicas, mas transformam os próprios protocolos Blockchain em ferramentas de ataque. Eles projetam engenhosamente armadilhas de engenharia social, aproveitando a transparência e a irreversibilidade do Blockchain, convertendo a confiança dos usuários em meios para roubar ativos. Desde contratos inteligentes cuidadosamente elaborados até a manipulação de transações entre cadeias, esses ataques são não apenas discretos e difíceis de detectar, mas também têm uma forte capacidade de engano devido à sua aparência "legítima".
O princípio pelo qual os protocolos se tornam ferramentas de fraude
O protocolo Blockchain foi originalmente projetado para garantir segurança e confiança, mas os fraudadores, combinando a negligência dos usuários, desenvolveram várias maneiras encobertas de ataque:
1. autorização de contratos inteligentes maliciosos
Princípios técnicos:
O padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por golpistas.
Funcionamento:
Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a autorizar tokens. À primeira vista, parece que estão autorizando uma quantidade limitada de tokens, mas na realidade pode ser um valor ilimitado. Uma vez que a autorização é concluída, os golpistas podem retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Exemplo:
No início de 2023, um site de phishing disfarçado de "atualização do Uniswap V3" resultou na perda de grandes quantidades de USDT e ETH por centenas de usuários. Essas transações estavam totalmente em conformidade com o padrão ERC-20, tornando difícil para as vítimas recuperar seus ativos por vias legais.
2. Phishing de assinatura
Princípios técnicos:
As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas. Os golpistas aproveitam esse processo para falsificar solicitações de assinatura e roubar ativos.
Modo de operação:
Os usuários recebem informações disfarçadas de notificações oficiais, solicitando que se conectem à carteira e assinem "validar transação". Esta transação pode transferir diretamente o ETH ou tokens do usuário, ou autorizar os golpistas a controlar a coleção de NFTs do usuário.
Caso:
Uma conhecida comunidade de projeto NFT foi alvo de um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes aproveitaram o padrão de assinatura EIP-712 para falsificar pedidos que pareciam seguros.
3. Falsos tokens e "ataques de poeira"
Princípios técnicos:
A transparência do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, rastreando a atividade das carteiras e identificando os usuários.
Como funciona:
Os golpistas distribuem tokens "poeira" sob a forma de airdrops, que podem ter nomes ou metadados enganosos. Quando os usuários tentam resgatar, os atacantes podem obter acesso às suas carteiras. Mais insidiosamente, ao analisar as transações subsequentes dos usuários, eles podem identificar endereços de carteiras ativas e implementar fraudes precisas.
Caso:
No rede Ethereum, houve um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários, por curiosidade, interagiram e perderam ETH e tokens ERC-20.
Razões pelas quais os golpes são difíceis de detectar
Esses golpes são bem-sucedidos principalmente porque estão ocultos nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns reconhecerem sua natureza maliciosa:
Complexidade técnica: o código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois.
Engenharia social: os golpistas aproveitam as fraquezas da natureza humana, como ganância, medo ou confiança.
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Estratégias para proteger carteiras de criptomoedas
Diante desses golpes que combinam técnicas e guerra psicológica, proteger os ativos requer uma estratégia em múltiplos níveis:
1. Verifique e gerencie as permissões de autorização
Utilize ferramentas profissionais para verificar regularmente os registros de autorização da carteira.
Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que a origem do DApp é confiável.
Verifique o valor da "Allowance"; se for "ilimitado", deve ser revogado imediatamente.
2. Verificar links e fontes
Insira manualmente a URL oficial, evitando clicar em links de redes sociais ou e-mails.
Certifique-se de que o site utiliza o nome de domínio e o certificado SSL corretos.
Esteja atento a erros de digitação ou caracteres adicionais no domínio.
3. Usar carteiras frias e múltiplas assinaturas
Armazene a maior parte dos ativos em uma carteira de hardware e conecte-se à rede apenas quando necessário.
Use ferramentas de múltiplas assinaturas para ativos de grande valor, exigindo a confirmação de transações por várias chaves.
4. Trate com cautela os pedidos de assinatura
Leia atentamente os detalhes da transação na janela do wallet.
Utilize a funcionalidade de análise do explorador de Blockchain para analisar o conteúdo da assinatura.
Criar uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
5. Responder a ataques de poeira
Após receber tokens desconhecidos, não interaja com eles.
Confirmar a origem do token através do Blockchain explorer.
Evite tornar público o endereço da carteira ou use um novo endereço para realizar operações sensíveis.
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado. No entanto, a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma defesa física e a assinatura múltipla descentraliza o risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na blockchain são a última linha de defesa contra ataques.
No mundo do Blockchain onde o código é a lei, cada clique e cada transação são permanentemente registrados e não podem ser alterados. Portanto, é crucial internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação. Só assim poderemos avançar com segurança neste novo mundo financeiro repleto de oportunidades e riscos.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
3
Repostar
Compartilhar
Comentário
0/400
FOMOSapien
· 10h atrás
Novamente foi enganado por idiotas, não foi?
Ver originalResponder0
Frontrunner
· 10h atrás
Escreveu sobre o ponto doloroso! Quem nunca foi preso por uma autorização?
Ver originalResponder0
GasFeeNightmare
· 10h atrás
Mais uma vez, o contrato de autorização saiu do controle e vomitou.
contratos inteligentes armadilhas de segurança: Blockchain financeiro como espada de dois gumes e estratégias de proteção
A espada de dois gumes dos contratos inteligentes: Desafios e contramedidas para a segurança financeira do Blockchain
As criptomoedas e a tecnologia Blockchain estão a remodelar o setor financeiro, mas esta revolução também trouxe novas ameaças à segurança. Os golpistas não se limitam mais a explorar vulnerabilidades tecnológicas, mas transformam os próprios protocolos Blockchain em ferramentas de ataque. Eles projetam engenhosamente armadilhas de engenharia social, aproveitando a transparência e a irreversibilidade do Blockchain, convertendo a confiança dos usuários em meios para roubar ativos. Desde contratos inteligentes cuidadosamente elaborados até a manipulação de transações entre cadeias, esses ataques são não apenas discretos e difíceis de detectar, mas também têm uma forte capacidade de engano devido à sua aparência "legítima".
O princípio pelo qual os protocolos se tornam ferramentas de fraude
O protocolo Blockchain foi originalmente projetado para garantir segurança e confiança, mas os fraudadores, combinando a negligência dos usuários, desenvolveram várias maneiras encobertas de ataque:
1. autorização de contratos inteligentes maliciosos
Princípios técnicos: O padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por golpistas.
Funcionamento: Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a autorizar tokens. À primeira vista, parece que estão autorizando uma quantidade limitada de tokens, mas na realidade pode ser um valor ilimitado. Uma vez que a autorização é concluída, os golpistas podem retirar todos os tokens correspondentes da carteira do usuário a qualquer momento.
Exemplo: No início de 2023, um site de phishing disfarçado de "atualização do Uniswap V3" resultou na perda de grandes quantidades de USDT e ETH por centenas de usuários. Essas transações estavam totalmente em conformidade com o padrão ERC-20, tornando difícil para as vítimas recuperar seus ativos por vias legais.
2. Phishing de assinatura
Princípios técnicos: As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas. Os golpistas aproveitam esse processo para falsificar solicitações de assinatura e roubar ativos.
Modo de operação: Os usuários recebem informações disfarçadas de notificações oficiais, solicitando que se conectem à carteira e assinem "validar transação". Esta transação pode transferir diretamente o ETH ou tokens do usuário, ou autorizar os golpistas a controlar a coleção de NFTs do usuário.
Caso: Uma conhecida comunidade de projeto NFT foi alvo de um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes aproveitaram o padrão de assinatura EIP-712 para falsificar pedidos que pareciam seguros.
3. Falsos tokens e "ataques de poeira"
Princípios técnicos: A transparência do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço. Os golpistas aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, rastreando a atividade das carteiras e identificando os usuários.
Como funciona: Os golpistas distribuem tokens "poeira" sob a forma de airdrops, que podem ter nomes ou metadados enganosos. Quando os usuários tentam resgatar, os atacantes podem obter acesso às suas carteiras. Mais insidiosamente, ao analisar as transações subsequentes dos usuários, eles podem identificar endereços de carteiras ativas e implementar fraudes precisas.
Caso: No rede Ethereum, houve um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários, por curiosidade, interagiram e perderam ETH e tokens ERC-20.
Razões pelas quais os golpes são difíceis de detectar
Esses golpes são bem-sucedidos principalmente porque estão ocultos nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns reconhecerem sua natureza maliciosa:
Complexidade técnica: o código dos contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos.
Legalidade na cadeia: todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura depois.
Engenharia social: os golpistas aproveitam as fraquezas da natureza humana, como ganância, medo ou confiança.
Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.
Estratégias para proteger carteiras de criptomoedas
Diante desses golpes que combinam técnicas e guerra psicológica, proteger os ativos requer uma estratégia em múltiplos níveis:
1. Verifique e gerencie as permissões de autorização
2. Verificar links e fontes
3. Usar carteiras frias e múltiplas assinaturas
4. Trate com cautela os pedidos de assinatura
5. Responder a ataques de poeira
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado. No entanto, a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware constroem uma defesa física e a assinatura múltipla descentraliza o risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na blockchain são a última linha de defesa contra ataques.
No mundo do Blockchain onde o código é a lei, cada clique e cada transação são permanentemente registrados e não podem ser alterados. Portanto, é crucial internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação. Só assim poderemos avançar com segurança neste novo mundo financeiro repleto de oportunidades e riscos.