Ativos de criptografia fraude nova tendência: protocolo Blockchain torna-se veículo de ataque

Ativos de criptografia e tecnologia Blockchain estão a remodelar o conceito de liberdade financeira, mas esta transformação também trouxe novos desafios de segurança. Os golpistas não se aproveitam apenas de vulnerabilidades técnicas, mas transformam o protocolo de contratos inteligentes da Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles utilizam a transparência e a irreversibilidade da Blockchain para transformar a confiança do usuário em um meio de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não só são discretos e difíceis de rastrear, mas também são mais enganosos devido à sua aparência "legitimada". Este artigo irá analisar casos reais para revelar como os golpistas transformam protocolos em vetores de ataque e fornecer soluções abrangentes, desde proteção técnica até prevenção comportamental, ajudando-o a avançar de forma segura no mundo descentralizado.

I. Como um protocolo legal pode se tornar uma ferramenta de fraude?

O design do protocolo Blockchain foi inicialmente concebido para garantir segurança e confiança, mas os golpistas exploram suas características, combinadas com a negligência dos usuários, para criar diversas formas de ataques encobertos. Abaixo estão algumas técnicas e suas explicações técnicas:

(1) autorização de contrato inteligente malicioso

Princípios técnicos:

Em blockchains como o Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, golpistas aproveitam este mecanismo para desenhar contratos maliciosos.

Modo de operação:

Os golpistas criam um DApp disfarçado de um projeto legítimo, muitas vezes promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Aprovar", que aparentemente autoriza uma pequena quantidade de moedas, mas na realidade pode ser um limite infinito. Uma vez que a autorização é concluída, o endereço do contrato dos golpistas obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todas as moedas correspondentes da carteira do usuário.

Caso real:

No início de 2023, um site de phishing disfarçado de "atualização de algum DEX" causou perdas de milhões de dólares em USDT e ETH para centenas de usuários. Os dados na blockchain mostram que essas transações estão totalmente em conformidade com o padrão ERC-20, e as vítimas nem sequer conseguem recuperar seus fundos por meios legais, pois a autorização foi assinada voluntariamente.

(2) assinatura de phishing

Princípios técnicos:

As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas para provar a legalidade da transação. As carteiras geralmente exibem um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os golpistas exploram esse processo para falsificar pedidos de assinatura e roubar ativos.

Modo de operação:

Os usuários recebem um e-mail ou uma mensagem em redes sociais disfarçada de notificação oficial, como "O seu airdrop de NFT está pronto para ser reclamado, por favor, verifique a sua carteira". Após clicar no link, os usuários são redirecionados para um site malicioso que pede para conectar a carteira e assinar uma "transação de verificação". Esta transação pode, na verdade, estar chamando a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do golpista; ou pode ser uma operação "SetApprovalForAll", autorizando o golpista a controlar a coleção de NFTs do usuário.

Caso real:

Uma comunidade de um conhecido projeto NFT foi alvo de um ataque de phishing de assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes exploraram o padrão de assinatura EIP-712, falsificando solicitações que pareciam seguras.

(3) tokens falsos e "ataques de poeira"

Princípios técnicos:

A publicidade do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os golpistas aproveitam isso, enviando pequenas quantidades de ativos de criptografia para vários endereços de carteira, a fim de rastrear a atividade da carteira e vinculá-la ao indivíduo ou empresa que possui a carteira. Os atacantes, em seguida, usam essas informações para lançar ataques de phishing ou ameaças contra as vítimas.

Modo de operação:

Na maioria dos casos, a "poeira" usada em ataques de poeira é distribuída para as carteiras dos usuários na forma de airdrops. Esses tokens podem ter nomes ou metadados específicos, induzindo os usuários a visitarem um site para verificar detalhes. Os usuários podem tentar converter esses tokens, e então os atacantes podem acessar a carteira dos usuários através do endereço do contrato associado aos tokens. Mais sutilmente, os ataques de poeira podem analisar as transações subsequentes dos usuários através de engenharia social, identificando os endereços de carteira ativos dos usuários e, assim, implementando fraudes mais precisas.

Caso real:

No passado, um ataque de poeira de um determinado token na rede Ethereum afetou milhares de carteiras. Alguns usuários, por curiosidade, perderam ETH e tokens ERC-20.

Dois, por que esses golpes são difíceis de detectar?

Essas fraudes são bem-sucedidas em grande parte porque estão escondidas nos mecanismos legítimos do Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. Aqui estão algumas razões chave:

• Complexidade técnica: O código de contrato inteligente e os pedidos de assinatura são obscuros para usuários não técnicos. Por exemplo, um pedido "Approve" pode aparecer como dados hexadecimais complexos, tornando difícil para o usuário entender seu significado.

• Legalidade na cadeia: todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas frequentemente percebem as consequências da autorização ou assinatura apenas depois, momento em que os ativos já não podem ser recuperados.

• Engenharia social: os golpistas exploram as fraquezas humanas, como ganância, medo ou confiança.

• Camuflagem sofisticada: sites de phishing podem usar URLs semelhantes ao domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.

Três, como proteger a sua carteira de ativos de criptografia?

Diante desses golpes que combinam tanto a guerra tecnológica quanto a psicológica, proteger os ativos requer estratégias de múltiplas camadas. Abaixo estão as medidas de prevenção detalhadas:

Verifique e gerencie as permissões de autorização

• Utilize a ferramenta de verificação de autorização do explorador de Blockchain para verificar regularmente os registros de autorização da carteira.
• Revogue autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
• Antes de cada autorização, certifique-se de que o DApp vem de uma fonte confiável.
• Verifique o valor de "Allowance"; se for "ilimitado", deve ser imediatamente revogado.

Verifique o link e a origem

• Insira manualmente a URL oficial, evite clicar em links nas redes sociais ou em e-mails.
• Certifique-se de que o site utiliza o domínio e o certificado SSL corretos.
• Atenção a erros de ortografia ou caracteres adicionais nos URLs.

Usar carteira fria e múltiplas assinaturas

• Armazenar a maior parte dos ativos em carteiras de hardware, conectando-se à rede apenas quando necessário.
• Para grandes ativos, utilize ferramentas de múltiplas assinaturas, exigindo a confirmação da transação por várias chaves.

Trate os pedidos de assinatura com cautela

• Leia atentamente os detalhes da transação na janela pop-up da carteira a cada assinatura.
• Utilize a funcionalidade de decodificação do explorador de Blockchain para analisar o conteúdo da assinatura, ou consulte um especialista técnico.
• Crie uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.

###应对 poeira ataque

• Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
• Confirme a origem do token através do Blockchain, se for um envio em massa, esteja em alta alerta.
• Evite divulgar o endereço da carteira ou use um novo endereço para operações sensíveis.

Conclusão

Ao implementar as medidas de segurança acima mencionadas, os usuários podem reduzir significativamente o risco de se tornarem vítimas de esquemas de fraude sofisticados. No entanto, a verdadeira segurança não depende apenas da proteção tecnológica. Quando as carteiras de hardware constroem uma defesa física e a assinatura múltipla dispersa o risco, a compreensão dos usuários sobre a lógica de autorização e a cautela em relação ao comportamento na blockchain são a última barreira contra ataques.

Cada análise de dados antes da assinatura, cada revisão de permissões após a autorização, é uma manutenção da sua soberania digital. No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais crucial sempre será: internalizar a consciência de segurança como um hábito, mantendo um equilíbrio entre confiança e verificação. No mundo Blockchain, cada clique e cada transação são registrados permanentemente, não podendo ser alterados. Portanto, manter-se alerta e aprender continuamente é essencial para proteger os seus ativos digitais.