Новые тенденции мошенничества с криптоактивами: Протоколы Блокчейн становятся носителями атак

Криптоактивы и технологии Блокчейн кардинально меняют концепцию финансовой свободы, но эта трансформация также приносит новые проблемы безопасности. Мошенники больше не просто используют уязвимости технологий, а превращают сами протоколы смарт-контрактов Блокчейн в инструменты атаки. С помощью тщательно продуманных ловушек социального инжиниринга они используют прозрачность и необратимость Блокчейн, превращая доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными транзакциями, эти атаки не только скрытны и трудно обнаружимы, но и более обманчивы из-за своего "легализованного" внешнего вида. В данной статье через реальные примеры будет проанализировано, как мошенники превращают протоколы в средства атаки, и предложены комплексные решения от технической защиты до поведенческой профилактики, чтобы помочь вам безопасно двигаться в децентрализованном мире.

Один. Как законный протокол может стать инструментом мошенничества?

Дизайн протокола Блокчейн изначально предназначен для обеспечения безопасности и доверия, но мошенники используют его особенности, сочетая их с неосторожностью пользователей, создавая различные скрытые способы атак. Ниже представлены некоторые методы и их технические детали:

(1) Ауторизация злонамеренного смарт-контракта

Технический принцип:

На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" уполномочить третьих лиц (обычно смарт-контракты) извлекать из их кошельков определенное количество токенов. Эта функция широко используется в Протоколах DeFi, пользователям необходимо уполномочить смарт-контракты для завершения сделок, стейкинга или ликвидного майнинга. Однако мошенники используют этот механизм для разработки вредоносных контрактов.

Способ работы:

Мошенники создают DApp, замаскированный под легальный проект, обычно рекламируя его через фишинговые сайты или социальные сети. Пользователи подключают свои кошельки и их вводят в заблуждение, заставляя нажимать "Approve", что на первый взгляд является разрешением на незначительное количество токенов, но на самом деле может предоставить неограниченный доступ. Как только полномочия предоставлены, адрес контракта мошенников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.

Реальный случай:

В начале 2023 года фишинговый сайт, маскирующийся под "обновление какого-то DEX", привел к потере миллионов долларов в USDT и ETH для сотен пользователей. Данные в блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои деньги через юридические средства, так как авторизация была подписана добровольно.

(2) Подписать фишинг

Технический принцип:

Блокчейн-транзакции требуют от пользователей создания подписи с помощью приватного ключа для подтверждения законности транзакции. Кошельки обычно выдают запрос на подпись, и после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись и кражи активов.

Способ работы:

Пользователь получает письмо или сообщение в социальных сетях, замаскированное под официальное уведомление, например, "Ваш NFT-эирдроп ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, где его просят подключить кошелек и подписать "транзакцию проверки". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", которая предоставляет мошеннику контроль над коллекцией NFT пользователя.

Реальные примеры:

Некоторые известные сообщества NFT-проектов подверглись атаке фишинга с использованием подписей, в результате чего несколько пользователей потеряли NFT на сумму несколько миллионов долларов из-за подписания поддельной транзакции "получение аirdrop". Злоумышленники использовали стандарт подписи EIP-712 для подделки кажущегося безопасным запроса.

(3) Ложные токены и "атака пылью"

Технический принцип:

Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивал это. Мошенники используют это, отправляя небольшие количества Криптоактивов на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками. Затем злоумышленники используют эту информацию для проведения фишинг-атак или угроз против жертв.

Способ работы:

В большинстве случаев "пыль" для атак с использованием пыльцы распределяется в виде airdrop в кошельки пользователей. Эти токены могут иметь определенное название или метаданные, которые побуждают пользователей посетить определенный сайт для получения деталей. Пользователи могут попытаться обменять эти токены, и тогда злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, который прилагается к токенам. Более скрытно, атаки с использованием пыльцы могут осуществляться с помощью социальной инженерии, анализируя последующие транзакции пользователя, определяя активные адреса кошельков пользователей, что позволяет им осуществлять более целенаправленные мошенничества.

Реальные примеры:

В прошлом, атака с помощью пыли токенов, появившаяся в сети Эфириум, затронула тысячи кошельков. Некоторые пользователи, испытывая любопытство, потеряли ETH и токены ERC-20.

Два, почему эти схемы трудно распознать?

Эти мошенничества успешны в значительной степени потому, что они скрываются в легитимных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:

• Техническая сложность: Код смарт-контракта и запросы на подпись могут быть непонятны нетехническим пользователям. Например, запрос "Approve" может отображаться как сложные шестнадцатеричные данные, и пользователь не может интуитивно понять его значение.

• Законность на цепочке: Все транзакции записываются в блокчейне, кажется прозрачным, но жертвы часто осознают последствия авторизации или подписания только после факта, и в это время активы уже невозможно вернуть.

• Социальная инженерия: мошенники используют человеческие слабости, такие как жадность, страх или доверие.

• Замаскированное мастерство: Фишинговые сайты могут использовать URL, похожие на официальные домены, и даже увеличивать доверие с помощью сертификатов HTTPS.

Три. Как защитить ваш кошелек для криптоактивов?

Перед лицом этих мошенничеств, сочетающих технические и психологические атаки, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:

Проверьте и управляйте правами доступа

• Регулярно проверяйте записи о разрешениях кошелька с помощью инструмента проверки разрешений блокчейн-обозревателя.
• Отмените ненужные полномочия, особенно неограниченные полномочия для неизвестных адресов.
• Перед каждым авторизацией убедитесь, что DApp поступает из надежного источника.
• Проверьте значение "Allowance"; если оно "бессрочно", его следует немедленно аннулировать.

Проверьте ссылку и источник

• Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах.
• Убедитесь, что сайт использует правильное доменное имя и сертификат SSL.
• Будьте осторожны с ошибками в написании или лишними символами в URL.

Использование холодного кошелька и многофакторной подписи

• Храните большую часть активов в аппаратных кошельках и подключайте к сети только при необходимости.
• Для крупных активов используйте инструменты мультиподписей, требующие подтверждения транзакции несколькими ключами.

Осторожно обрабатывайте запросы на подпись

• Перед каждой подписью внимательно читайте детали транзакции в всплывающем окне кошелька.
• Используйте функцию декодирования блокчейн-браузера для анализа содержания подписи или обратитесь к техническому эксперту.
• Создайте независимый кошелек для высокорисковых операций, храните небольшое количество активов.

Ответ на атаки пыли

• После получения неизвестного токена не взаимодействуйте. Отметьте его как "мусор" или скрыть.
• Подтвердите источник токена через Блокчейн-обозреватель, будьте очень осторожны при массовой отправке.
• Избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.

Заключение

Принимая указанные выше меры безопасности, пользователи могут значительно снизить риск стать жертвой сложных мошеннических схем. Однако настоящая безопасность не зависит только от технологической защиты. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователем логики авторизации и осторожность в действиях на блокчейне становятся последней крепостью против атак.

Каждый анализ данных перед подписанием, каждая проверка полномочий после авторизации — это защита собственного цифрового суверенитета. В будущем, независимо от того, как технологии будут развиваться, самая важная линия обороны всегда будет заключаться в том, чтобы сделать осознание безопасности привычкой и сохранять баланс между доверием и проверкой. В мире Блокчейн каждое нажатие кнопки, каждая транзакция навсегда записываются и не могут быть изменены. Поэтому поддержание бдительности и постоянное обучение имеют решающее значение для защиты ваших Криптоактивы.