Нові тенденції шахрайства з криптоактивами: протоколи Блокчейн стають засобом атак

Криптоактиви та технології Блокчейн трансформують концепцію фінансової свободи, але ця трансформація також приносить нові виклики безпеки. Шахраї більше не просто використовують технологічні вразливості, а перетворюють протоколи смарт-контрактів Блокчейн на інструменти атак. Завдяки ретельно спроектованим соціально-інженерним пасткам, вони використовують прозорість та незворотність Блокчейн для перетворення довіри користувачів на засіб для крадіжки активів. Від підробки смарт-контрактів до маніпуляцій з міжланцюговими транзакціями, ці атаки не лише приховані та важкі для розслідування, але й мають ще більшу обманливість через свій "легітимний" вигляд. У цій статті через реальні кейси буде розкрито, як шахраї перетворюють протоколи на засоби атак, і запропоновано комплексні рішення від технічного захисту до поведінкових запобіжників, щоб допомогти вам безпечно просуватися в децентралізованому світі.

Один. Як легальний протокол перетворюється на інструмент шахрайства?

Дизайн протоколу Блокчейн спочатку був спрямований на забезпечення безпеки та довіри, але шахраї використовують його особливості, поєднуючи їх із недбалістю користувачів, створюючи різноманітні приховані методи атаки. Нижче наведені деякі прийоми та їх технічні деталі:

(1) авторизація шкідливого смарт-контракту

Технічний принцип:

На блокчейнах, таких як Ethereum, стандарт токенів ERC-20 дозволяє користувачам через функцію "Approve" уповноважити третю сторону (зазвичай смарт-контракт) витягувати з їх гаманців вказану кількість токенів. Ця функція широко використовується в DeFi-протоколах, де користувачі повинні уповноважити смарт-контракти для завершення угод, стейкінгу або ліквідного майнінгу. Однак шахраї використовують цю механіку для створення шкідливих контрактів.

Спосіб роботи:

Шахраї створюють DApp, що маскується під легітимний проект, зазвичай просуваючи його через фішингові сайти або соціальні мережі. Користувачі підключають гаманці та їх спонукають натиснути "Approve", що на перший погляд є авторизацією невеликої кількості монет, але насправді може бути безмежним лімітом. Як тільки авторизація завершена, адреса контракту шахраїв отримує права і може в будь-який момент викликати функцію "TransferFrom", щоб витягти всі відповідні монети з гаманця користувача.

Справжній випадок:

На початку 2023 року фішинговий веб-сайт, що маскувався під "оновлення певного DEX", призвів до втрати мільйонів доларів США у USDT та ETH сотнями користувачів. Данні на блокчейні свідчать про те, що ці транзакції повністю відповідають стандарту ERC-20, і жертви навіть не можуть повернути свої кошти через правові засоби, оскільки авторизація була підписана добровільно.

(2) підпис фішинг

Технічний принцип:

Блокчейн-транзакції потребують від користувачів генерування підпису за допомогою приватного ключа для підтвердження законності транзакції. Гаманець зазвичай виводить запит на підпис, після підтвердження користувача транзакція передається в мережу. Шахраї використовують цей процес, підробляючи запити на підпис для крадіжки активів.

Спосіб роботи:

Користувач отримує лист, що маскується під офіційне повідомлення, або повідомлення в соціальних мережах, наприклад, "Ваш NFT аірдроп чекає на отримання, будь ласка, підтверджте гаманець". Після натискання на посилання користувач направляється на шкідливий сайт, де йому пропонується підключити гаманець і підписати "підтверджуючу транзакцію". Ця транзакція насправді може викликати функцію "Transfer", яка безпосередньо переведе ETH або токени з гаманця на адресу шахрая; або ж це може бути операція "SetApprovalForAll", яка надає шахраю контроль над NFT колекцією користувача.

Справжній випадок:

Досить відомий проект NFT зазнав атаки через фішинг підписів, багато користувачів втратили NFT вартістю кілька мільйонів доларів через підписання підробленої угоди "отримання аеродропу". Зловмисники використовували стандарт підпису EIP-712, підробляючи запити, які виглядали безпечними.

(3) Фальшиві токени та "атака пилом"

Технічні принципи:

Відкритість Блокчейн дозволяє будь-кому надсилати токени на будь-яку адресу, навіть якщо отримувач не запитував цього. Шахраї використовують це, надсилаючи невелику кількість Криптоактиви на кілька адрес гаманців, щоб відстежувати активність гаманців і пов’язувати їх з особами або компаніями, що володіють гаманцем. Зловмисники потім використовують цю інформацію для здійснення фішингових атак або погроз до жертви.

Спосіб роботи:

У більшості випадків, "пил" використовуваний у атаках пилу розподіляється у формі аерозолі до гаманців користувачів, ці токени можуть мати певні назви або метадані, що спонукають користувачів відвідати певний веб-сайт для отримання деталей. Користувачі можуть намагатися обміняти ці токени, після чого зловмисники можуть отримати доступ до гаманця користувача через адреси контрактів, що супроводжують токени. Ще більш прихованим є те, що атаки пилу можуть використовувати соціальну інженерію, аналізуючи подальші транзакції користувача, щоб визначити активні адреси гаманців користувачів, таким чином реалізуючи більш точні шахрайства.

Справжній випадок:

У минулому на мережі Ethereum стався напад на певні монети, який вплинув на тисячі гаманців. Деякі користувачі, з цікавості, втратили ETH та ERC-20 токени.

Два, чому ці шахрайства важко виявити?

Ці шахрайства успішні, в значній мірі через те, що вони приховані в легітимних механізмах Блокчейн, звичайним користувачам важко розпізнати їхню злочинну сутність. Ось кілька ключових причин:

• Технічна складність: Код смарт-контракту та запити на підпис для нетехнічних користувачів є незрозумілими. Наприклад, запит "Approve" може відображатися як складні шістнадцяткові дані, і користувач не може інтуїтивно зрозуміти його значення.

• Законність на ланцюзі: всі транзакції записуються в Блокчейн, і здаються прозорими, але жертви часто усвідомлюють наслідки авторизації або підпису лише згодом, і в цей час активи вже неможливо повернути.

• Соціальна інженерія: шахраї використовують людські слабкості, такі як жадібність, страх або довіра.

• Замасковане мистецтво: Фішингові сайти можуть використовувати URL, подібні до офіційних доменів, навіть отримуючи сертифікати HTTPS для підвищення довіри.

Три, як захистити ваші криптоактиви гаманця?

В умовах таких шахрайств, де поєднуються технологічні та психологічні війни, захист активів потребує багатошарового підходу. Ось детальні заходи запобігання:

Перевірка та управління правами доступу

• Використовуйте інструмент перевірки авторизації блокчейн-браузера для регулярної перевірки записів авторизації гаманця.
• Скасувати непотрібні дозволи, особливо на безмежні дозволи для невідомих адрес.
• Перед кожним наданням дозволу переконайтеся, що DApp походить з надійного джерела.
• Перевірте значення "Допуск", якщо воно "безмежне", його слід відразу скасувати.

Перевірте посилання та джерело

• Введіть офіційний URL вручну, уникаючи клацання на посиланнях у соціальних мережах або електронних листах.
• Забезпечте правильне використання доменного імені та SSL сертифіката для сайту.
• Будьте обережні з помилками в написанні або зайвими символами в URL.

Використання холодного гаманця та мультипідпису

• Зберігайте більшість активів у апаратному гаманці, підключайте до мережі лише за необхідності.
• Для великих активів використовуйте інструменти мультипідпису, що вимагають підтвердження угоди кількома ключами.

Обережно обробляйте запити на підпис

• Під час кожного підписання уважно читайте деталі транзакції у спливаючому вікні гаманця.
• Використовуйте функцію декодування блокчейн-браузера для аналізу підписаного вмісту або зверніться до технічного експерта.
• Створіть незалежний гаманець для високоризикових операцій, зберігайте невелику кількість активів.

реагування на атаки пилу

• Після отримання невідомих токенів не взаємодійте з ними. Позначте їх як "сміття" або сховайте.
• Підтверджуйте походження токенів через Блокчейн браузер, якщо це масова відправка, будьте дуже обережні.
• Уникайте публікації адреси гаманця або використовуйте нову адресу для чутливих операцій.

Висновок

Завдяки впровадженню вищезгаданих заходів безпеки, користувачі можуть суттєво знизити ризик стати жертвою розширених шахрайських схем. Однак справжня безпека не тільки залежить від технічного захисту. Коли апаратні гаманці створюють фізичний бар'єр, а багатопідпис розподіляє ризики, саме розуміння користувачем логіки авторизації та обережність щодо поведінки в мережі є останнім укриттям від атак.

Кожен раз, коли дані аналізуються перед підписанням, кожен раз, коли перевіряються права після надання дозволу, є підтримкою власного цифрового суверенітету. У майбутньому, незалежно від того, як технології будуть еволюціонувати, найважливішою лінією захисту завжди залишиться: інтеграція свідомості про безпеку в звичку, збереження балансу між довірою та верифікацією. У світі Блокчейн кожен клік, кожна транзакція назавжди записуються, їх неможливо змінити. Тому збереження пильності та постійне навчання є надзвичайно важливими для захисту ваших цифрових активів.