contratos inteligentes autorizados: Blockchain seguro de duas faces
As criptomoedas e a tecnologia Blockchain estão a remodelar o setor financeiro, mas esta transformação também trouxe novos desafios de segurança. Os atacantes já não se limitam a explorar vulnerabilidades tecnológicas, mas transformam os próprios protocolos Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles aproveitam a transparência e a irreversibilidade da Blockchain, convertendo a confiança dos usuários em meios para roubar ativos. Desde contratos inteligentes cuidadosamente construídos até a manipulação de transações cross-chain, esses ataques são não apenas dissimulados e difíceis de rastrear, mas também mais enganosos devido à sua aparência "legítima". Este artigo analisará casos reais, revelando como os atacantes transformam protocolos em veículos de ataque e fornecerá soluções abrangentes que vão desde a proteção técnica até a prevenção comportamental, ajudando-o a navegar com segurança no mundo descentralizado.
I. Como os acordos podem se tornar ferramentas de fraude?
O protocolo Blockchain tem como objetivo garantir segurança e confiança, mas os atacantes aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque ocultas. Abaixo estão alguns métodos e seus detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos
Princípio técnico:
No Blockchain como Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, atacantes utilizam este mecanismo para projetar contratos maliciosos.
Como funciona:
Um atacante cria um DApp disfarçado de projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que aparentemente autoriza uma quantidade limitada de tokens, mas na realidade pode ser um limite infinito (valor uint256.max). Assim que a autorização é concluída, o endereço do contrato do atacante obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Caso real:
No início de 2023, um site de phishing disfarçado de "atualização de um certo DEX" fez com que centenas de usuários perdessem milhões de dólares em USDT e ETH. Os dados na blockchain mostram que essas transações estavam completamente em conformidade com o padrão ERC-20, e as vítimas nem conseguiram recuperar os fundos por meios legais, uma vez que a autorização foi assinada voluntariamente.
(2) Phishing de assinatura
Princípio técnico:
As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas para provar a legalidade da transação. Normalmente, a carteira irá exibir um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os atacantes exploram esse processo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento:
Os usuários recebem e-mails ou mensagens em redes sociais disfarçados de notificações oficiais, como "Seu airdrop de NFT está aguardando a reivindicação, por favor verifique a carteira". Após clicar no link, os usuários são direcionados para um site malicioso, onde são solicitados a conectar a carteira e assinar uma "transação de verificação". Esta transação pode na verdade estar chamando a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do atacante; ou pode ser uma operação "SetApprovalForAll", autorizando o atacante a controlar a coleção de NFTs do usuário.
Caso real:
Uma comunidade de um conhecido projeto NFT sofreu um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "receber airdrop" falsificadas. Os atacantes exploraram o padrão de assinatura EIP-712 para falsificar solicitações que pareciam seguras.
(3) Tokens falsos e "ataque de poeira"
Princípios técnicos:
A transparência do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os atacantes aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e associá-la a indivíduos ou empresas que a possuem.
Modo de operação:
Atacantes enviam pequenas quantidades de criptomoedas para diferentes endereços, tentando descobrir quais pertencem à mesma carteira. Em seguida, usam essas informações para lançar ataques de phishing ou ameaças contra a vítima. Na maioria dos casos, a "poeira" usada em ataques de poeira é distribuída em forma de airdrop para as carteiras dos usuários, e esses tokens podem ter um nome específico ou metadados que induzem os usuários a visitar um determinado site para consultar detalhes.
Caso real:
A rede Ethereum sofreu um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários perderam ETH e tokens ERC-20 devido à curiosidade de interagir.
Dois, por que esses golpes são difíceis de detectar?
Estes golpes são bem-sucedidos, em grande parte, porque estão escondidos nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. As principais razões incluem:
Complexidade técnica: O código de contratos inteligentes e os pedidos de assinatura são obscuros e difíceis de entender para usuários não técnicos.
Legalidade em cadeia: Todas as transações são registradas no Blockchain, parecem transparentes, mas as vítimas muitas vezes só percebem as consequências da autorização ou assinatura posteriormente.
Engenharia Social: Os atacantes exploram fraquezas humanas, como ganância, medo ou confiança.
Disfarce inteligente: Sites de phishing podem usar URLs semelhantes ao domínio oficial, e até mesmo aumentar a credibilidade através de certificados HTTPS.
Três, como proteger a sua carteira de criptomoedas?
Diante desses esquemas que combinam tecnologia e guerra psicológica, proteger os ativos requer uma estratégia de múltiplas camadas. Abaixo estão as medidas de prevenção detalhadas:
Verificar e gerir permissões de autorização
Utilize a ferramenta de verificação de autorização do explorador de Blockchain para verificar regularmente os registros de autorização da carteira.
Revogar autorizações desnecessárias, especialmente autorizações ilimitadas para endereços desconhecidos.
Antes de cada autorização, certifique-se de que o DApp provém de uma fonte confiável.
Verifique o link e a origem
Introduza manualmente a URL oficial, evitando clicar em links nas redes sociais ou em e-mails.
Certifique-se de que o site utilize o domínio e o certificado SSL corretos.
Fique atento a erros de ortografia ou caracteres a mais em nomes de domínio.
Usar carteira fria e múltiplas assinaturas
Armazenar a maior parte dos ativos em carteiras de hardware e conectar à rede apenas quando necessário.
Para ativos de grande valor, utilize ferramentas de múltiplas assinaturas, exigindo a confirmação da transação por várias chaves.
Tenha cuidado ao processar solicitações de assinatura
A cada assinatura, leia atentamente os detalhes da transação na janela pop-up da carteira.
Utilize a funcionalidade de decodificação do explorador de Blockchain para analisar o conteúdo da assinatura, ou consulte um especialista técnico.
Criar uma carteira independente para operações de alto risco, armazenando uma pequena quantidade de ativos.
resposta a ataques de poeira
Após receber tokens desconhecidos, não interaja. Marque-os como "lixo" ou oculte-os.
Confirme a origem do token através do explorador Blockchain, se for um envio em massa, mantenha uma alta vigilância.
Evite divulgar o endereço da carteira ou utilize um novo endereço para operações sensíveis.
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude sofisticado, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware estabelecem uma defesa física e a múltipla assinatura dispersa o risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na blockchain são a última linha de defesa contra ataques.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais fundamental reside sempre em: internalizar a consciência de segurança como um hábito, estabelecendo um equilíbrio entre confiança e verificação. No mundo da Blockchain, onde o código é a lei, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Manter-se alerta e agir com cautela é essencial para avançar com segurança neste novo campo das finanças digitais.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
6 Curtidas
Recompensa
6
4
Repostar
Compartilhar
Comentário
0/400
Degen4Breakfast
· 08-17 05:27
Blockchain永远的idiotas
Ver originalResponder0
WagmiWarrior
· 08-17 05:15
Autorizem, abram bem os olhos, pessoal.
Ver originalResponder0
WalletWhisperer
· 08-17 05:10
Jovem espirituoso, especializado em Perda impermanente
Ver originalResponder0
MEV_Whisperer
· 08-17 05:07
Lembre-se, a rastreabilidade é o caminho! Passar o dia a estudar autorizações não é tão útil quanto estudar os princípios do MEV.
Risco de autorização de contratos inteligentes: novos desafios e estratégias de proteção para a segurança do Blockchain
contratos inteligentes autorizados: Blockchain seguro de duas faces
As criptomoedas e a tecnologia Blockchain estão a remodelar o setor financeiro, mas esta transformação também trouxe novos desafios de segurança. Os atacantes já não se limitam a explorar vulnerabilidades tecnológicas, mas transformam os próprios protocolos Blockchain em ferramentas de ataque. Através de armadilhas de engenharia social cuidadosamente elaboradas, eles aproveitam a transparência e a irreversibilidade da Blockchain, convertendo a confiança dos usuários em meios para roubar ativos. Desde contratos inteligentes cuidadosamente construídos até a manipulação de transações cross-chain, esses ataques são não apenas dissimulados e difíceis de rastrear, mas também mais enganosos devido à sua aparência "legítima". Este artigo analisará casos reais, revelando como os atacantes transformam protocolos em veículos de ataque e fornecerá soluções abrangentes que vão desde a proteção técnica até a prevenção comportamental, ajudando-o a navegar com segurança no mundo descentralizado.
I. Como os acordos podem se tornar ferramentas de fraude?
O protocolo Blockchain tem como objetivo garantir segurança e confiança, mas os atacantes aproveitam suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque ocultas. Abaixo estão alguns métodos e seus detalhes técnicos:
(1) autorização de contratos inteligentes maliciosos
Princípio técnico:
No Blockchain como Ethereum, o padrão de token ERC-20 permite que os usuários autorizem terceiros (geralmente contratos inteligentes) a retirar uma quantidade específica de tokens de suas carteiras através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, onde os usuários precisam autorizar contratos inteligentes para completar transações, staking ou mineração de liquidez. No entanto, atacantes utilizam este mecanismo para projetar contratos maliciosos.
Como funciona:
Um atacante cria um DApp disfarçado de projeto legítimo, geralmente promovido através de sites de phishing ou redes sociais. Os usuários conectam suas carteiras e são induzidos a clicar em "Approve", que aparentemente autoriza uma quantidade limitada de tokens, mas na realidade pode ser um limite infinito (valor uint256.max). Assim que a autorização é concluída, o endereço do contrato do atacante obtém permissão para chamar a função "TransferFrom" a qualquer momento, retirando todos os tokens correspondentes da carteira do usuário.
Caso real:
No início de 2023, um site de phishing disfarçado de "atualização de um certo DEX" fez com que centenas de usuários perdessem milhões de dólares em USDT e ETH. Os dados na blockchain mostram que essas transações estavam completamente em conformidade com o padrão ERC-20, e as vítimas nem conseguiram recuperar os fundos por meios legais, uma vez que a autorização foi assinada voluntariamente.
(2) Phishing de assinatura
Princípio técnico:
As transações em Blockchain exigem que os usuários gerem assinaturas através de chaves privadas para provar a legalidade da transação. Normalmente, a carteira irá exibir um pedido de assinatura, e após a confirmação do usuário, a transação é transmitida para a rede. Os atacantes exploram esse processo para falsificar pedidos de assinatura e roubar ativos.
Funcionamento:
Os usuários recebem e-mails ou mensagens em redes sociais disfarçados de notificações oficiais, como "Seu airdrop de NFT está aguardando a reivindicação, por favor verifique a carteira". Após clicar no link, os usuários são direcionados para um site malicioso, onde são solicitados a conectar a carteira e assinar uma "transação de verificação". Esta transação pode na verdade estar chamando a função "Transfer", transferindo diretamente ETH ou tokens da carteira para o endereço do atacante; ou pode ser uma operação "SetApprovalForAll", autorizando o atacante a controlar a coleção de NFTs do usuário.
Caso real:
Uma comunidade de um conhecido projeto NFT sofreu um ataque de phishing por assinatura, onde vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "receber airdrop" falsificadas. Os atacantes exploraram o padrão de assinatura EIP-712 para falsificar solicitações que pareciam seguras.
(3) Tokens falsos e "ataque de poeira"
Princípios técnicos:
A transparência do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço, mesmo que o destinatário não tenha solicitado ativamente. Os atacantes aproveitam isso, enviando pequenas quantidades de criptomoedas para vários endereços de carteira, a fim de rastrear a atividade da carteira e associá-la a indivíduos ou empresas que a possuem.
Modo de operação:
Atacantes enviam pequenas quantidades de criptomoedas para diferentes endereços, tentando descobrir quais pertencem à mesma carteira. Em seguida, usam essas informações para lançar ataques de phishing ou ameaças contra a vítima. Na maioria dos casos, a "poeira" usada em ataques de poeira é distribuída em forma de airdrop para as carteiras dos usuários, e esses tokens podem ter um nome específico ou metadados que induzem os usuários a visitar um determinado site para consultar detalhes.
Caso real:
A rede Ethereum sofreu um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários perderam ETH e tokens ERC-20 devido à curiosidade de interagir.
Dois, por que esses golpes são difíceis de detectar?
Estes golpes são bem-sucedidos, em grande parte, porque estão escondidos nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua natureza maliciosa. As principais razões incluem:
Três, como proteger a sua carteira de criptomoedas?
Diante desses esquemas que combinam tecnologia e guerra psicológica, proteger os ativos requer uma estratégia de múltiplas camadas. Abaixo estão as medidas de prevenção detalhadas:
Verificar e gerir permissões de autorização
Verifique o link e a origem
Usar carteira fria e múltiplas assinaturas
Tenha cuidado ao processar solicitações de assinatura
resposta a ataques de poeira
Conclusão
A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude sofisticado, mas a verdadeira segurança não depende apenas da tecnologia. Quando as carteiras de hardware estabelecem uma defesa física e a múltipla assinatura dispersa o risco, a compreensão do usuário sobre a lógica de autorização e a prudência em relação ao comportamento na blockchain são a última linha de defesa contra ataques.
No futuro, independentemente de como a tecnologia evolua, a linha de defesa mais fundamental reside sempre em: internalizar a consciência de segurança como um hábito, estabelecendo um equilíbrio entre confiança e verificação. No mundo da Blockchain, onde o código é a lei, cada clique e cada transação são registrados permanentemente e não podem ser alterados. Manter-se alerta e agir com cautela é essencial para avançar com segurança neste novo campo das finanças digitais.