Nouvelles menaces dans le monde de la Blockchain : fraudes aux protocoles et stratégies de prévention

Avec le développement des cryptomonnaies et de la technologie Blockchain, une nouvelle menace émerge discrètement. Les fraudeurs ne se limitent plus aux vulnérabilités techniques traditionnelles, mais transforment le protocole de contrat intelligent de la Blockchain lui-même en outil d'attaque. Ils exploitent la transparence et l'irréversibilité de la Blockchain, en utilisant des pièges d'ingénierie sociale soigneusement conçus pour transformer la confiance des utilisateurs en outil de vol d'actifs. Des faux contrats intelligents à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des exemples pour révéler comment les fraudeurs transforment les protocoles en vecteurs d'attaque et proposera des stratégies de protection complètes.

I. Mécanisme de fonctionnement des escroqueries au protocole

Les protocoles Blockchain devraient garantir la sécurité et la confiance, mais les escrocs exploitent habilement ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques courantes et leurs détails techniques :

1. Autorisation de contrat intelligent malveillant

Principe technique : La norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des escrocs.

Mode de fonctionnement : Les escrocs créent des DApp déguisés en projets légitimes, incitant les utilisateurs à connecter leur portefeuille et à autoriser. En apparence, il s'agit d'autoriser une petite quantité de jetons, mais en réalité, cela peut être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent retirer à tout moment tous les jetons correspondants du portefeuille de l'utilisateur.

Cas réel : Début 2023, un site de phishing déguisé en "mise à niveau de某DEX" a entraîné la perte de grandes quantités de USDT et d'ETH pour des centaines d'utilisateurs. Ces transactions étaient entièrement conformes à la norme ERC-20, rendant difficile pour les victimes de récupérer leurs actifs par des voies légales.

2. Phishing par signature

Principe technique : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide d'une clé privée. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.

Mode de fonctionnement : L'utilisateur reçoit un message déguisé en notification officielle, l'amenant à un site malveillant pour signer "vérifier la transaction". Cette transaction pourrait transférer directement les actifs de l'utilisateur ou autoriser les fraudeurs à contrôler la collection NFT de l'utilisateur.

Cas réel : Une communauté d'un célèbre projet NFT a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "de réception d'airdrop" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.

3. Faux jetons et "attaque par poussière"

Principe technique : La transparence de la Blockchain permet à quiconque d'envoyer des tokens à n'importe quelle adresse. Les fraudeurs exploitent cela en envoyant une petite quantité de cryptomonnaie pour suivre l'activité des portefeuilles et l'associer à des individus ou des entreprises.

Mode de fonctionnement : Les escrocs envoient de petites quantités de jetons à plusieurs adresses, ces jetons pouvant avoir des noms ou des métadonnées trompeurs. Lorsque les utilisateurs essaient de les encaisser, les attaquants peuvent accéder au portefeuille des utilisateurs via l'adresse du contrat. Plus subtilement, en analysant les transactions ultérieures des utilisateurs, ils ciblent les adresses de portefeuilles actifs pour mener des escroqueries précises.

Cas réel : Une attaque par "token GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs, par curiosité, ont perdu de l'ETH et d'autres tokens.

Deux, les raisons pour lesquelles la fraude est difficile à détecter

Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, ce qui rend difficile pour les utilisateurs ordinaires de distinguer leur nature malveillante. Les principales raisons incluent :

1. Complexité technique : le code des contrats intelligents et les demandes de signature sont obscurs pour les utilisateurs non techniques.

2. Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes prennent souvent conscience du problème seulement après coup.

3. Ingénierie sociale : les escrocs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.

4. Déguisement astucieux : les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à un certificat HTTPS.

Trois, stratégies pour protéger les portefeuilles de Cryptomonnaies

Face à ces escroqueries qui combinent des défis techniques et des guerres psychologiques, protéger ses actifs nécessite une stratégie multi-niveaux :

1. Vérifiez et gérez les autorisations d'autorisation

• Utilisez l'outil de vérification des autorisations du navigateur Blockchain pour examiner et révoquer régulièrement les autorisations inutiles.
• Avant chaque autorisation, assurez-vous que la source du DApp est fiable.
• Faites particulièrement attention à l'autorisation "illimitée", elle doit être révoquée immédiatement.

2. Vérifier le lien et la source

• Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les médias sociaux ou les e-mails.
• Vérifiez soigneusement le nom de domaine du site web et le certificat SSL.
• Soyez vigilant face à toute variation de nom de domaine contenant des fautes de frappe ou des caractères superflus.

3. Utiliser un portefeuille froid et une signature multiple

• Stockez la plupart des actifs dans un portefeuille matériel et connectez-le au réseau uniquement si nécessaire.
• Utilisez des outils de multi-signature pour les actifs de grande valeur, exigeant la confirmation de la transaction par plusieurs clés.

4. Traitez les demandes de signature avec prudence

• Lisez attentivement les détails de chaque transaction signée.
• Utilisez la fonction de décodage du navigateur Blockchain pour analyser le contenu de la signature.
• Créez un portefeuille indépendant pour les opérations à haut risque, et ne stockez qu'un petit montant d'actifs.

5. Répondre aux attaques par poussière

• Après avoir reçu des tokens inconnus, n'interagissez pas avec eux.
• Confirmer l'origine des jetons via un explorateur de Blockchain, être vigilant aux envois en masse.
• Évitez de rendre publique votre adresse de portefeuille, ou utilisez une nouvelle adresse pour des opérations sensibles.

Conclusion

La mise en œuvre des mesures de sécurité mentionnées ci-dessus peut réduire considérablement le risque de devenir une victime de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas uniquement sur des protections techniques. La compréhension par les utilisateurs de la logique d'autorisation et une attitude prudente envers les comportements sur la Blockchain constituent la dernière ligne de défense contre les attaques. L'analyse des données avant chaque signature et la vérification des autorisations après chaque autorisation sont toutes des maintiens de la souveraineté numérique.

Dans le monde de la Blockchain, le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente et ne peuvent être modifiés. Par conséquent, intérioriser la conscience de la sécurité en tant qu'habitude et maintenir un équilibre entre confiance et vérification est la clé pour assurer la sécurité des actifs.