Блокчейн безопасность: смарт-контракты и социальная инженерия двойной вызов

Криптовалюты и технологии Блокчейн меняют концепцию финансовой свободы, но эта революция также принесла новые угрозы безопасности. Мошенники больше не просто используют технические уязвимости, а превращают смарт-контракты Блокчейн в инструменты атаки. Через тщательно продуманные ловушки социального инжиниринга они используют прозрачность и необратимость Блокчейн, превращая доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными транзакциями, эти атаки не только скрытны и трудны для обнаружения, но и более обманчивы из-за своего "законного" внешнего вида. В этой статье через примеры будет проанализировано, как мошенники превращают протоколы в средства атаки, и предложены комплексные решения от технической защиты до поведенческой профилактики.

Один. Как законное соглашение стало инструментом мошенничества?

Блокчейн-протоколы должны обеспечивать безопасность и доверие, но мошенники используют их особенности, сочетая с небрежностью пользователей, создавая различные скрытые способы атак. Ниже приведены некоторые распространенные методы и их технические детали:

(1) Злоумышленное разрешение смарт-контрактов

Технический принцип: На таких Блокчейнах, как Эфириум, стандарт токенов ERC-20 позволяет пользователям через функцию "Approve" разрешать третьим лицам извлекать из их кошелька определенное количество токенов. Эта функция широко используется в протоколах децентрализованных финансов (DeFi), где пользователям необходимо разрешить смарт-контрактам завершать сделки, ставить токены или заниматься ликвидным майнингом. Однако мошенники используют этот механизм для создания злонамеренных контрактов.

Способ работы: Мошенники создают децентрализованное приложение (DApp), замаскированное под легальный проект, зачастую продвигая его через фишинговые сайты или социальные сети. Пользователи подключают кошелёк и их вводят в заблуждение, заставляя нажать "Approve", что на первый взгляд выглядит как разрешение на передачу небольшого количества токенов, но на самом деле это может быть неограниченный лимит. Как только авторизация завершена, адрес контракта мошенника получает права и может в любое время вызывать функцию "TransferFrom", чтобы извлекать все соответствующие токены из кошелька пользователя.

Реальные примеры: В начале 2023 года фишинговый сайт, маскирующийся под "обновление какого-то DEX", привел к потере миллионов долларов в USDT и ETH для сотен пользователей. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвам сложно вернуть свои средства через судебные меры, так как разрешение было подписано добровольно.

(2) Подписка на фишинг

Технический принцип: Блокчейн-транзакции требуют от пользователя генерации подписи с помощью приватного ключа для подтверждения легитимности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция передается в сеть. Мошенники используют этот процесс для подделки запросов на подпись с целью кражи активов.

Способ работы: Пользователь получает электронное письмо или мгновенное сообщение, замаскированное под официальное уведомление, например, "Ваш NFT airdrop готов к получению, пожалуйста, проверьте кошелек". После нажатия на ссылку пользователь перенаправляется на вредоносный сайт, который требует подключения кошелька и подписания "транзакции проверки". Эта транзакция на самом деле может вызывать функцию "Transfer", которая напрямую переводит ETH или токены из кошелька на адрес мошенника; или это может быть операция "SetApprovalForAll", предоставляющая мошеннику контроль над коллекцией NFT пользователя.

Реальный случай: Некоторое известное сообщество NFT проекта подверглось атаке фишинга с использованием подписей, в результате чего несколько пользователей потеряли NFT на сумму несколько миллионов долларов из-за подписания поддельных транзакций "получения аирдропа". Нападающие использовали стандарт подписи EIP-712, подделав запрос, который выглядел безопасным.

(3) Ложные токены и "атака пылью"

Технический принцип: Открытость Блокчейн позволяет любому отправлять токены на любой адрес, даже если получатель не запрашивает их активно. Мошенники используют это, отправляя небольшие суммы криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с лицами или компаниями, владеющими кошельками.

Способ работы: Атакующий отправляет небольшое количество "пылевых" токенов на разные адреса, пытаясь выяснить, какие из них принадлежат одному и тому же кошельку. Эти токены могут иметь привлекательные названия или метаданные, побуждающие пользователей посетить определенный веб-сайт для получения подробной информации. Пользователи могут попытаться обналичить эти токены, позволяя атакующему получить доступ к кошельку пользователя через адрес контракта, сопутствующий токенам. Более скрытно, пылевая атака может осуществляться путем анализа последующих транзакций пользователя, чтобы определить активные адреса кошельков пользователей и тем самым осуществлять более точные мошенничества.

Реальный случай: На сети Эфириума произошла атака "пылью токенов GAS", которая затронула тысячи кошельков. Некоторые пользователи из любопытства взаимодействовали и потеряли ETH и токены ERC-20.

Второе, почему эти мошенничества трудно обнаружить?

Эти схемы мошенничества успешны во многом потому, что они скрываются за легитимными механизмами Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:

• Техническая сложность: код смарт-контрактов и запросы на подпись могут быть непонятны для нетехнических пользователей. Например, запрос "Approve" может отображаться как шестнадцатеричные данные, такие как "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.

• Законность на блокчейне: все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только после того, как активы уже невозможно вернуть.

• Социальная инженерия: мошенники используют слабости человеческой природы, такие как жадность ("получите бесплатные токены на 1000 долларов"), страх ("необычная активность на счете требует проверки") или доверие (выдавая себя за службу поддержки).

• Искусная маскировка: Фишинговые сайты могут использовать URL, похожие на официальный домен, и даже повысить доверие с помощью сертификатов HTTPS.

Три, как защитить ваш криптовалютный кошелек?

Столкнувшись с этими мошенничествами, в которых сочетаются технические и психологические войны, защита активов требует многоуровневой стратегии. Ниже приведены подробные меры предосторожности:

Проверьте и управляйте разрешениями

• Используйте инструмент проверки авторизаций в блокчейн-обозревателе для проверки записей авторизации кошелька.
• Регулярно отзывать ненужные разрешения, особенно на безлимитные разрешения для неизвестных адресов.
• Перед каждым разрешением убедитесь, что DApp поступает из надежного источника.
• Проверьте значение "Allowance"; если оно равно "бесконечность" (например, 2^256-1), его следует немедленно отменить.

Проверьте ссылку и источник

• Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или письмах.
• Убедитесь, что сайт использует правильное доменное имя и SSL-сертификат (зеленый значок замка).
• Будьте осторожны с орфографическими ошибками или лишними символами.
• Если вы получили подозрительные варианты доменов, немедленно сомневайтесь в их подлинности.

Использование холодного кошелька и мультиподписи

• Храните большую часть активов в аппаратных кошельках и подключайте сеть только при необходимости.
• Для крупных активов используйте инструменты многофакторной подписи, требующие подтверждения транзакции несколькими ключами.
• Даже если горячий кошелек будет взломан, активы в холодном хранилище останутся в безопасности.

Осторожно обрабатывайте запросы на подпись

• Каждый раз при подписании внимательно читайте детали транзакции в всплывающем окне кошелька.
• Используйте функцию "Decode Input Data" блокчейн-эксплорера для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
• Создайте отдельный кошелек для высокорисковых операций и храните в нем небольшое количество активов.

Ответ на атаки пыли

• После получения неизвестных токенов не взаимодействуйте с ними. Отметьте их как "спам" или скрыть.
• Подтвердите источник токена через Блокчейн-браузер, если отправка осуществляется массово, будьте очень осторожны.
• Избегайте публичного раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.

Заключение

Реализуя вышеупомянутые меры безопасности, пользователи могут значительно снизить риск стать жертвами сложных мошеннических схем, но настоящая безопасность не зависит только от технологий. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риски, понимание пользователями логики авторизации и осторожность в поведении на блокчейне становятся последней защитой от атак. Каждое расшифрование данных перед подписанием и каждый обзор полномочий после авторизации — это защита цифрового суверенитета.

В будущем, независимо от того, как будут развиваться технологии, самой важной защитной линией всегда будет: внутреннее усвоение осознания безопасности как привычки и создание баланса между доверием и проверкой. В мире Блокчейн каждое нажатие, каждая транзакция навсегда фиксируется и не может быть изменена. Поэтому быть настороже и постоянно учиться крайне важно для безопасного продвижения в этой быстро развивающейся области.