Блокчейн смарт-контрактов: меч с двумя лезвиями — возможности и потенциальные риски

Криптовалюты и технологии Блокчейн переосмысляют концепцию финансовой свободы, но эта революция также принесла новые вызовы. С развитием технологий преступники больше не ограничиваются использованием уязвимостей системы, а умело трансформируют смарт-контракты Блокчейна в инструменты атаки. Они тщательно разрабатывают ловушки социальной инженерии, используя прозрачность и необратимость Блокчейна, превращая доверие пользователей в средство кражи активов. От подделки смарт-контрактов до манипуляций с кросс-цепочечными сделками, эти атаки не только скрытны и трудны для обнаружения, но и благодаря своему "легализованному" виду становятся еще более обманчивыми. В этой статье будет проанализировано несколько реальных случаев, чтобы показать, как преступники превращают сами протоколы в средства атаки, и предложены комплексные решения, от технической защиты до профилактики поведения, чтобы помочь пользователям безопасно двигаться в децентрализованном мире.

Один. Как смарт-контракты могут быть злоупотреблены?

Изначальная цель проектирования Блокчейн-протоколов заключается в обеспечении безопасности и доверия, но злоумышленники используют их особенности, сочетая с неосторожностью пользователей, создавая различные скрытые способы атак. Ниже приведены некоторые распространенные методы и их технические детали:

(1) Злоумышленное разрешение смарт-контрактов

Технический принцип: На блокчейнах, таких как Эфириум, стандарт токена ERC-20 позволяет пользователям через функцию "Approve" уполномочить третью сторону (обычно смарт-контракт) извлекать из их кошелька указанное количество токенов. Эта функция широко используется в DeFi-протоколах, пользователям необходимо уполномочить смарт-контракты для завершения сделок, стекинга или ликвидного майнинга. Однако злоумышленники используют этот механизм для создания вредоносных контрактов.

Способ работы: Они создают DApp, маскирующийся под легитимный проект, обычно рекламируя его через фишинговые сайты или социальные сети. Пользователи подключают кошельки и их诱导ят нажать "Approve", что на первый взгляд является разрешением на небольшое количество токенов, на самом деле это может быть неограниченный лимит (значение uint256.max). Как только разрешение завершено, адрес контракта злоумышленников получает доступ и может в любое время вызывать функцию "TransferFrom", чтобы извлечь все соответствующие токены из кошелька пользователя.

Реальный случай: В начале 2023 года фишинговый сайт, маскирующийся под "обновление某DEX", привел к потерям сотен пользователей на миллионы долларов в USDT и ETH. Данные на блокчейне показывают, что эти транзакции полностью соответствуют стандарту ERC-20, и жертвы даже не могут вернуть свои средства через юридические меры, так как авторизация была подписана добровольно.

(2) Подписанный фишинг

Технический принцип: Блокчейн-транзакции требуют от пользователей создания подписи с помощью приватного ключа для подтверждения законности транзакции. Кошелек обычно выдает запрос на подпись, после подтверждения пользователем транзакция транслируется в сеть. Преступники используют этот процесс для подделки запросов на подпись и кражи активов.

Способ работы: Пользователь получает письмо или сообщение в социальных сетях, маскирующееся под официальное уведомление, например: "Ваш NFT airdrop ожидает получения, пожалуйста, подтвердите кошелек". После нажатия на ссылку пользователя перенаправляют на вредоносный сайт, где требуется подключить кошелек и подписать "проверочную транзакцию". Эта транзакция на самом деле может вызывать функцию "Transfer", что напрямую переводит ETH или токены из кошелька на адрес противника; или это может быть операция "SetApprovalForAll", которая предоставляет противнику контроль над коллекцией NFT пользователя.

Реальный случай: Некоторые известные сообщества NFT проектов подверглись атаке фишинга с использованием подписей, в результате чего несколько пользователей потеряли NFTs на сумму несколько миллионов долларов, подписав поддельные транзакции "получение аirdrop". Нападающие использовали стандарт подписи EIP-712, подделав запросы, которые казались безопасными.

(3) Ложные токены и "атака пыли"

Технический принцип: Открытость Блокчейна позволяет любому отправлять токены на любой адрес, даже если получатель не сделал активный запрос. Злоумышленники используют это, отправляя небольшое количество криптовалюты на несколько адресов кошельков, чтобы отслеживать активность кошельков и связывать их с личностями или компаниями, владеющими кошельками. Все начинается с отправки пыли — отправка небольшого количества криптовалюты на разные адреса, а затем попытка выяснить, какой из них принадлежит одному и тому же кошельку. Затем они используют эту информацию, чтобы атаковать жертву с помощью фишинговых атак или угроз.

Способ работы: В большинстве случаев "пыль", используемая в атаках с пылью, распределяется в виде аэрдропа в кошельки пользователей, и эти токены могут иметь название или метаданные (например, "FREE_AIRDROP"), что побуждает пользователей посетить определенный сайт для получения подробной информации. Пользователи, как правило, с радостью хотят обменять эти токены, после чего злоумышленники могут получить доступ к кошельку пользователя через адрес контракта, прикрепленный к токенам. Скрытое заключается в том, что атака с пылью используется с помощью социальной инженерии, анализируя последующие транзакции пользователей, чтобы зафиксировать активные адреса кошельков пользователей, что позволяет осуществлять более точные мошенничества.

Реальный случай: В прошлом атаки с помощью "GAS токенов" на сети Эфириум затронули тысячи кошельков. Некоторые пользователи потеряли ETH и токены ERC-20 из-за любопытства.

Два, почему эти атаки трудно распознать?

Эти атаки были успешны в значительной степени потому, что они скрыты в законных механизмах Блокчейн, и обычным пользователям трудно распознать их злонамеренную природу. Вот несколько ключевых причин:

1. Техническая сложность: Код смарт-контрактов и запросы на подпись могут быть трудны для понимания не техническим пользователям. Например, запрос "Approve" может отображаться как шестнадцатеричные данные "0x095ea7b3...", и пользователи не могут интуитивно понять его значение.

2. Законность на блокчейне: Все транзакции записываются в Блокчейн, что кажется прозрачным, но жертвы часто осознают последствия авторизации или подписи только после того, как активы уже невозможно вернуть.

3. Социальная инженерия: Преступники используют человеческие слабости, такие как жадность ("получите 1000 долларов в токенах бесплатно"), страх ("необычная активность в аккаунте, требуется проверка") или доверие (выдавая себя за службу поддержки).

4. Искусная маскировка: Фишинговые сайты могут использовать URL, похожие на официальные домены (например, "metamask.io" превращается в "metamaskk.io"), и даже увеличивать доверие с помощью сертификатов HTTPS.

Три, как защитить ваш криптовалютный кошелек?

Столкнувшись с атаками, в которых сосуществуют технические и психологические войны, защита активов требует многоуровневой стратегии. Вот подробные меры предосторожности:

Проверьте и управляйте правами доступа

• Используйте проверщик утверждений блокчейн-браузера или специальные инструменты управления правами для проверки записей авторизации кошелька.
• Регулярно отменяйте ненужные полномочия, особенно для неведомых адресов с неограниченными полномочиями.
• Перед каждой авторизацией убедитесь, что DApp поступает из надежного источника.
• Проверьте значение "Allowance". Если оно равно "бесконечность" (например, 2^256-1), его следует немедленно аннулировать.

Проверьте ссылку и источник

• Введите официальный URL вручную, избегая нажатия на ссылки в социальных сетях или электронных письмах.
• Убедитесь, что сайт использует правильное доменное имя и сертификат SSL (зеленый замок). Будьте осторожны с опечатками или лишними символами.
• Если вы получили вариант домена известной платформы (например, "opensea.io-login"), немедленно сомневайтесь в его подлинности.

Используйте холодный кошелек и мультиподпись

• Храните большую часть активов в аппаратных кошельках и подключайте сеть только при необходимости.
• Для крупных активов используйте инструменты мультиподписи, требующие подтверждения транзакции несколькими ключами, чтобы снизить риск ошибок в одной точке.
• Даже если горячий кошелек будет взломан, активы в холодном хранилище останутся в безопасности.

Будьте осторожны с запросами на подпись

• Внимательно читайте детали транзакции в всплывающем окне кошелька при каждой подписи.
• Используйте функцию "Декодировать входные данные" блокчейн-браузера для анализа содержимого подписи или проконсультируйтесь с техническим экспертом.
• Создайте отдельный кошелек для высокорисковых операций и храните в нем небольшое количество активов.

Противодействие атакам с пылью

• После получения неизвестного токена не взаимодействуйте с ним. Отметьте его как "мусор" или скройте.
• Через платформу Блокчейн браузера подтвердите источник токена, если это массовая отправка, будьте очень осторожны.
• Избегайте раскрытия адреса кошелька или используйте новый адрес для выполнения чувствительных операций.

Заключение

Реализуя вышеупомянутые меры безопасности, обычные пользователи могут значительно снизить риск стать жертвой высококлассных мошеннических схем, но настоящая безопасность — это не только технологическая победа. Когда аппаратные кошельки создают физическую защиту, а многофакторная подпись распределяет риск, понимание пользователем логики авторизации и осмотрительность в цепочечных действиях становятся последней крепостью против атак. Каждый анализ данных перед подписью, каждая проверка полномочий после авторизации — это клятва собственной цифровой суверенности.

В будущем, независимо от того, как технологии будут развиваться, самой важной линией защиты всегда будет: внутреннее восприятие безопасности как мышечной памяти, установление вечного баланса между доверием и проверкой. В конце концов, в мире Блокчейн, где код — это закон, каждое нажатие, каждая транзакция навсегда записываются в блокчейне, и их невозможно изменить.