Peligros de seguridad en el mundo de la cadena de bloques: análisis de las tácticas de fraude de contratos inteligentes
Las criptomonedas y la tecnología de la Cadena de bloques están remodelando el campo financiero, pero esta revolución también ha traído nuevos desafíos de seguridad. Los estafadores ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que han convertido los protocolos de contratos inteligentes de la Cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social meticulosamente diseñadas, utilizan la transparencia e irreversibilidad de la Cadena de bloques para transformar la confianza de los usuarios en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que también son más engañosos debido a su apariencia "legitimada". Este artículo analizará ejemplos para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y proporcionará soluciones integrales que van desde la protección técnica hasta la prevención del comportamiento, ayudando a los usuarios a avanzar de manera segura en un mundo descentralizado.
Uno, ¿cómo se convierte un protocolo en una herramienta de fraude?
El protocolo de la Cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores utilizan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación se presentan algunos métodos y su explicación técnica:
(1) autorización de contratos inteligentes maliciosos
Principios técnicos:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a un tercero (generalmente un contrato inteligente) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.
Forma de operar:
Los estafadores crean una DApp disfrazada como un proyecto legítimo, a menudo promovida a través de sitios de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que superficialmente parece autorizar una pequeña cantidad de tokens, pero en realidad podría ser un monto ilimitado (valor uint256.max). Una vez completada la autorización, la dirección del contrato del estafador obtiene permisos y puede llamar en cualquier momento a la función "TransferFrom" para extraer todos los tokens correspondientes de la billetera del usuario.
Caso:
A principios de 2023, un sitio web de phishing disfrazado de "actualización de Uniswap V3" provocó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en la cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas tienen dificultades para recuperar su dinero por medios legales, ya que la autorización se firmó voluntariamente.
(2) firma de phishing
Principio técnico:
Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para demostrar la legalidad de la transacción. Las billeteras generalmente muestran una solicitud de firma, y después de que el usuario la confirma, la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar:
El usuario recibe un correo o mensaje disfrazado como una notificación oficial, por ejemplo, "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que le pide que conecte su billetera y firme una "transacción de verificación". Esta transacción podría ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación "SetApprovalForAll", que autoriza al estafador a controlar la colección de NFT del usuario.
Caso:
Una conocida comunidad de un proyecto NFT ha sufrido un ataque de phishing por firma, donde varios usuarios han perdido NFT por valor de varios millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) Tokens falsos y "ataques de polvo"
Principios técnicos:
La apertura de la Cadena de bloques permite que cualquiera envíe tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla con la persona o empresa que posee la billetera.
Forma de operar:
Los atacantes envían pequeñas cantidades de "tokens de polvo" a numerosas direcciones, los cuales pueden tener nombres o metadatos atractivos. Los usuarios pueden sentirse curiosos por consultar o intentar intercambiar estos tokens, exponiendo así más información de su billetera. Los atacantes, mediante el análisis de las transacciones posteriores, localizan las direcciones de billetera activas de los usuarios y llevan a cabo estafas más precisas.
Caso:
En la red de Ethereum se produjo un ataque de "tokens GAS" que afectó a miles de monederos. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estos fraudes?
Estos fraudes tienen éxito en gran medida porque se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. Las principales razones incluyen:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos.
Legalidad en la cadena: Todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma después.
Ingeniería social: Los estafadores aprovechan las debilidades humanas, como la codicia, el miedo o la confianza.
Disfraz ingenioso: Los sitios de phishing pueden utilizar URLs que son similares al nombre de dominio oficial, e incluso aumentar su credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estas estafas que combinan tecnología y guerra psicológica, proteger los activos requiere una estrategia de múltiples niveles:
Verificar y gestionar permisos de autorización
Utiliza herramientas de verificación de autorizaciones para revisar regularmente los registros de autorización de la billetera.
Revocar autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Antes de cada autorización, asegúrate de que el DApp provenga de una fuente confiable.
Verificar el enlace y la fuente
Introduzca manualmente la URL oficial, evite hacer clic en los enlaces de las redes sociales o correos electrónicos.
Asegúrese de que el sitio web utilice el nombre de dominio y el certificado SSL correctos.
Tenga cuidado con los errores de ortografía o caracteres adicionales en el nombre de dominio.
usar billetera fría y firma múltiple
Almacene la mayor parte de los activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
Para activos de gran valor, utiliza herramientas de firma múltiple que requieren la confirmación de la transacción por múltiples claves.
Maneje con cuidado las solicitudes de firma
Lee atentamente los detalles de la transacción en la ventana emergente de la billetera.
Utilice la función de decodificación del explorador de bloques para analizar el contenido de la firma, o consulte a un experto técnico.
Crear una billetera independiente para operaciones de alto riesgo, almacenando una pequeña cantidad de activos.
respuesta a ataques de polvo
Después de recibir tokens desconocidos, no interactúes. Márquelos como "basura" o escóndelos.
Confirme el origen del token a través del explorador de bloques, tenga cuidado con el envío masivo.
Evita hacer pública la dirección de tu billetera o utiliza una nueva dirección para operaciones sensibles.
Conclusión
La implementación de las medidas de seguridad mencionadas anteriormente puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado. Sin embargo, la verdadera seguridad no solo depende de la protección técnica, sino que también requiere que los usuarios comprendan la lógica de autorización y tengan una actitud prudente hacia el comportamiento en la cadena. El análisis de datos antes de cada firma y la revisión de permisos después de cada autorización son una forma de mantener la soberanía digital.
En el mundo de la Cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente y no se pueden modificar. Por lo tanto, internalizar la conciencia de seguridad como un hábito y mantener un equilibrio entre la confianza y la verificación es clave para proteger los activos digitales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
2
Republicar
Compartir
Comentar
0/400
DeFi_Dad_Jokes
· hace2h
Se deben tomar en serio los riesgos del protocolo.
Nuevas técnicas de fraude con contratos inteligentes: el protocolo se convierte en una herramienta de ataque ¿Cómo prevenirlo?
Peligros de seguridad en el mundo de la cadena de bloques: análisis de las tácticas de fraude de contratos inteligentes
Las criptomonedas y la tecnología de la Cadena de bloques están remodelando el campo financiero, pero esta revolución también ha traído nuevos desafíos de seguridad. Los estafadores ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que han convertido los protocolos de contratos inteligentes de la Cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social meticulosamente diseñadas, utilizan la transparencia e irreversibilidad de la Cadena de bloques para transformar la confianza de los usuarios en un medio para robar activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques no solo son difíciles de detectar, sino que también son más engañosos debido a su apariencia "legitimada". Este artículo analizará ejemplos para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y proporcionará soluciones integrales que van desde la protección técnica hasta la prevención del comportamiento, ayudando a los usuarios a avanzar de manera segura en un mundo descentralizado.
Uno, ¿cómo se convierte un protocolo en una herramienta de fraude?
El protocolo de la Cadena de bloques debería garantizar la seguridad y la confianza, pero los estafadores utilizan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataque encubiertas. A continuación se presentan algunos métodos y su explicación técnica:
(1) autorización de contratos inteligentes maliciosos
Principios técnicos:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a un tercero (generalmente un contrato inteligente) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta función se utiliza ampliamente en protocolos DeFi, donde los usuarios deben autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores utilizan este mecanismo para diseñar contratos maliciosos.
Forma de operar:
Los estafadores crean una DApp disfrazada como un proyecto legítimo, a menudo promovida a través de sitios de phishing o redes sociales. Los usuarios conectan sus billeteras y son inducidos a hacer clic en "Approve", que superficialmente parece autorizar una pequeña cantidad de tokens, pero en realidad podría ser un monto ilimitado (valor uint256.max). Una vez completada la autorización, la dirección del contrato del estafador obtiene permisos y puede llamar en cualquier momento a la función "TransferFrom" para extraer todos los tokens correspondientes de la billetera del usuario.
Caso:
A principios de 2023, un sitio web de phishing disfrazado de "actualización de Uniswap V3" provocó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en la cadena muestran que estas transacciones cumplen completamente con el estándar ERC-20, y las víctimas tienen dificultades para recuperar su dinero por medios legales, ya que la autorización se firmó voluntariamente.
(2) firma de phishing
Principio técnico:
Las transacciones en la cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para demostrar la legalidad de la transacción. Las billeteras generalmente muestran una solicitud de firma, y después de que el usuario la confirma, la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar:
El usuario recibe un correo o mensaje disfrazado como una notificación oficial, por ejemplo, "Su airdrop de NFT está pendiente de reclamación, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que le pide que conecte su billetera y firme una "transacción de verificación". Esta transacción podría ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación "SetApprovalForAll", que autoriza al estafador a controlar la colección de NFT del usuario.
Caso:
Una conocida comunidad de un proyecto NFT ha sufrido un ataque de phishing por firma, donde varios usuarios han perdido NFT por valor de varios millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) Tokens falsos y "ataques de polvo"
Principios técnicos:
La apertura de la Cadena de bloques permite que cualquiera envíe tokens a cualquier dirección, incluso si el destinatario no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla con la persona o empresa que posee la billetera.
Forma de operar:
Los atacantes envían pequeñas cantidades de "tokens de polvo" a numerosas direcciones, los cuales pueden tener nombres o metadatos atractivos. Los usuarios pueden sentirse curiosos por consultar o intentar intercambiar estos tokens, exponiendo así más información de su billetera. Los atacantes, mediante el análisis de las transacciones posteriores, localizan las direcciones de billetera activas de los usuarios y llevan a cabo estafas más precisas.
Caso:
En la red de Ethereum se produjo un ataque de "tokens GAS" que afectó a miles de monederos. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estos fraudes?
Estos fraudes tienen éxito en gran medida porque se ocultan en los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. Las principales razones incluyen:
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estas estafas que combinan tecnología y guerra psicológica, proteger los activos requiere una estrategia de múltiples niveles:
Verificar y gestionar permisos de autorización
Verificar el enlace y la fuente
usar billetera fría y firma múltiple
Maneje con cuidado las solicitudes de firma
respuesta a ataques de polvo
Conclusión
La implementación de las medidas de seguridad mencionadas anteriormente puede reducir significativamente el riesgo de convertirse en víctima de un plan de fraude avanzado. Sin embargo, la verdadera seguridad no solo depende de la protección técnica, sino que también requiere que los usuarios comprendan la lógica de autorización y tengan una actitud prudente hacia el comportamiento en la cadena. El análisis de datos antes de cada firma y la revisión de permisos después de cada autorización son una forma de mantener la soberanía digital.
En el mundo de la Cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente y no se pueden modificar. Por lo tanto, internalizar la conciencia de seguridad como un hábito y mantener un equilibrio entre la confianza y la verificación es clave para proteger los activos digitales.