Blockchain fraude nouvelles tendances : protocole devenu l'arme des attaquants
Les cryptomonnaies et la technologie Blockchain redéfinissent le système financier, mais elles apportent également de nouveaux défis en matière de sécurité. Les fraudeurs ne se limitent plus à exploiter les vulnérabilités techniques, mais transforment les protocoles de contrats intelligents de la Blockchain en outils d'attaque. Ils utilisent des pièges d'ingénierie sociale soigneusement conçus, combinant la transparence et l'irréversibilité de la Blockchain, pour transformer la confiance des utilisateurs en un moyen de voler des actifs. Des faux contrats intelligents à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais leur apparence "légitime" les rend encore plus trompeuses. Cet article analysera des cas pour révéler comment les fraudeurs transforment les protocoles en vecteurs d'attaque et proposera des stratégies de protection complètes.
I. Comment un protocole légal peut-il évoluer en outil de fraude
L'objectif des protocoles Blockchain est de garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques courantes et leurs détails techniques :
(1) Autorisation de contrat intelligent malveillant
Principe technique :
La norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des escrocs.
Mode de fonctionnement :
Des escrocs créent des DApps déguisés en projets légitimes, incitant les utilisateurs à connecter leur portefeuille et à autoriser. En apparence, il s'agit d'une autorisation d'un petit nombre de jetons, mais en réalité, cela pourrait être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent à tout moment retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Exemple :
Début 2023, un site de phishing déguisé en "mise à niveau d'un certain DEX" a entraîné la perte de sommes énormes en USDT et ETH pour des centaines d'utilisateurs. Ces transactions étaient entièrement conformes à la norme ERC-20, rendant difficile pour les victimes de récupérer leurs fonds par des voies légales.
(2) Phishing par signature
Principe technique :
Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
Les utilisateurs reçoivent des messages déguisés en notifications officielles, les dirigeant vers des sites malveillants pour effectuer une "vérification". En réalité, ils ont peut-être signé des transactions pour transférer des actifs ou autoriser le contrôle des NFT.
Exemple :
Une communauté d'un projet NFT bien connu a subi une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "de réception d'airdrop" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens falsifiés et "attaque par poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse. Les escrocs exploitent ce point en envoyant une petite quantité de cryptomonnaie pour suivre les activités des portefeuilles.
Mode de fonctionnement :
Les escrocs envoient de petits jetons à plusieurs adresses, qui peuvent avoir des noms trompeurs. Lorsque les utilisateurs essaient de les encaisser, les attaquants peuvent obtenir l'accès au portefeuille. De plus, en analysant les transactions suivantes, les escrocs peuvent cibler les adresses actives des utilisateurs et mettre en œuvre des escroqueries plus précises.
Exemple :
Une attaque par "jeton GAS" par poussière a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et d'autres jetons en raison de leur curiosité à interagir.
Deux, les raisons pour lesquelles ces arnaques sont difficiles à détecter
Ces arnaques réussissent principalement parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires d'identifier leur nature malveillante. Les raisons clés incluent :
Complexité technique : le code des contrats intelligents et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent le problème après coup.
Ingénierie sociale : les escrocs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Déguisement sophistiqué : les sites de phishing peuvent utiliser des URL très similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à un certificat HTTPS.
Trois, comment protéger votre portefeuille de cryptocurrency
Face à ces escroqueries où coexistent des enjeux techniques et psychologiques, protéger ses actifs nécessite une stratégie multi-niveaux :
Vérifiez et gérez les autorisations d'autorisation
Utiliser des outils professionnels pour vérifier les enregistrements d'autorisation de portefeuille
Révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Assurez-vous que la source du DApp est fiable avant chaque autorisation.
Vérifier les liens et les sources
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens dans les médias sociaux ou les e-mails.
Vérifiez attentivement le nom de domaine du site Web et le certificat SSL
Utiliser un portefeuille froid et une signature multiple
Stockez la plupart de vos actifs dans un portefeuille matériel.
Utiliser des outils de multi-signature pour les actifs de grande valeur, nécessitant la confirmation de la transaction par plusieurs clés.
Traitez avec prudence les demandes de signature
Lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Utilisez des outils professionnels pour analyser le contenu de la signature, ou consultez un expert technique.
Créer un portefeuille indépendant pour les opérations à haut risque, ne stocker qu'un petit montant d'actifs
Répondre aux attaques par poussière
Après avoir reçu des jetons inconnus, ne pas interagir
Confirmer l'origine du token via le protocole de Blockchain
Évitez de rendre publique l'adresse de votre portefeuille, ou utilisez une nouvelle adresse pour des opérations sensibles
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut considérablement réduire le risque de devenir victime de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple répartit le risque, la compréhension par les utilisateurs de la logique d'autorisation et leur attitude prudente envers les comportements sur la Blockchain constituent la dernière ligne de défense.
À l'avenir, peu importe comment la technologie évolue, la protection fondamentale réside toujours dans l'internalisation de la sensibilisation à la sécurité comme une habitude, en maintenant un équilibre entre confiance et vérification. Dans le monde de la Blockchain, chaque clic, chaque transaction est enregistré de manière permanente et ne peut pas être modifié. Par conséquent, il est crucial de cultiver la sensibilisation à la sécurité et de bonnes habitudes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
4
Partager
Commentaire
0/400
ForkMonger
· Il y a 5h
mdr les protocoles ne sont que des vecteurs d'attaque attendant de se produire... darwin avait raison
Voir l'originalRépondre0
ShibaMillionairen't
· Il y a 5h
Se faire prendre pour des cons n'est jamais une perte.
Blockchain protocole devient une nouvelle arme de fraude : difficile à détecter, les utilisateurs doivent rester vigilants
Blockchain fraude nouvelles tendances : protocole devenu l'arme des attaquants
Les cryptomonnaies et la technologie Blockchain redéfinissent le système financier, mais elles apportent également de nouveaux défis en matière de sécurité. Les fraudeurs ne se limitent plus à exploiter les vulnérabilités techniques, mais transforment les protocoles de contrats intelligents de la Blockchain en outils d'attaque. Ils utilisent des pièges d'ingénierie sociale soigneusement conçus, combinant la transparence et l'irréversibilité de la Blockchain, pour transformer la confiance des utilisateurs en un moyen de voler des actifs. Des faux contrats intelligents à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais leur apparence "légitime" les rend encore plus trompeuses. Cet article analysera des cas pour révéler comment les fraudeurs transforment les protocoles en vecteurs d'attaque et proposera des stratégies de protection complètes.
I. Comment un protocole légal peut-il évoluer en outil de fraude
L'objectif des protocoles Blockchain est de garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque dissimulées. Voici quelques techniques courantes et leurs détails techniques :
(1) Autorisation de contrat intelligent malveillant
Principe technique : La norme de jeton ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, mais elle est également exploitée par des escrocs.
Mode de fonctionnement : Des escrocs créent des DApps déguisés en projets légitimes, incitant les utilisateurs à connecter leur portefeuille et à autoriser. En apparence, il s'agit d'une autorisation d'un petit nombre de jetons, mais en réalité, cela pourrait être un montant illimité. Une fois l'autorisation terminée, les escrocs peuvent à tout moment retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Exemple : Début 2023, un site de phishing déguisé en "mise à niveau d'un certain DEX" a entraîné la perte de sommes énormes en USDT et ETH pour des centaines d'utilisateurs. Ces transactions étaient entièrement conformes à la norme ERC-20, rendant difficile pour les victimes de récupérer leurs fonds par des voies légales.
(2) Phishing par signature
Principe technique : Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : Les utilisateurs reçoivent des messages déguisés en notifications officielles, les dirigeant vers des sites malveillants pour effectuer une "vérification". En réalité, ils ont peut-être signé des transactions pour transférer des actifs ou autoriser le contrôle des NFT.
Exemple : Une communauté d'un projet NFT bien connu a subi une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "de réception d'airdrop" falsifiées. Les attaquants ont utilisé la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.
(3) Tokens falsifiés et "attaque par poussière"
Principe technique : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse. Les escrocs exploitent ce point en envoyant une petite quantité de cryptomonnaie pour suivre les activités des portefeuilles.
Mode de fonctionnement : Les escrocs envoient de petits jetons à plusieurs adresses, qui peuvent avoir des noms trompeurs. Lorsque les utilisateurs essaient de les encaisser, les attaquants peuvent obtenir l'accès au portefeuille. De plus, en analysant les transactions suivantes, les escrocs peuvent cibler les adresses actives des utilisateurs et mettre en œuvre des escroqueries plus précises.
Exemple : Une attaque par "jeton GAS" par poussière a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et d'autres jetons en raison de leur curiosité à interagir.
Deux, les raisons pour lesquelles ces arnaques sont difficiles à détecter
Ces arnaques réussissent principalement parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires d'identifier leur nature malveillante. Les raisons clés incluent :
Complexité technique : le code des contrats intelligents et les demandes de signature sont difficiles à comprendre pour les utilisateurs non techniques.
Légalité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent le problème après coup.
Ingénierie sociale : les escrocs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.
Déguisement sophistiqué : les sites de phishing peuvent utiliser des URL très similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à un certificat HTTPS.
Trois, comment protéger votre portefeuille de cryptocurrency
Face à ces escroqueries où coexistent des enjeux techniques et psychologiques, protéger ses actifs nécessite une stratégie multi-niveaux :
Vérifiez et gérez les autorisations d'autorisation
Vérifier les liens et les sources
Utiliser un portefeuille froid et une signature multiple
Traitez avec prudence les demandes de signature
Répondre aux attaques par poussière
Conclusion
La mise en œuvre des mesures de sécurité ci-dessus peut considérablement réduire le risque de devenir victime de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que la signature multiple répartit le risque, la compréhension par les utilisateurs de la logique d'autorisation et leur attitude prudente envers les comportements sur la Blockchain constituent la dernière ligne de défense.
À l'avenir, peu importe comment la technologie évolue, la protection fondamentale réside toujours dans l'internalisation de la sensibilisation à la sécurité comme une habitude, en maintenant un équilibre entre confiance et vérification. Dans le monde de la Blockchain, chaque clic, chaque transaction est enregistré de manière permanente et ne peut pas être modifié. Par conséquent, il est crucial de cultiver la sensibilisation à la sécurité et de bonnes habitudes.