Nouvelles menaces dans le monde du Blockchain : lorsque les smart contracts deviennent des outils de fraude
Les cryptomonnaies et la technologie Blockchain redéfinissent le paysage financier, mais cette révolution a également apporté de nouveaux défis en matière de sécurité. Les fraudeurs ne se contentent plus d'exploiter les vulnérabilités technologiques, mais transforment les protocoles de smart contracts de la Blockchain eux-mêmes en moyens d'attaque. Par le biais de pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en outils de vol d'actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légale". Cet article analysera, à travers des exemples, comment les fraudeurs transforment les protocoles en vecteurs d'attaque et proposera des solutions complètes, allant de la protection technique à la prévention comportementale, pour vous aider à avancer en toute sécurité dans un monde décentralisé.
I. Comment un contrat légal devient-il un outil de fraude ?
Le design des protocoles Blockchain a pour but d'assurer la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principe technique :
Sur des blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, des mises ou du mining de liquidité. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement :
Les escrocs créent une DApp déguisée en projet légitime, souvent promue par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", apparemment pour autoriser une petite quantité de jetons, alors qu'en réalité cela pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient l'autorisation d'appeler à tout moment la fonction "TransferFrom", afin de retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel :
Début 2023, un site de phishing déguisé en "mise à niveau d'Uniswap V3" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions sont entièrement conformes à la norme ERC-20, et les victimes ne peuvent même pas récupérer leur argent par des moyens juridiques, car l'autorisation a été signée volontairement.
(2) phishing par signature
Principe technique :
Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Les portefeuilles affichent généralement une demande de signature, que l'utilisateur confirme, après quoi la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement :
L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'escroc ; ou être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel :
Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "pour recevoir airdrop" falsifiées. Les attaquants ont profité de la norme de signature EIP-712 pour falsifier des requêtes apparemment sécurisées.
(3) Jetons frauduleux et "attaque de poussière"
Principe technique :
La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas demandé activement. Les fraudeurs exploitent cela en envoyant de petites quantités de cryptomonnaies à plusieurs adresses de portefeuille pour suivre l'activité des portefeuilles et les relier aux personnes ou entreprises qui possèdent ces portefeuilles.
Mode de fonctionnement :
Les attaquants envoient de petites quantités de cryptomonnaies à différentes adresses, puis essaient de déterminer lesquelles appartiennent au même portefeuille. Ces "poussières" sont généralement distribuées sous forme d'airdrop dans les portefeuilles des utilisateurs, et peuvent avoir des noms ou des métadonnées attrayants. Les utilisateurs peuvent être tentés de liquider ces jetons, accédant ainsi au site web proposé par les attaquants. Les attaquants peuvent ensuite accéder au portefeuille des utilisateurs via l'adresse de contrat associée aux jetons, ou en analysant les transactions ultérieures des utilisateurs, en ciblant les adresses de portefeuille actives pour mettre en œuvre des escroqueries plus précises.
Cas réel :
Dans le passé, les attaques par "GAS token" sur le réseau Ethereum ont affecté des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 par curiosité et interaction.
Deuxièmement, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des smart contracts et les demandes de signature sont obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", rendant difficile pour l'utilisateur de comprendre son sens.
Légalité en ligne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent trop tard les conséquences de l'autorisation ou de la signature, à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, telles que la cupidité ("Recevez gratuitement des jetons d'une valeur de 1000 dollars"), la peur ("Une vérification de compte anormale est nécessaire") ou la confiance (se faisant passer pour le service client).
Déguisement astucieux : les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, voire utiliser des certificats HTTPS pour accroître leur crédibilité.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces arnaques qui combinent aspects techniques et psychologiques, la protection des actifs nécessite une stratégie multicouche. Voici des mesures préventives détaillées :
Vérifiez et gérez les autorisations d'autorisation
Utiliser l'outil de vérification des autorisations du navigateur Blockchain pour vérifier les enregistrements d'autorisation du portefeuille.
Révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
Vérifiez la valeur "Allowance", si elle est "illimitée" (par exemple 2^256-1), elle doit être immédiatement révoquée.
Vérifier le lien et la source
Saisissez manuellement l'URL officielle, évitez de cliquer sur les liens des réseaux sociaux ou des e-mails.
Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL (icône de verrou vert).
Attention aux fautes d'orthographe ou aux caractères superflus.
Si vous recevez une variante de nom de domaine suspecte, doutez immédiatement de son authenticité.
Utiliser un portefeuille froid et une signature multiple
Stockez la plupart de vos actifs dans un portefeuille matériel et connectez-le au réseau uniquement en cas de besoin.
Pour les actifs de grande valeur, utilisez des outils de signature multiple, exigeant la confirmation des transactions par plusieurs clés, afin de réduire le risque d'erreur unique.
Même si le portefeuille chaud est compromis, les actifs en stockage froid restent sécurisés.
Traitez les demandes de signature avec prudence
Lors de chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
Attention au champ "données", si des fonctions inconnues (comme "TransferFrom") sont présentes, refusez la signature.
Utilisez la fonction "Decode Input Data" de l'explorateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
Créez un portefeuille indépendant pour les opérations à haut risque et stockez une petite quantité d'actifs.
Répondre aux attaques de poussière
Après avoir reçu des jetons inconnus, n'interagissez pas. Marquez-les comme "spam" ou cachez-les.
Vérifiez l'origine des tokens via la plateforme de navigateur Blockchain, si c'est un envoi en masse, soyez très vigilant.
Évitez de rendre votre adresse de portefeuille publique ou d'utiliser une nouvelle adresse pour des opérations sensibles.
Conclusion
En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés, mais une véritable sécurité n'est jamais une victoire unilatérale de la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que les signatures multiples dispersent l'exposition au risque, la compréhension par l'utilisateur de la logique d'autorisation et la prudence concernant les comportements sur la chaîne sont le dernier rempart contre les attaques. Chaque analyse de données avant la signature et chaque vérification des autorisations après l'autorisation sont un serment de souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus fondamentale réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, établir un équilibre éternel entre confiance et vérification. Après tout, dans le monde du Blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente dans le monde de la chaîne et ne peuvent pas être modifiés.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
7
Partager
Commentaire
0/400
SmartContractRebel
· Il y a 11h
Prendre la position inverse a annulé l'autorisation, tu veux toujours me voler mes jetons ?
Voir l'originalRépondre0
LiquidityWizard
· Il y a 11h
théoriquement parlant, 99,7 % de ces "hacks" ne sont que des erreurs de l'utilisateur smh
Voir l'originalRépondre0
PanicSeller
· Il y a 11h
Encore peur d'être coupé les coupons.
Voir l'originalRépondre0
GateUser-00be86fc
· Il y a 11h
Un débutant ne comprendra jamais les risques de signature.
Le protocole Blockchain devient un nouvel outil de fraude. Comment protéger vos actifs en chiffrement.
Nouvelles menaces dans le monde du Blockchain : lorsque les smart contracts deviennent des outils de fraude
Les cryptomonnaies et la technologie Blockchain redéfinissent le paysage financier, mais cette révolution a également apporté de nouveaux défis en matière de sécurité. Les fraudeurs ne se contentent plus d'exploiter les vulnérabilités technologiques, mais transforment les protocoles de smart contracts de la Blockchain eux-mêmes en moyens d'attaque. Par le biais de pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain pour transformer la confiance des utilisateurs en outils de vol d'actifs. De la falsification de smart contracts à la manipulation de transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légale". Cet article analysera, à travers des exemples, comment les fraudeurs transforment les protocoles en vecteurs d'attaque et proposera des solutions complètes, allant de la protection technique à la prévention comportementale, pour vous aider à avancer en toute sécurité dans un monde décentralisé.
I. Comment un contrat légal devient-il un outil de fraude ?
Le design des protocoles Blockchain a pour but d'assurer la sécurité et la confiance, mais les fraudeurs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer diverses méthodes d'attaque discrètes. Voici quelques techniques et leurs détails techniques :
(1) autorisation de smart contracts malveillants
Principe technique : Sur des blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers (généralement un smart contract) à retirer un nombre spécifié de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, des mises ou du mining de liquidité. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.
Mode de fonctionnement : Les escrocs créent une DApp déguisée en projet légitime, souvent promue par des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", apparemment pour autoriser une petite quantité de jetons, alors qu'en réalité cela pourrait être un montant illimité (valeur uint256.max). Une fois l'autorisation terminée, l'adresse du contrat des escrocs obtient l'autorisation d'appeler à tout moment la fonction "TransferFrom", afin de retirer tous les jetons correspondants du portefeuille de l'utilisateur.
Cas réel : Début 2023, un site de phishing déguisé en "mise à niveau d'Uniswap V3" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions sont entièrement conformes à la norme ERC-20, et les victimes ne peuvent même pas récupérer leur argent par des moyens juridiques, car l'autorisation a été signée volontairement.
(2) phishing par signature
Principe technique : Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via une clé privée pour prouver la légitimité de la transaction. Les portefeuilles affichent généralement une demande de signature, que l'utilisateur confirme, après quoi la transaction est diffusée sur le réseau. Les fraudeurs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.
Mode de fonctionnement : L'utilisateur reçoit un e-mail ou un message déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction pourrait en réalité appeler la fonction "Transfer", transférant directement l'ETH ou les jetons du portefeuille vers l'adresse de l'escroc ; ou être une opération "SetApprovalForAll", autorisant l'escroc à contrôler la collection NFT de l'utilisateur.
Cas réel : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "pour recevoir airdrop" falsifiées. Les attaquants ont profité de la norme de signature EIP-712 pour falsifier des requêtes apparemment sécurisées.
(3) Jetons frauduleux et "attaque de poussière"
Principe technique : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas demandé activement. Les fraudeurs exploitent cela en envoyant de petites quantités de cryptomonnaies à plusieurs adresses de portefeuille pour suivre l'activité des portefeuilles et les relier aux personnes ou entreprises qui possèdent ces portefeuilles.
Mode de fonctionnement : Les attaquants envoient de petites quantités de cryptomonnaies à différentes adresses, puis essaient de déterminer lesquelles appartiennent au même portefeuille. Ces "poussières" sont généralement distribuées sous forme d'airdrop dans les portefeuilles des utilisateurs, et peuvent avoir des noms ou des métadonnées attrayants. Les utilisateurs peuvent être tentés de liquider ces jetons, accédant ainsi au site web proposé par les attaquants. Les attaquants peuvent ensuite accéder au portefeuille des utilisateurs via l'adresse de contrat associée aux jetons, ou en analysant les transactions ultérieures des utilisateurs, en ciblant les adresses de portefeuille actives pour mettre en œuvre des escroqueries plus précises.
Cas réel : Dans le passé, les attaques par "GAS token" sur le réseau Ethereum ont affecté des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des jetons ERC-20 par curiosité et interaction.
Deuxièmement, pourquoi ces arnaques sont-elles difficiles à détecter ?
Ces escroqueries réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :
Complexité technique : Le code des smart contracts et les demandes de signature sont obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", rendant difficile pour l'utilisateur de comprendre son sens.
Légalité en ligne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent trop tard les conséquences de l'autorisation ou de la signature, à ce moment-là, les actifs ne peuvent plus être récupérés.
Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, telles que la cupidité ("Recevez gratuitement des jetons d'une valeur de 1000 dollars"), la peur ("Une vérification de compte anormale est nécessaire") ou la confiance (se faisant passer pour le service client).
Déguisement astucieux : les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, voire utiliser des certificats HTTPS pour accroître leur crédibilité.
Trois, comment protéger votre portefeuille de cryptomonnaie ?
Face à ces arnaques qui combinent aspects techniques et psychologiques, la protection des actifs nécessite une stratégie multicouche. Voici des mesures préventives détaillées :
Vérifiez et gérez les autorisations d'autorisation
Vérifier le lien et la source
Utiliser un portefeuille froid et une signature multiple
Traitez les demandes de signature avec prudence
Répondre aux attaques de poussière
Conclusion
En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs ordinaires peuvent considérablement réduire le risque de devenir victimes de programmes de fraude avancés, mais une véritable sécurité n'est jamais une victoire unilatérale de la technologie. Lorsque les portefeuilles matériels établissent une ligne de défense physique et que les signatures multiples dispersent l'exposition au risque, la compréhension par l'utilisateur de la logique d'autorisation et la prudence concernant les comportements sur la chaîne sont le dernier rempart contre les attaques. Chaque analyse de données avant la signature et chaque vérification des autorisations après l'autorisation sont un serment de souveraineté numérique.
À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus fondamentale réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, établir un équilibre éternel entre confiance et vérification. Après tout, dans le monde du Blockchain où le code est la loi, chaque clic et chaque transaction sont enregistrés de manière permanente dans le monde de la chaîne et ne peuvent pas être modifiés.