Novas ameaças no mundo Blockchain: Fraude de protocolo e estratégias de prevenção

Com o desenvolvimento das criptomoedas e da tecnologia Blockchain, uma nova ameaça está silenciosamente surgindo. Os golpistas não se limitam mais a vulnerabilidades técnicas tradicionais, mas transformam o próprio protocolo de contratos inteligentes da Blockchain em uma ferramenta de ataque. Eles aproveitam a transparência e a irreversibilidade da Blockchain, por meio de armadilhas de engenharia social cuidadosamente projetadas, transformando a confiança dos usuários em uma ferramenta de roubo de ativos. Desde a falsificação de contratos inteligentes até a manipulação de transações entre cadeias, esses ataques não são apenas sutis e difíceis de detectar, mas também mais enganosos devido à sua aparência "legalizada". Este artigo analisará exemplos para revelar como os golpistas transformam protocolos em vetores de ataque e fornecerá estratégias abrangentes de proteção.

Um, o mecanismo de operação da fraude de protocolos

O protocolo Blockchain deveria garantir segurança e confiança, mas os golpistas utilizam habilidosamente suas características, combinadas com a negligência dos usuários, para criar várias formas de ataque encobertas. A seguir, estão algumas técnicas comuns e seus detalhes técnicos:

1. Autorização de contrato inteligente malicioso

Princípio técnico: O padrão de token ERC-20 permite que os usuários autorizem terceiros a retirar uma quantidade específica de tokens de sua carteira através da função "Approve". Esta funcionalidade é amplamente utilizada em protocolos DeFi, mas também é explorada por fraudadores.

Como funciona: Os golpistas criam DApps disfarçados de projetos legítimos, induzindo os usuários a conectar suas carteiras e a conceder autorização. Superficialmente, é autorizada uma pequena quantidade de tokens, mas na verdade pode ser um limite infinito. Uma vez que a autorização é concluída, os golpistas podem retirar todos os tokens correspondentes da carteira dos usuários a qualquer momento.

Caso real: No início de 2023, um site de phishing disfarçado de "atualização de algum DEX" causou grandes perdas de USDT e ETH para centenas de usuários. Essas transações estavam totalmente de acordo com o padrão ERC-20, dificultando a recuperação dos ativos pelos vítimas através de meios legais.

2. Phishing de assinatura

Princípios técnicos: As transações em Blockchain exigem que os usuários gerem assinaturas através da chave privada. Os golpistas aproveitam esse processo para falsificar pedidos de assinatura e roubar ativos.

Modo de operação: Os usuários recebem mensagens disfarçadas de notificações oficiais, sendo direcionados para sites maliciosos para assinar "verificar transação". Esta transação pode transferir diretamente os ativos do usuário ou autorizar os golpistas a controlarem a coleção de NFTs do usuário.

Caso real: Uma conhecida comunidade de projetos NFT foi alvo de um ataque de phishing por assinatura, e vários usuários perderam NFTs no valor de milhões de dólares ao assinarem transações "de recebimento de airdrop" falsificadas. Os atacantes utilizaram o padrão de assinatura EIP-712 para falsificar solicitações que pareciam seguras.

3. Tokens falsos e "ataques de poeira"

Princípio técnico: A publicidade do Blockchain permite que qualquer pessoa envie tokens para qualquer endereço. Os golpistas aproveitam isso, rastreando a atividade das carteiras ao enviar uma pequena quantidade de criptomoeda e associando-a a indivíduos ou empresas.

Como funciona: Os golpistas enviam pequenos tokens para vários endereços, que podem ter nomes ou metadados enganosos. Quando os usuários tentam resgatar, os atacantes podem acessar a carteira do usuário através do endereço do contrato. Mais disfarçado, ao analisar as transações subsequentes dos usuários, eles localizam endereços de carteiras ativas e realizam fraudes precisas.

Caso real: No blockchain Ethereum, ocorreu um ataque de poeira de "tokens GAS", afetando milhares de carteiras. Alguns usuários perderam ETH e outros tokens devido à curiosidade de interagir.

Dois, razões pelas quais a fraude é difícil de perceber

Essas fraudes são bem-sucedidas em grande parte porque se escondem nos mecanismos legítimos da Blockchain, tornando difícil para os usuários comuns discernir sua verdadeira natureza maliciosa. As principais razões incluem:

1. Complexidade técnica: O código do contrato inteligente e os pedidos de assinatura são obscuros para usuários não técnicos.

2. Legalidade na cadeia: todas as transações são registradas no Blockchain, parecendo transparentes, mas as vítimas muitas vezes só percebem o problema depois.

3. Engenharia social: os golpistas exploram fraquezas humanas, como ganância, medo ou confiança.

4. Disfarce elaborado: sites de phishing podem usar URLs semelhantes ao nome de domínio oficial, até mesmo aumentando a credibilidade através de certificados HTTPS.

Três, estratégias para proteger carteiras de criptomoedas

Diante desses golpes que combinam aspectos técnicos e psicológicos, proteger os ativos requer uma estratégia em múltiplas camadas:

1. Verifique e gerencie as permissões de autorização

• Utilize a ferramenta de verificação de autorizações do blockchain explorer para revisar e revogar regularmente autorizações desnecessárias.
• Antes de cada autorização, certifique-se de que a origem do DApp é confiável.
• Preste especial atenção à autorização "ilimitada", que deve ser revogada imediatamente.

2. Verificar o link e a origem

• Insira manualmente a URL oficial, evitando clicar em links em redes sociais ou e-mails.
• Verifique cuidadosamente o domínio do site e o certificado SSL.
• Esteja atento a quaisquer variações de domínio com erros de ortografia ou caracteres adicionais.

3. Usar carteiras frias e múltiplas assinaturas

• Armazenar a maior parte dos ativos em carteiras de hardware, conectando-se à rede apenas quando necessário.
• Usar ferramentas de múltiplas assinaturas para ativos de grande valor, exigindo a confirmação da transação por várias chaves.

4. Tratar os pedidos de assinatura com cautela

• Leia atentamente os detalhes da transação de cada assinatura.
• Usar a funcionalidade de decodificação do navegador Blockchain para analisar o conteúdo da assinatura.
• Criar uma carteira independente para operações de alto risco, armazenando apenas uma pequena quantidade de ativos.

5. Lidar com ataques de poeira

• Após receber tokens desconhecidos, não interaja com eles.
• Confirme a origem do token através do Blockchain Explorer, esteja atento ao envio em massa.
• Evite tornar público o endereço da carteira ou use um novo endereço para operações sensíveis.

Conclusão

A implementação das medidas de segurança acima pode reduzir significativamente o risco de se tornar uma vítima de um esquema de fraude avançado. No entanto, a verdadeira segurança não depende apenas de proteções tecnológicas. A compreensão do usuário sobre a lógica de autorização e a atitude cautelosa em relação ao comportamento na blockchain são a última linha de defesa contra ataques. A análise de dados antes de cada assinatura e a revisão de permissões após cada autorização são manutenção da soberania digital.

No mundo do Blockchain, o código é a lei, cada clique e cada transação são registados permanentemente e não podem ser alterados. Portanto, internalizar a consciência de segurança como um hábito e manter um equilíbrio entre confiança e verificação é a chave para garantir a segurança dos ativos.