Nuevas amenazas en el mundo de la cadena de bloques: cuando los contratos inteligentes se convierten en herramientas de fraude
Las criptomonedas y la tecnología de la cadena de bloques están remodelando el panorama financiero, pero esta revolución también ha traído nuevos desafíos de seguridad. Los estafadores ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que han convertido los propios protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en una herramienta de robo de activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques son no solo difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legítima". Este artículo analizará casos de estudio para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y proporcionará soluciones integrales que van desde la protección técnica hasta la prevención del comportamiento, ayudándole a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo se convierte un contrato legítimo en una herramienta de fraude?
El diseño de protocolos de la Cadena de bloques tiene como objetivo garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataques encubiertos. A continuación se presentan algunos métodos y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principios técnicos:
En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta funcionalidad se utiliza ampliamente en protocolos DeFi, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de operación:
Los estafadores crean un DApp que se disfraza como un proyecto legítimo, a menudo promovido a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite infinito (valor uint256.max). Una vez completada la autorización, la dirección del contrato del estafador obtiene permisos y puede llamar en cualquier momento a la función "TransferFrom", extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real:
A principios de 2023, un sitio web de phishing disfrazado de "actualización de Uniswap V3" causó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas ni siquiera podían recuperar su dinero a través de medios legales, ya que la autorización fue firmada voluntariamente.
(2) firma de phishing
Principio técnico:
Las transacciones de cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para probar la legalidad de la transacción. Las billeteras suelen mostrar una solicitud de firma, y después de que el usuario la confirme, la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar:
El usuario recibe un correo o mensaje disfrazado de notificación oficial, como "Su airdrop de NFT está pendiente de recibir, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que solicita conectar la billetera y firmar una "transacción de verificación". Esta transacción podría ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación de "SetApprovalForAll", que autoriza al estafador a controlar la colección de NFT del usuario.
Caso real:
Una conocida comunidad de proyectos NFT sufrió un ataque de phishing por firma, donde varios usuarios perdieron NFT por un valor de varios millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principios técnicos:
La apertura de la cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección, incluso si el receptor no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla con la persona o empresa que posee la billetera.
Forma de operar:
Los atacantes envían pequeñas cantidades de criptomonedas a diferentes direcciones y luego intentan averiguar cuáles pertenecen a la misma billetera. Estas "migas" suelen distribuirse en forma de airdrop a las billeteras de los usuarios, y pueden tener nombres o metadatos atractivos. Los usuarios pueden querer canjear estos tokens, lo que les lleva a acceder a los sitios web proporcionados por los atacantes. Luego, los atacantes pueden acceder a las billeteras de los usuarios a través de la dirección del contrato que acompaña a los tokens, o al analizar las transacciones posteriores de los usuarios, identificar direcciones de billetera activas y llevar a cabo estafas más precisas.
Caso real:
En el pasado, el ataque de polvo de "token GAS" que apareció en la red de Ethereum afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estas estafas se debe en gran medida a que se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que impide que los usuarios comprendan intuitivamente su significado.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma solo después, momento en el cual los activos ya no se pueden recuperar.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la avaricia ("recibe gratis 1000 dólares en tokens"), el miedo ("se necesita verificar por actividad inusual en la cuenta") o la confianza (suplantando a servicio al cliente).
Camuflaje ingenioso: los sitios web de phishing pueden usar URLs que son similares al nombre de dominio oficial, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples capas. A continuación se detallan las medidas de prevención:
Verificar y gestionar los permisos de autorización
Utiliza la herramienta de verificación de autorización del explorador de cadenas de bloques para revisar los registros de autorización de la billetera.
Revocar periódicamente las autorizaciones innecesarias, especialmente las autorizaciones ilimitadas a direcciones desconocidas.
Antes de cada autorización, asegúrese de que el DApp provenga de una fuente confiable.
Verifique el valor de "Allowance"; si es "ilimitado" (como 2^256-1), debe ser revocado de inmediato.
Verificar enlace y fuente
Introduzca manualmente la URL oficial, evite hacer clic en los enlaces de las redes sociales o correos electrónicos.
Asegúrese de que el sitio web utilice el nombre de dominio correcto y un certificado SSL (ícono de candado verde).
Esté atento a errores de ortografía o caracteres adicionales.
Si recibe una variante de dominio sospechoso, sospeche inmediatamente de su autenticidad.
uso de billetera fría y firma múltiple
Almacene la mayor parte de los activos en una billetera de hardware y conéctese a la red solo cuando sea necesario.
Para activos de gran valor, utilizar herramientas de múltiples firmas, requiriendo la confirmación de transacciones por múltiples claves, disminuyendo el riesgo de errores de un solo punto.
Incluso si la billetera caliente es comprometida, los activos en almacenamiento en frío siguen siendo seguros.
Maneje con precaución las solicitudes de firma
Al firmar, lea atentamente los detalles de la transacción en la ventana emergente de la billetera.
Presta atención al campo "datos", si contiene funciones desconocidas (como "TransferFrom"), rechaza la firma.
Utiliza la función "Decode Input Data" del explorador de bloques para analizar el contenido de la firma, o consulta a un experto técnico.
Crear una billetera independiente para operaciones de alto riesgo y almacenar una cantidad pequeña de activos.
hacer frente a ataques de polvo
Después de recibir tokens desconocidos, no interactúe. Márquelos como "spam" o ocúltelos.
A través de la plataforma del explorador de bloques, confirme la procedencia del token; si es un envío masivo, mantenga una alta alerta.
Evite hacer pública la dirección de la billetera o use una nueva dirección para realizar operaciones sensibles.
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de esquemas de fraude avanzados, pero la verdadera seguridad nunca es una victoria unilateral de la tecnología. Cuando las carteras de hardware establecen una defensa física y la firma múltiple distribuye la exposición al riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son el último bastión contra los ataques. Cada análisis de datos antes de la firma, y cada revisión de permisos después de la autorización, son un juramento a su soberanía digital.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como un hábito y establecer un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente en el mundo de la cadena, y no se pueden modificar.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
6
Compartir
Comentar
0/400
SmartContractRebel
· hace12h
Tomar la posición contraria ha revocado la autorización, ¿qué quieres hacer para robarme la moneda?
Ver originalesResponder0
LiquidityWizard
· hace12h
teóricamente hablando, el 99.7% de estos "hacks" son solo errores del usuario smh
Ver originalesResponder0
PanicSeller
· hace12h
Otra vez tengo miedo de que me den cupones de clip.
Cadena de bloques protocolo se convierte en una nueva herramienta de fraude ¿Cómo proteger tus encriptación activos?
Nuevas amenazas en el mundo de la cadena de bloques: cuando los contratos inteligentes se convierten en herramientas de fraude
Las criptomonedas y la tecnología de la cadena de bloques están remodelando el panorama financiero, pero esta revolución también ha traído nuevos desafíos de seguridad. Los estafadores ya no se limitan a aprovechar las vulnerabilidades técnicas, sino que han convertido los propios protocolos de contratos inteligentes de la cadena de bloques en herramientas de ataque. A través de trampas de ingeniería social cuidadosamente diseñadas, utilizan la transparencia e irreversibilidad de la cadena de bloques para convertir la confianza del usuario en una herramienta de robo de activos. Desde la falsificación de contratos inteligentes hasta la manipulación de transacciones entre cadenas, estos ataques son no solo difíciles de rastrear, sino que también son más engañosos debido a su apariencia "legítima". Este artículo analizará casos de estudio para revelar cómo los estafadores convierten los protocolos en vehículos de ataque y proporcionará soluciones integrales que van desde la protección técnica hasta la prevención del comportamiento, ayudándole a avanzar de manera segura en un mundo descentralizado.
I. ¿Cómo se convierte un contrato legítimo en una herramienta de fraude?
El diseño de protocolos de la Cadena de bloques tiene como objetivo garantizar la seguridad y la confianza, pero los estafadores aprovechan sus características, combinadas con la negligencia de los usuarios, para crear diversas formas de ataques encubiertos. A continuación se presentan algunos métodos y sus detalles técnicos:
(1) autorización de contratos inteligentes maliciosos
Principios técnicos: En cadenas de bloques como Ethereum, el estándar de tokens ERC-20 permite a los usuarios autorizar a terceros (generalmente contratos inteligentes) a retirar una cantidad específica de tokens de su billetera a través de la función "Approve". Esta funcionalidad se utiliza ampliamente en protocolos DeFi, donde los usuarios necesitan autorizar contratos inteligentes para completar transacciones, hacer staking o minería de liquidez. Sin embargo, los estafadores aprovechan este mecanismo para diseñar contratos maliciosos.
Forma de operación: Los estafadores crean un DApp que se disfraza como un proyecto legítimo, a menudo promovido a través de sitios web de phishing o redes sociales. Los usuarios conectan su billetera y son inducidos a hacer clic en "Approve", que aparentemente autoriza una pequeña cantidad de tokens, pero en realidad puede ser un límite infinito (valor uint256.max). Una vez completada la autorización, la dirección del contrato del estafador obtiene permisos y puede llamar en cualquier momento a la función "TransferFrom", extrayendo todos los tokens correspondientes de la billetera del usuario.
Caso real: A principios de 2023, un sitio web de phishing disfrazado de "actualización de Uniswap V3" causó que cientos de usuarios perdieran millones de dólares en USDT y ETH. Los datos en cadena muestran que estas transacciones cumplían completamente con el estándar ERC-20, y las víctimas ni siquiera podían recuperar su dinero a través de medios legales, ya que la autorización fue firmada voluntariamente.
(2) firma de phishing
Principio técnico: Las transacciones de cadena de bloques requieren que los usuarios generen una firma a través de una clave privada para probar la legalidad de la transacción. Las billeteras suelen mostrar una solicitud de firma, y después de que el usuario la confirme, la transacción se transmite a la red. Los estafadores aprovechan este proceso para falsificar solicitudes de firma y robar activos.
Forma de operar: El usuario recibe un correo o mensaje disfrazado de notificación oficial, como "Su airdrop de NFT está pendiente de recibir, por favor verifique su billetera". Al hacer clic en el enlace, el usuario es dirigido a un sitio web malicioso que solicita conectar la billetera y firmar una "transacción de verificación". Esta transacción podría ser en realidad una llamada a la función "Transfer", que transfiere directamente ETH o tokens de la billetera a la dirección del estafador; o una operación de "SetApprovalForAll", que autoriza al estafador a controlar la colección de NFT del usuario.
Caso real: Una conocida comunidad de proyectos NFT sufrió un ataque de phishing por firma, donde varios usuarios perdieron NFT por un valor de varios millones de dólares al firmar transacciones "de recepción de airdrop" falsificadas. Los atacantes aprovecharon el estándar de firma EIP-712 para falsificar solicitudes que parecían seguras.
(3) tokens falsos y "ataques de polvo"
Principios técnicos: La apertura de la cadena de bloques permite a cualquier persona enviar tokens a cualquier dirección, incluso si el receptor no lo ha solicitado activamente. Los estafadores aprovechan esto, enviando pequeñas cantidades de criptomonedas a múltiples direcciones de billetera para rastrear la actividad de la billetera y vincularla con la persona o empresa que posee la billetera.
Forma de operar: Los atacantes envían pequeñas cantidades de criptomonedas a diferentes direcciones y luego intentan averiguar cuáles pertenecen a la misma billetera. Estas "migas" suelen distribuirse en forma de airdrop a las billeteras de los usuarios, y pueden tener nombres o metadatos atractivos. Los usuarios pueden querer canjear estos tokens, lo que les lleva a acceder a los sitios web proporcionados por los atacantes. Luego, los atacantes pueden acceder a las billeteras de los usuarios a través de la dirección del contrato que acompaña a los tokens, o al analizar las transacciones posteriores de los usuarios, identificar direcciones de billetera activas y llevar a cabo estafas más precisas.
Caso real: En el pasado, el ataque de polvo de "token GAS" que apareció en la red de Ethereum afectó a miles de billeteras. Algunos usuarios, por curiosidad, perdieron ETH y tokens ERC-20.
Dos, ¿por qué son difíciles de detectar estas estafas?
El éxito de estas estafas se debe en gran medida a que se ocultan dentro de los mecanismos legítimos de la Cadena de bloques, lo que dificulta a los usuarios comunes discernir su naturaleza maliciosa. A continuación se presentan algunas razones clave:
Complejidad técnica: El código de contratos inteligentes y las solicitudes de firma son difíciles de entender para los usuarios no técnicos. Por ejemplo, una solicitud de "Approve" puede mostrarse como datos hexadecimales como "0x095ea7b3...", lo que impide que los usuarios comprendan intuitivamente su significado.
Legalidad en la cadena: todas las transacciones se registran en la Cadena de bloques, parecen transparentes, pero las víctimas a menudo se dan cuenta de las consecuencias de la autorización o firma solo después, momento en el cual los activos ya no se pueden recuperar.
Ingeniería social: los estafadores aprovechan las debilidades humanas, como la avaricia ("recibe gratis 1000 dólares en tokens"), el miedo ("se necesita verificar por actividad inusual en la cuenta") o la confianza (suplantando a servicio al cliente).
Camuflaje ingenioso: los sitios web de phishing pueden usar URLs que son similares al nombre de dominio oficial, e incluso aumentar la credibilidad a través de certificados HTTPS.
Tres, ¿cómo proteger su billetera de criptomonedas?
Frente a estos fraudes que combinan aspectos técnicos y psicológicos, proteger los activos requiere una estrategia de múltiples capas. A continuación se detallan las medidas de prevención:
Verificar y gestionar los permisos de autorización
Verificar enlace y fuente
uso de billetera fría y firma múltiple
Maneje con precaución las solicitudes de firma
hacer frente a ataques de polvo
Conclusión
Al implementar las medidas de seguridad mencionadas, los usuarios comunes pueden reducir significativamente el riesgo de convertirse en víctimas de esquemas de fraude avanzados, pero la verdadera seguridad nunca es una victoria unilateral de la tecnología. Cuando las carteras de hardware establecen una defensa física y la firma múltiple distribuye la exposición al riesgo, la comprensión del usuario sobre la lógica de autorización y la prudencia en el comportamiento en la cadena son el último bastión contra los ataques. Cada análisis de datos antes de la firma, y cada revisión de permisos después de la autorización, son un juramento a su soberanía digital.
En el futuro, sin importar cómo evolucione la tecnología, la línea de defensa más fundamental siempre radicará en: internalizar la conciencia de seguridad como un hábito y establecer un equilibrio eterno entre la confianza y la verificación. Después de todo, en el mundo de la cadena de bloques donde el código es ley, cada clic y cada transacción se registran de forma permanente en el mundo de la cadena, y no se pueden modificar.