Tarifas de gas y seguridad en las transacciones: evitar el consumo de activos por contratos maliciosos

null

Prefacio

En el mundo blockchain, toda operación on-chain es inseparable del soporte de las tarifas de gas. Es el “combustible” que impulsa el funcionamiento de la red, pero también se ha convertido en un objetivo para actores malintencionados. Desde autorizaciones ilimitadas que llevan a la transferencia “silenciosa” de activos hasta el secuestro de tasas de gas que cuesta a los usuarios mucho más de lo esperado, estos riesgos se están ocultando cada vez más.

A diferencia de los ataques tradicionales de phishing, estos ataques suelen ocultarse en operaciones normales como “autorización”, “mint NFTs” y “participación en minería DeFi”, explotando la falta de familiaridad de los usuarios con los mecanismos contractuales para consumir o incluso robar activos sin saberlo. Para ayudar a todos a reconocer estos riesgos, el equipo de seguridad de Zero Hour Technology combina prácticas de seguridad del sector, se centra en las tarifas de gas y la seguridad de las transacciones a partir de una serie de divulgaciones en la ciencia de la seguridad blockchain, te lleva a desmantelar errores comunes, dominar habilidades prácticas de prevención y clarificar planes de eliminación de emergencia tras daños a activos.

Prat 01 - Comisiones comunes de gas y riesgos de seguridad en transacciones

Las tarifas de gas actúan como el “pase” para las transacciones en la cadena, y la seguridad de las operaciones relacionadas está directamente relacionada con la seguridad de los activos de los usuarios. Los delincuentes están aprovechando los puntos ciegos de la percepción de los usuarios sobre los mecanismos de tasa de gasolina y la autorización de contratos, y diseñan una variedad de trampas ocultas, a menudo disfrazadas de interacciones normales en la cadena, que son difíciles de detectar. Las trampas comunes se dividen principalmente en las siguientes 3 categorías:

1. Licencias ilimitadas

La autorización ilimitada es cuando un usuario interactúa con un contrato inteligente, otorgando al contrato “permiso ilimitado” para usar un determinado token en su cartera. Esta es una de las trampas de pérdidas de activos más comunes y perjudiciales actualmente.

◆Lógica: Cuando haces clic en el botón “Autorizar” en una DApp, si no revisas el límite de autorización, probablemente estés firmando un acuerdo de “autorización ilimitada”. Esto significa que, en teoría, el contrato puede transferir todos los tokens de ese tipo en tu cartera en cualquier momento sin tener que obtener tu confirmación de nuevo.

◆Escenario típico: Al acuñar NFTs de nicho, participar en farming de liquidez DeFi no auditado o usar DEXs desconocidos para operar, el contrato malicioso comprobará por defecto “Autorización ilimitada”, induciendo a los usuarios a confirmar rápidamente y luego transferir los activos en la cartera en lotes sin que el usuario se dé cuenta.

2. Secuestro de tarifas de gasolina

El secuestro de tarifas de gas se refiere a atacantes que usan contratos maliciosos o manipulan datos de transacciones para obligar a los usuarios a pagar tarifas mucho superiores a las normales de gas, o incluso a robar directamente las tarifas de gas pagadas por los usuarios.

◆Lógica de operaciones:

Manipulación frontal: La interfaz DApp controlada por el atacante establece automáticamente el precio del gas o el límite de gas a niveles extremadamente altos cuando los usuarios inician transacciones, superando con creces las comisiones durante la congestión normal de la red.

Consumo malicioso por contrato: Los contratos maliciosos están incrustados con código de “bucle infinito”, que consume gas continuamente hasta que se agota el límite de gas establecido por el usuario, lo que resulta en un fallo final de la transacción, pero la tarifa de gas ha sido deducida por el nodo blockchain.

◆ Escenario típico: Un usuario participa en una mint de lista blanca de NFT popular en un enlace no oficial y, tras confirmar, la cartera deduce instantáneamente decenas de veces el nivel normal de ETH que las comisiones de gas, mientras que el NFT no llega.

3. Autorización falsa / transacción falsa

Los atacantes roban directamente activos o controlan monederos falsificando solicitudes de autorización o ventanas emergentes de transacciones para inducir a los usuarios a firmar datos maliciosos, a menudo superponiendo trampas de tarifas de gas.

◆Lógica de operaciones:

Inducción de enlaces de phishing: Los usuarios hacen clic en “enlaces oficiales” en correos electrónicos de phishing, mensajes directos de Discord o anuncios en redes sociales para acceder a sitios web falsificados que se parecen mucho a DApps genuinos.

Falsificación de solicitudes maliciosas: La ventana emergente de “autorización” apareció junto al sitio web de phishing, supuestamente indicando “tokens autorizados para transacciones” y los datos reales de la transacción han sido manipulados, que es una instrucción para transferir los activos del usuario directamente a la cartera del atacante.

◆ Escenario típico: El usuario recibe un mensaje privado que dice “La cartera tiene riesgos de seguridad y requiere una verificación urgente de autorización”, hace clic en el enlace para completar la autorización y no solo paga altas comisiones de gas, sino que también vacía instantáneamente los tokens principales en la cartera.

Prat 02 - Configuración y precauciones de seguridad de carteras

El núcleo para abordar las tasas de gas mencionadas y las trampas de seguridad de las transacciones reside en las “medidas de precaución”. Los usuarios no necesitan dominar la tecnología blockchain compleja, sino centrarse en los tres núcleos de gestión de autorizaciones, fijación de tarifas de gas y verificación de transacciones, y desarrollar buenos hábitos operativos para evitar riesgos de forma eficaz, partiendo de los siguientes tres puntos:

1. Controlar estrictamente la cantidad de autorización y adherirse al principio de “autorización mínima”

La operación de autorización es el principal avance en la pérdida de activos, y controlar el límite de autorización es cortar el riesgo de la fuente, y el núcleo es “no autorizar cuota excedente, retirarse si no se usa”.

◆Rechazar autorización ilimitada: Al realizar operaciones de autorización en cualquier DApp, asegúrese de abandonar la “opción predeterminada” y seleccione “Cantidad personalizada” para autorizar solo la cantidad mínima de tokens requerida para la operación actual (por ejemplo, un NFT mint solo necesita autorizar 0,01 ETH, y las transacciones solo deben autorizar el importe de la transacción).

◆Autorización bajo demanda, retirada cuando se agota: Para DApps con interacciones temporales, la autorización se revoca inmediatamente después de completar la operación. Para DApps que cumplan a largo plazo, revisa regularmente el límite de autorización para evitar riesgos de activos causados por vulnerabilidades contractuales.

2. Refinar la fijación de las tarifas de gas para evitar secuestros maliciosos

La configuración de parámetros de tarifas de gas es clave para evitar el secuestro de tarifas de gas, y es necesario controlar activamente los permisos de establecimiento de tarifas de gas para evitar manipulaciones maliciosas de front-end o contratos para reducir pérdidas de costes innecesarias.

◆Habilitar el Control Avanzado de Gases: Habilitar la función “Gestión Avanzada de Gas” en los monederos convencionales (como MetaMask y TokenPocket) para establecer manualmente el límite superior de precios y límites de gas para evitar manipulaciones de parámetros por parte de interfaces maliciosas.

◆Usar datos on-chain como referencia: Antes de iniciar una transacción, consulta el precio medio actual del gas en red a través de exploradores de bloques como Etherscan y Arbiscan, y rechaza las solicitudes de transacciones significativamente superiores al nivel de mercado.

◆Evitar periodos de congestión elevada: Durante periodos como las populares casas de moneda de proyectos y las principales publicaciones de políticas, las tarifas del gas de red se dispararán y las operaciones no urgentes deberían suspenderse o seleccionar redes de Capa 2 para completar interacciones y reducir costes y riesgos.

3. Construir una línea sólida de defensa para la seguridad de las transacciones y evitar errores básicos

Además de la autorización y la configuración de tarifas de gas, la verificación de los detalles de cada transacción y la seguridad de los escenarios de interacción también son aspectos importantes para prevenir trampas.

◆Comprobar la información principal de la transacción: Al confirmar la ventana emergente de la cartera, debes comprobar tres puntos: si la dirección del contrato receptor es coherente con la oficial, si el importe de la transacción es correcto y si los parámetros de la tarifa de gas son razonables.

◆Verificar la autenticidad de las DApps: Obtener únicamente enlaces de DApp a través de sitios web oficiales y cuentas de Blue V en redes sociales, comprobar el certificado SSL y la dirección del contrato, y negarse a hacer clic en enlaces de fuentes desconocidas.

◆Aislamiento de activos riesgosos: Adoptando la “estrategia de doble monedero”, los monederos calientes solo almacenan una pequeña cantidad de activos para la interacción diaria, y los grandes activos se depositan en monederos hardware o en frío para aislar completamente los riesgos de interacción on-chain.

Prat 03 - Eliminación y recomendación de herramientas tras daños en el activo

Incluso si tomas precauciones, puedes ser víctima de negligencia. En este caso, una eliminación rápida y precisa puede minimizar las pérdidas. Basándose en la experiencia práctica, el equipo de seguridad de Zero Hour Technology ha recopilado “pasos de respuesta a emergencias” y “herramientas esenciales de seguridad” para ayudar a los usuarios a tomar la iniciativa en una crisis.

1. Respuesta de emergencia 3 pasos (Golden 10 Minutes)

La operación de autorización es el principal avance en la pérdida de activos, y controlar el límite de autorización es cortar el riesgo de la fuente, y el núcleo es “no autorizar cuota excedente, retirarse si no se usa”.

◆Congelar inmediatamente la cartera y revocar la autorización: Tras detectar transferencias anormales de activos o altas comisiones de gas, congela la operación a través de la función “Suspender Transacción” de la cartera lo antes posible. Al mismo tiempo, abre la herramienta de gestión de autorizaciones para revocar la autorización de todos los contratos sospechosos en lotes y cortar el canal de transferencia de activos del atacante.

◆Corregir pruebas y reportarlas a la plataforma: tomar capturas de pantalla para guardar pruebas clave como hashes de transacciones (TxIDs), direcciones maliciosas de contratos, registros de autorización y enlaces de acceso a DApp; Enviar el hash de la transacción al explorador de bloques, marcando la transacción como un “ataque sospechoso”; Al mismo tiempo, se dieron comentarios al oficial de la cartera y a la plataforma DApp, y se solicitó ayuda en la intercepción.

◆Solicite ayuda de agencias profesionales de seguridad: Si hay grandes pérdidas de activos, contacte inmediatamente con agencias profesionales de seguridad blockchain (como Zero Hour Technology) para proporcionar una cadena de pruebas completa. El equipo de seguridad puede utilizar tecnología de trazabilidad en cadena para rastrear el flujo de fondos del atacante, ayudar a conectar con las agencias policiales e intentar congelar los activos de la dirección implicada en el caso.

2. Recomendaciones esenciales de herramientas de seguridad blockchain

Para ayudar a los usuarios a hacer un buen trabajo en la protección de la seguridad y a afrontar rápidamente los riesgos a diario, hemos seleccionado 4 herramientas prácticas, que cubren escenarios clave como la gestión de autorizaciones, la verificación de transacciones y la alerta de riesgos, todas ellas herramientas de seguridad reconocidas por la industria:

3. Malentendidos comunes (guía de evitación de fosas)

Para ayudar a los usuarios a hacer un buen trabajo en la protección de la seguridad y a afrontar rápidamente los riesgos a diario, hemos seleccionado 4 herramientas prácticas, que cubren escenarios clave como la gestión de autorizaciones, la verificación de transacciones y la alerta de riesgos, todas ellas herramientas de seguridad reconocidas por la industria:

◆Mito 1: Pagar una “comisión de descongelación” para recuperar activos — Los atacantes piden tokens bajo el pretexto de “ayudar a congelar la dirección implicada en el caso”, lo cual es esencialmente un fraude secundario, así que no lo creas.

◆Mito 2: Eliminar la cartera - Eliminar la cartera no puede revocar la autorización del contrato, y el atacante aún puede transferir los activos; la forma correcta es retirar primero la energía y luego restablecer la cartera.

◆Mito 3: Ignorar la trazabilidad en cadena - Tras una gran pérdida, es imposible rastrear el flujo de fondos solo por su fuerza personal, y debes confiar en instituciones profesionales y departamentos de seguridad para proteger tus derechos.

Epílogo

Las comisiones de gas y la seguridad de las transacciones son la “primera línea de defensa” en el mundo blockchain, y trampas como la autorización ilimitada y el secuestro de comisiones de gas aprovechan esencialmente la psicología fortuita de los usuarios y su falta de comprensión de los detalles técnicos. Ante invitaciones interactivas de varios DApps, tener en cuenta los tres principios de “minimizar la autorización, ralentizar las transacciones medio latido y gestionar los daños rápidamente” puede evitar eficazmente la mayoría de los riesgos.