Prólogo
En el mundo de la blockchain, cada operación en la cadena depende del soporte de las tarifas Gas. Son el "combustible" que impulsa el funcionamiento de la red, pero también se han convertido en un objetivo para los malintencionados. Desde la autorización ilimitada que permite transferir activos "silenciosamente", hasta el secuestro de tarifas Gas que hace que los usuarios paguen costos mucho más altos de lo esperado, estos engaños se vuelven cada vez más sutiles.
A diferencia de los ataques de phishing tradicionales, estos ataques suelen disfrazarse como operaciones legítimas, como “autorización”, “mint de NFT” o “participación en minería DeFi”, aprovechando la falta de familiaridad de los usuarios con los mecanismos de contrato para consumir o incluso robar activos sin que ellos lo noten. Para ayudar a todos a reconocer estos riesgos, el equipo de seguridad de ZeroTime Technology, basándose en prácticas de seguridad del sector y en la serie de educación sobre seguridad blockchain, se centra en las tarifas de gas y la seguridad de las transacciones, desglosando trampas comunes, enseñando técnicas prácticas de prevención y estableciendo planes de respuesta de emergencia en caso de pérdida de activos.
Prat 01-Costos comunes de gas y trampas de seguridad en transacciones
Las tarifas de gas, como el "pase" para las transacciones en la cadena, tienen una seguridad directamente relacionada con la protección de los activos del usuario. Los delincuentes aprovechan las lagunas de conocimiento de los usuarios sobre el mecanismo de tarifas de gas y la autorización de contratos para diseñar múltiples trampas ocultas, muchas de las cuales se disfrazan como interacciones normales en la cadena, resultando difíciles de detectar. Las trampas comunes se clasifican principalmente en las siguientes 3 categorías:
1. Autorización ilimitada
La autorización ilimitada es el permiso que el usuario otorga a un contrato inteligente para utilizar sin límite ninguna criptomoneda en su billetera al interactuar con él. Es uno de los engaños más comunes y peligrosos para la pérdida de activos actualmente.
◆ Lógica de funcionamiento: Cuando haces clic en el botón “Autorizar” en un dapp, si no revisas cuidadosamente el monto autorizado, es probable que firmes un acuerdo de “autorización ilimitada”. Esto significa que el contrato puede transferir teóricamente todos los tokens de ese tipo en tu billetera en cualquier momento, sin necesidad de obtener tu confirmación nuevamente.
◆Escenario típico: al mintear NFTs poco conocidos, participar en mining de liquidez DeFi no auditado o realizar operaciones en DEX desconocidos, los contratos maliciosos activan por defecto la “autorización ilimitada”, induciendo a los usuarios a confirmar rápidamente y, posteriormente, transfiriendo en masa los activos de la billetera sin que el usuario lo note.
2. Secuestro de tarifas de gas
El secuestro de tarifas de gas se refiere a un ataque en el que los atacantes utilizan contratos maliciosos o alteran los datos de la transacción para obligar a los usuarios a pagar tarifas de gas mucho más altas de lo normal, e incluso robar directamente las tarifas de gas pagadas por los usuarios; en esencia, se trata de obtener beneficios ilegales manipulando los parámetros relacionados con la tarifa de gas.
◆Lógica de funcionamiento:
Manipulación del frontend: un frontend de dapp controlado por el atacante ajusta automáticamente el precio de Gas o el límite de Gas a niveles extremadamente altos al momento en que el usuario inicia una transacción, mucho por encima de los costos normales durante la congestión de la red.
Contrato malicioso: un contrato malicioso contiene código de “bucle infinito” que, al ejecutarse, consume continuamente Gas hasta agotar el límite de Gas configurado por el usuario, lo que resulta en el fracaso de la transacción, pero la tarifa de Gas ya ha sido deducida por el nodo de la cadena de bloques.
◆ Escenario típico: el usuario participa en una lista de espera para NFTs populares a través de un enlace no oficial, tras hacer clic en confirmar, su billetera se carga instantáneamente con una tarifa de gas decenas de veces superior a lo normal, pero el NFT no llega.
3. Autorización falsa / Operación falsa
Los atacantes inducen a los usuarios a firmar datos maliciosos mediante solicitudes de autorización o ventanas emergentes de transacción falsificadas, robando directamente activos o tomando el control de la billetera, a menudo combinados con trampas de tarifas Gas.
◆Lógica de funcionamiento:
Phishing links诱导: Los usuarios hacen clic en enlaces "oficiales" en correos electrónicos de phishing, mensajes privados de Discord o anuncios en redes sociales, y son redirigidos a sitios web falsificados que imitan con gran precisión el DApp original.
Solicitud maliciosa falsificada: ventana emergente de “autorización” en un sitio web falso que aparenta ser “autorizar token para operar”, pero los datos de la transacción han sido alterados y en realidad son una instrucción para transferir directamente los activos del usuario a la billetera del atacante.
◆ Escenario típico: El usuario recibe un mensaje privado que dice “Hay un riesgo de seguridad en su billetera, se requiere autorización de verificación urgente”, hace clic en el enlace y completa la autorización, pagando no solo altas tarifas de Gas, sino también viendo cómo todos sus tokens principales son transferidos instantáneamente fuera de su billetera.
Prat 02-Configuración de seguridad de la billetera y medidas de prevención
Para hacer frente a los costos de Gas y las trampas de seguridad mencionadas, lo esencial es la "prevención previa". Los usuarios no necesitan comprender tecnologías blockchain complejas; basta con centrarse en tres aspectos clave: gestión de autorizaciones, configuración de costos de Gas y verificación de transacciones. Al adoptar hábitos operativos sólidos, se pueden evitar eficazmente los riesgos. Aquí tienes tres puntos concretos para comenzar:
1. Control estricto de los límites de autorización, adherirse al principio de "autorización mínima"
Las operaciones autorizadas son el principal punto de entrada para la pérdida de activos; controlar el límite de autorización es cortar el riesgo en la fuente, y lo esencial es “no autorizar saldos excesivos y revocar inmediatamente cuando no se utilicen”.
◆ Rechazar autorización ilimitada: Al realizar operaciones de autorización en cualquier dapp, rechace siempre la opción "predeterminada" y elija "cuota personalizada", autorizando únicamente la cantidad mínima de tokens necesaria para la operación actual (por ejemplo, para mintear un NFT, autorice solo 0.01 ETH; para una transacción, autorice solo el monto de la transacción actual).
◆ Autorización según necesidad, revocación inmediata tras el uso: Para dapps con interacciones temporales, revoca la autorización inmediatamente después de completar la operación; para dapps合规 de uso prolongado, verifica periódicamente los límites de autorización para evitar riesgos de activos debido a vulnerabilidades en los contratos.
2. Configura los costos de Gas con precisión para evitar secuestros maliciosos
La configuración de los parámetros de tarifas de gas es clave para prevenir el secuestro de tarifas de gas; es necesario controlar activamente los permisos de configuración de tarifas de gas, evitando que interfaces maliciosas o contratos las manipulen, reduciendo así las pérdidas de costos innecesarios.
◆ Habilitar control avanzado de Gas: Active la función “Gestión avanzada de Gas” en billeteras principales como MetaMask y TokenPocket, y establezca manualmente el límite superior para el precio de Gas y el límite de Gas, para evitar que los parámetros sean modificados por frontends maliciosos.
◆ Con datos en la cadena como referencia: antes de realizar una transacción, consulte el precio promedio actual de Gas en exploradores de bloques como Etherscan o Arbiscan y rechace solicitudes de transacción claramente por encima del nivel del mercado.
◆ Evite los horarios de alta congestión: durante períodos como el mint de proyectos populares o el lanzamiento de políticas importantes, las tarifas Gas de la red se disparan; en estos momentos, suspenda las operaciones no urgentes o utilice redes Layer2 para realizar interacciones, reduciendo costos y riesgos.
3. Fortalece las defensas de seguridad en operaciones y evita los errores básicos
Además de la autorización y la configuración de tarifas de gas, la verificación detallada de cada transacción y la seguridad de los escenarios de interacción son componentes esenciales para evitar trampas; debe practicarse “verificación cuidadosa y rechazo de lo sospechoso”.
◆ Verifique la información clave de la operación: al confirmar mediante la ventana emergente de la billetera, debe verificar tres puntos: si la dirección del contrato receptor coincide con la oficial, si el monto de la operación es correcto y si los parámetros de la tarifa Gas son razonables; todos son indispensables.
◆ Verificar la autenticidad de un dapp: obtenga los enlaces del dapp únicamente a través del sitio web oficial y las cuentas verificadas con marca azul en redes sociales, verifique el certificado SSL del sitio web y la dirección del contrato, y rechace hacer clic en enlaces de origen desconocido.
◆ Aislar activos de riesgo: utilice la “estrategia de dos billeteras”, manteniendo solo una pequeña cantidad de activos en la billetera en línea para interacciones diarias, y almacenando los activos de mayor valor en billeteras de hardware o billeteras frías, aislando completamente el riesgo de interacción en la cadena.
Prat 03-Disposición y recomendaciones de herramientas tras daños en los activos
A pesar de haber tomado precauciones, es posible sufrir un ataque malicioso por descuido. En estos casos, una respuesta rápida y precisa puede minimizar al máximo las pérdidas. El equipo de seguridad de ZeroTime ha recopilado, basándose en su experiencia práctica, los “pasos de respuesta de emergencia” y las “herramientas de seguridad esenciales” para ayudar a los usuarios a tomar el control en situaciones de crisis.
1. Tres pasos para respuesta de emergencia (10 minutos dorados)
Las operaciones autorizadas son el principal punto de entrada para la pérdida de activos; controlar el límite de autorización es cortar el riesgo en la fuente, y lo esencial es “no autorizar saldos excesivos y revocar inmediatamente cuando no se utilicen”.
◆ Congelar inmediatamente la billetera y revocar autorizaciones: tras detectar transferencias inusuales de activos o cargos elevados por Gas, congele inmediatamente las operaciones mediante la función “Pausar transacciones” de su billetera; al mismo tiempo, abra la herramienta de gestión de autorizaciones y revoque en lote todas las autorizaciones de contratos sospechosos para cortar el canal de transferencia de activos del atacante.
◆ Guardar y reportar evidencia a la plataforma: tomar capturas de pantalla del hash de la transacción (TxID), la dirección del contrato malicioso, los registros de autorización, el enlace de acceso al dapp y otras evidencias clave; enviar el hash de la transacción al explorador de bloques para marcarla como “ataque sospechoso”; además, notificar a la plataforma oficial de la billetera y al dapp para solicitar ayuda en la拦截.
◆ Buscar asistencia de una institución de seguridad profesional: Si se trata de una pérdida de activos de gran valor, contacte inmediatamente a una institución de seguridad blockchain profesional (como Zero Time Technology) y proporcione toda la cadena de evidencia. El equipo de seguridad puede rastrear el flujo de fondos del atacante mediante tecnologías de rastreo en la cadena, ayudar a coordinar con las autoridades encargadas de hacer cumplir la ley y intentar congelar los activos en las direcciones involucradas.
2. Recomendación de herramientas esenciales de seguridad blockchain
Para ayudar a los usuarios a mantener una protección diaria y responder rápidamente a riesgos, hemos seleccionado 4 herramientas prácticas que cubren escenarios clave como gestión de autorizaciones, verificación de transacciones y alertas de riesgo, todas ellas herramientas de seguridad reconocidas en la industria:
3. Errores comunes en el manejo (guía para evitar trampas)
Para ayudar a los usuarios a mantener una protección diaria y responder rápidamente a riesgos, hemos seleccionado 4 herramientas prácticas que cubren escenarios clave como gestión de autorizaciones, verificación de transacciones y alertas de riesgo, todas ellas herramientas de seguridad reconocidas en la industria:
◆ Error 1: Pagar una "tarifa de desbloqueo" para recuperar activos: los atacantes exigen tokens bajo el pretexto de "ayudar a congelar la dirección involucrada", lo cual es en realidad un segundo fraude; no lo creas.
◆ Error 2: Eliminar la billetera— Eliminar la billetera no revoca la autorización del contrato; el atacante aún puede transferir los activos. La forma correcta es revocar primero la autorización y luego restablecer la billetera.
◆ Error 3: Ignorar la rastreabilidad en la cadena: tras una pérdida importante, no es posible rastrear el flujo de fondos solo con recursos personales; se debe recurrir a instituciones profesionales y autoridades encargadas de hacer cumplir la ley, y nunca renunciar a la defensa de sus derechos.
Conclusión
Las tarifas de gas y la seguridad de las transacciones son la "primera línea de defensa" en el mundo de la blockchain. Trampas como autorizaciones ilimitadas y secuestro de tarifas de gas explotan fundamentalmente la mentalidad de esperanza del usuario y su falta de conocimiento sobre los detalles técnicos. Ante las invitaciones de interacción con diversos dapps, recuerda los tres principios clave: minimiza la autorización, espera un momento antes de realizar la transacción y actúa rápidamente si ocurre un daño, para evitar eficazmente la mayoría de los riesgos.