这是一个必要的反作弊指南,为探险家的加密世界。
原标题:连锁经营中预防坑道的指南
区块链技术是当今时代最重要的创新之一,这使得去中心化成为可能。链上每个人对自己的资产都有**的控制权,外界不能干预和操作。
这种权利伴随着责任,这意味着用户需要对自己资产的安全承担*的责任。他们需要特别注意私钥的存储和日常操作。一旦私钥或助记符被盗,所有资产都将面临被盗的风险。虽然许多项目方(如tETHer)理论上可以控制链上的资产,并通过智能合约追回被盗资产,但通常只有在黑客蓄意攻击并造成大量损失时,他们才会给予帮助,由于个人过失造成的资产损失,很难得到项目方的帮助。
可以预见,未来将有越来越多的交易活动转移到连锁企业。遗憾的是,这一链条上仍有大量骗局,出现了许多新形式。不少读者向“链家捕手”反映,自己遭遇了链家诈骗,损失了数万元,但无法挽回。为了帮助更多加密行业的新进入者了解一些行业知识,避免踩坑,链捕器在本文中总结了一些常见的欺骗手法,具体如下:
假币诈骗
案例:小明的项目正在进行IDO。在电报组,她看到有人公布了代币智能合约的地址。在Uniswap中输入地址后,小明发现可以交易,并有价值数十万元的流动资金。后来她买了一台ETH,但当她涨了两倍多准备卖的时候,她发现系统提示不能卖,等于零。
分析:这是一起假币诈骗案。一些诈骗集团会分批发行货币,并以高度关注的货币为名称,建立Uniswap交易池,注入一定的流动性,意图误导用户使用真实货币,然后在一些社交媒体渠道传播智能合约地址,这种代币的智能合约代码实际上规定了只有发行人才能出售代币,其他用户只能购买,不能出售。如果用户在社交媒体上看到这个地址并相信它,他们只能坐视它上升,最终归零。
据链捕员观察,Uniswap上的假币大多是由特定的诈骗集团发行的,每个代币发行人的地址都可以通过转账记录关联起来。在过去的两个月里,至少发行了70种假币,获利至少4000 ETH。
在具体方法上,他们还会将一些假币转移到标有“硬币an”、“V神”和“0x-b1”的地址,以吸引遵循这些地址的人的注意;每次发行活动的周期约为3-5天。首先,在Uniswap中添加数百个ETH的流动性,在几个买家之后提取所有流动性,然后将所有ETH转移到一个新地址重新发行新货币,新货币将不时通过Tornado.cash 转移资金。
更具误导性的是,这些诈骗集团还制造了一些巨鲸购买这些货币的假象。如下图所示,该地址被普遍认为为孙雨辰所有,拥有数十亿美元资产。在十多天内,以太扫描显示,它的地址购买了几个新的硬币从Uniswap。一些地址跟踪器在看到这些记录时可能会“跟踪”。但是,如果点击其具体的交易记录,可以看到该笔交易并不是由地址所有者发起的,这是因为假币发行人的地址是使用智能合约直接从Uniswap购买的,并且孙玉臣的地址被设置为收货地址。
除了孙雨辰的地址,以太扫描显示的许多以太地址都是相似的。
因此,在Uniswap交易时,必须使用正式公布的合约地址或Uniswap推荐列表中的货币。如果在其他渠道看到智能合约地址,要提高警惕,否则可能造成很大损失。
假应用骗局
案例一:小倪换新手机时,看到一个微信群用户显示为imtoken工作人员,发布了一张带有应用下载链接的快讯图片。就在新手机还没有下载imtoken时,他扫描了下载应用程序的代码,输入了私钥,并将其导入钱包。然而,他很快发现,自己住址的资产全部转出,导致损失近2万元。
案例二:据《******》报道,本月初,当两名用户在苹果应用商店搜索加密硬件钱包特雷兹诺的名字时,出现了一个应用程序,该应用程序使用了与真实特雷兹诺非常相似的徽标和颜色。尽管当时treznor没有推出手机应用,但他们误以为treznor确实推出了手机版,于是下载并导入了私钥,最终分别盗取了价值17.1比特币和1.4万美元的ETH。
分析:私钥和助记词意味着对钱包资产的**控制。因此,很多骗子都在试图获取用户的私钥,而假冒官方应用是最常见的手段。这类假冒应用伪造为官方快车诱使用户下载,或付费搜索引擎将假冒网站排名靠前,或在苹果/安卓官方应用商店上线,都会高度模仿官方网站和图片信息。一旦用户下载应用程序并导入助记符,钱包资产将立即转移。
因此,在下载钱包和交换应用程序时,切记从官方渠道下载,并检查网站域名等信息是否正确。
假客服骗局
案例:小湛在使用DAPP产品时遇到问题,于是他去电报集团试着问这位官员,然后一位用户私下聊天。他问起情况,告诉他可以私下聊聊。一位官员解决了问题,把账号名发给了小占,于是小占直接点击账号名进入私人聊天界面,这位官员热情地问小占怎么了,这是因为项目数据库出现问题,正在解决中。不过,为了避免出错,我们需要重新设置账户,并询问小湛用什么钱包。然后我们给出一个链接,让小湛在钱包里输入助记符,以便进一步操作。不过,小湛目前很警惕,不进行下一步操作,以免记忆外泄。
分析:如今,几乎所有主要社区,如微信和电报,都有伪装成官方客服的账户。它们通过各种手段骗取用户的信任,将话题尽可能引至钱包,诱导用户输入助记符或私钥。一旦用户输入,所有的资产将迅速转移。
因此,当你在各个社区寻求帮助时,你必须确认对方的身份。如果您不确定身份,可以在群中发送一个屏幕截图,并请其他活动用户帮助您确定身份。通常,官方工作人员不会主动与用户聊天并让用户输入私钥,而是让用户在群聊中主动聊天。
空投诈骗
案例:小西看到有人在微信群发布某知名项目的空投信息。只要她在telegraph集团完成几个特定的社交媒体任务,她就可以得到数百美元的象征性奖励。小希按照电报机器人的提示完成了所有任务,但随后机器人提示她需要寄少量代币到合同地址领取空投代币,考虑到费用低廉,小希没有收到空投代币,却白白损失了十余元。
分析:确实存在大量基于社交媒体任务的代币空投,这容易降低用户的警惕性。但也有不少骗子会利用用户松懈的心理实施欺骗,利用空投诱使用户通过智能合约赚钱。虽然单笔金额通常很小,但仍然相当可观。
目前,还没有真正的空投活动需要用户在外部钱包地址键入货币才能获得。我们应该直接忽略需要转移资金的空投活动。
注意事项
除了上述故意实施欺诈行为需要防范外,连锁经营还面临着许多潜在操作失误带来的安全风险,主要表现在:
一是避免对DAPP过度授权,定期清理授权。当用户第一次与DAPP进行交互时,他们需要获得授权,但存在安全隐患。如果以后DAPP受到攻击,他们可以直接使用自己的权限窃取用户资产。因此,我们需要定期清理很少使用的DAPP权限或设置代币传输的上限。
其次,尽量避免使用未经证券公司审计的dapp,尤其是那些声称apy高的dapp,其安全风险可能导致巨额本金损失。
第三,需要再次强调的是,地址的私钥和助记符应存储在未连接互联网的硬件或笔记本上,私钥和助记符不应向任何第三方披露。这是所有安全措施中最重要的一点。
区块链技术衍生出的巨大想象空间,以及更大规模的应用,都依赖于更多的用户在链上拥有更高的操作素养和知识,以免使链成为诈骗猖獗的地方,造成大量用户无缘无故遭受巨大损失。因此,上述科普教育的意义尤为突出。
文章链接:https://www.btchangqing.cn/241796.html
更新时间:2021年04月25日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。