作者:GoPlusSecurity
一、與世界杯相關的加密風險層出不窮
2022年卡塔爾世界杯即將到來,本屆世界杯極大概率是梅西、C羅、本澤馬、莫德里奇、萊萬多夫斯基等人的最后一屆世界杯。在”諸神最后一戰“即將到來的時刻,各種區塊鏈上與世界杯有關的騙局也層出不窮。
根據GoPlusToken檢測引擎的數據統計顯示,僅就最近一周出現的名稱中存在“FIFA”或者“WorldCup”的有風險Token超過1000個,涉及地址超過16萬個,累計流動性更是超過500萬美金。
下面列表中包含了一些主要的風險類型:
與此同時,各種與世界杯相關的NFT也不斷涌現,其中也包含了大量有嚴重風險的NFT。因此在世界杯狂歡之余,我們也不能對各類蹭熱點的代幣/NFT項目掉以輕心,合理運用便利的安全檢測工具,保護好自身的加密資產。
二、用戶可能遇到的Token風險介紹
Token風險多種多樣,在世界杯期間更是可能集中爆發,在這里先介紹幾種主要的且非常嚴重的風險。
阿根廷獲勝后粉絲代幣ARG仍繼續下跌至4.18美元,世界杯期間跌幅已超50%:金色財經報道,據coingecko數據顯示,11月27日阿根廷戰勝墨西哥后粉絲代幣ARG仍繼續下跌,目前已降至4.18美元,過去24小時跌幅為14.7%,世界杯期間跌幅已達到51.1%。ARG在世界杯開賽前的11月18日創下9.19美元歷史高點,但在阿根廷輸給沙特后出現暴跌,隨后一直呈下跌趨勢。[2022/11/27 21:05:12]
1.貔貅代幣
即合約中包含明確的惡意代碼,導致用戶無法交易或者資產損失的代幣。
例如下面的Token就存在惡意代碼。
如上圖所示,該合約代碼中所有相關功能都通過外部合約實現,例如所有holder的余額都存儲一個外部合約中。這就意味著只要這個外部合約被換成一個新的,所有holder的余額將被直接清零。這就是一個有嚴重風險的惡意代碼。
2.可隨時自毀的代幣
合約自毀簡單來說就是合約可被銷毀,銷毀后合約也不存在,合約對應的資產也將不復存在。說白了,就是合約沒了,合約沒了的話那么其對應Token也就沒了,用戶的相應資產也將直接消失。并且根據監測,合約中包含了自毀功能的代幣,最后一般都會啟動該功能。
國際足聯已為2026年世界杯提交元宇宙及加密相關商標申請:7月21日消息,美國專利商標局注冊商標律師Michael Kondoudis發推稱,國際足聯(FIFA)已為2026年世界杯(WORLD CUP 2026)提交元宇宙及加密相關商標申請,范圍涵蓋加密貨幣交易所,虛擬服裝、運動裝備、虛擬股票交易、加密貨幣處理服務等。[2022/7/21 2:28:06]
例如下面的Token就存在自毀功能。
如上圖所示,其代碼中的“kill”function一旦啟動,該合約就會自毀,其Token也就會消失。
3.owner可修改余額
即代幣合約中有功能可以使owner地址修改其他地址的該代幣余額,且不需要經過受害地址的許可。
例如下面的Token就存在該問題,其owner地址可以修改其他地址的余額。
主要有問題的代碼如上圖所示,其owner地址可以把“adressfrom”的token直接分配給“address”中的地址,并且不需要經過用戶的許可。
石頭剪刀布世界杯賽參賽專用數字卡牌發布:2月1日消息,中國傳統民俗石頭剪刀布項目參賽卡牌聯合中鈔融權區塊鏈實驗室在中鈔數藏正式發售。具體發售時間為2月4日助力冬奧開幕晚8:08分,先后次序為石頭、剪刀、布,每枚0.99元。
發售方表示:“通過西方的認知方式來講述中華傳統文化故事,一直是非遺知識產權服務中心傳播文化的方式,這也是非遺保護中心能夠成功舉辦世界非遺傳承人大會的根本。”[2022/2/1 9:26:28]
三、NFT風險介紹
除了Token以外,NFT也存在各種安全風險。根據相關安全機構的數據統計,眾多NFT在合約層面都存在一定的安全隱患:
并且NFT很容易偽造,這就使得關于世界杯NFT騙局也可能快速增長。
在這里先介紹幾種非常嚴重的NFT合約風險。
1.限制授權對象導致無法交易
一般是指除白名單以外的地址,無法向合約授權。因為去中心化NFT交易平臺都需要合約授權,這就意味著用戶將無法在去中心化交易所中交易該NFT。
分析 | 世界杯賭球花樣多 “AI”“區塊鏈”都是套路:據新京報報道,隨著德國、阿根廷、西班牙、葡萄牙等豪門紛紛出局,各國球迷也在“賭球”中收獲了大悲大喜。從前,資深球迷通過潛心研究球隊實力、分析戰況、對比賠率等方式,進行現金或電話下注賭球。而現在,世界杯“賭球”在全球各地有了許多新花樣,人工智能、區塊鏈、萌寵都加入了進來,網絡上充斥著各式各樣賭球曬單的信息。在偌大的世界杯賭球紅利場,眾多區塊鏈競猜平臺也分了一杯羹,比如巴西人和西班牙人聯手創立、專為世界杯下注的平臺Bitkup,以及基于區塊鏈技術的世界杯預測游戲CryptoCup。[2018/7/3]
這種騙局一般是項目方先讓白名單中的地址去刷數據,用戶會看到在交易平臺上該NFT交易數據正常,以為可以交易。但是當用戶買入想再賣出時,結果發現就無法交易了。
典型案例
上面的案例中,該NFT合約代碼中存在要求,即授權對象不能是合約,而在opensea掛單需要向opensea的合約授權,因此這個nft就無法掛單了
動態丨俄羅斯商店鮮有在世界杯期間接受加密貨幣支付:據ccn報道,俄羅斯世界杯期間,多數曾聲稱接受加密貨幣支付的商店已暫停該服務,僅有極少數的酒吧和旅館仍在接受加密貨幣支付,例如Pivoteka 465連鎖酒吧和位于圣彼得堡的SPBInn酒店。[2018/7/2]
代碼如下圖所示。
上圖中,只有_addressTransferToContract名單里的地址可以授權成功,不在這個名單里的地址給合約授權會失敗。
2.不經授權轉賬
即NFT的owner可以不經授權直接把其他地址的該NFT轉移到自己指定的地址上。
這個惡意手段一般有兩種使用形式:
賣出NFT后直接轉走
如下圖所示,該NFT賣出后,直接就被轉走。
之所以可以實現這種詐騙方式,就是因為其合約代碼中設置了一個地址,這個地址有所有該NFT的授權。那么這個地址就可以隨時直接把其他地址上的該NFT轉走。如下圖所示
偽造名人持有并轉賬過該NFT,使得該NFT獲得所謂的名人背書
近期有很多用戶反饋,就是有些NFT項目宣傳某大V站臺,并表明大V交易過,因此咨詢我們項目的安全性。其實這就是“不經授權轉賬”的另一種具體模式。
其主要流程是這樣的:
1.先把NFTmint給某公開的大V地址,該NFT合約代碼中有不經授權轉賬的邏輯。
2.之后找到合適時機,把該NFT再從大V的地址轉走。那么在鏈上就表現為大V的地址不僅持有還轉賬過NFT(特別是轉賬這一步有很強的迷惑性,普通用戶可能會誤認為大V真的交易過該NFT)。
3.之后項目方就可以以此宣傳獲得所謂的“大V背書”,進而詐騙用戶。
四、作為用戶,應該如何防御相關風險
首先,樹立防范意識,基于自身情況,建立基本的防范措施
需要明確類似世界杯騙局一定會越來越多,一定要時刻注意。隨著世界杯的進行,相關熱度逐步提高,一定會有更多的騙局出現。除了與世界杯或者FIFA有關以外,還可能會有世界杯上的知名球星或熱門事件相關的騙局。大家一定要時刻注意。
對于感興趣的Token/NFT要慎重,先通過官網/社群/twitter等了解其基本情況。
對于別人推薦的token或者鏈接一定要小心,避免上當受騙。
以上幾點注意事項其實并不復雜,但為什么攻擊者卻能屢屢得手?
一是因為攻擊范圍大,覆蓋用戶量大,總有漏網之魚;二是利用了用戶的急躁心態,引發用戶恐慌,同時不給用戶留出思考時間;三是用戶可以缺少快速檢測Token/NFT騙局的工具。
其次,要學會使用安全檢測工具
針對Token/NFT中的各種騙局,需要在買入前提前使用相關檢測工具檢查,盡可能避免風險。
1.針對Token檢測,可以使用GoPlus代幣安全檢測服務
GoPlus代幣安全檢測服務是目前覆蓋代幣數最多、檢測項最全、檢測結果最準的代幣檢測服務之一,目前其檢測服務已經接入到TokenPocket、AveDex、Mask、Bitkeep等眾多知名區塊鏈產品中。
GoPluseco上的代幣安全檢測介紹頁
打開后直接在頁面中選擇Token對應的公鏈,并輸入地址,即可查看檢測結果。
點擊檢測按鈕后,即可出現全面的安全檢測結果,包含了合約安全、貔貅風險、持有量與鎖倉情況等數十項安全檢測內容。
2.針對NFT檢測,可以使用GoPlusNFT安全檢測服務
GoPlusNFT安全檢測服務是目前已經支持各項主要的NFT安全檢測。其安全服務也已經被X2Y2等主要平臺所使用。
GoPluseco上的GoPlusNFT介紹頁
打開后直接在頁面中選擇NFT對應的公鏈,并輸入地址,即可查看檢測結果。
點擊檢測按鈕后,即可出現全面的安全檢測結果,包含了合約安全、NFT真偽性、交易信息等數十項安全檢測內容。
3.直接在GoPluseco中輸入地址進行搜索。
可以直接在GoPluseco中輸入地址進行搜索,里面集成了Token與NFT的相關檢測。
輸入地址后,會檢測該地址有無惡意行為,并提供相應的Token/NFT檢測入口。
以上內容均來自GoPluseco,GoPluseco通過聚合行業內優質的安全應用或服務,為用戶匹配最優的安全解決方案。遇到安全相關的問題時,不妨來GoPluseco問問,這里有問必答。
并且在世界杯期間,GoPluseco將提供世界杯安全主題頁,提供能夠檢測世界杯相關Token、NFT和釣魚網站的安全服務,保護大家的資產安全。
原文標題:《TheCryptoWinterof2022》作者:AndreCronje,YearnFinance創始人編譯:AndersonLi.
1900/1/1 0:00:00據慢霧區情報,11月4日,一個BNBChain上地址憑空鑄造了超10億美元的pGALA代幣,并通過PancakeSwap售出獲利,導致此前GALA短時下跌超20%.
1900/1/1 0:00:00社區驅動的多鏈Web3生態開源極客資助計劃DoraGrantDAO已于11月18日在開發者激勵平臺DoraHacks.io公布首輪受資助項目名單.
1900/1/1 0:00:00谷歌曾丟失司法部要求的BTC-e相關數據,現承諾改進其法律合規計劃。根據美國司法部周三發布的新聞稿,谷歌將“確保對傳票和搜查令等法律程序做出及時和完整的回應”.
1900/1/1 0:00:00作者:Vitalik 編譯:董一鳴,ChainCatcher每當一個重要的中心化交易所爆炸時,一個常見的問題就會被提出來,那就是我們是否可以使用加密技術來解決問題.
1900/1/1 0:00:00作者:Bryan,IOSGVentures本文將主要討論ZKP作為擴容方案的發展現狀,從理論層面描述產生證明過程中主要需要優化的幾個維度,并引深到不同擴容方案對于加速的需求.
1900/1/1 0:00:00