ETH2:警惕利用「以太坊合并」的 3 種騙局_BIT

原文作者：茉莉

距離以太坊合并還有不到6小時，這條被視作下一代互聯網Web3.0底層基礎設施的區塊鏈網絡將徹底改變共識機制，從工作量證明的PoW機制轉向權益證明的PoS。

在合并即將到來前，去中心化安全網絡市場PolySwarm創始人SteveBassi在接受媒體采訪時提示，詐騙者可能會利用以太坊合并這一市場熱點，針對新手加密用戶發起新的騙局，這些騙局包括假ETH2.0代幣置換、欺詐性的ETH質押礦池、假空投等形式。

以太坊官網也在最新的「安全性」頁面中提示，合并并不產生任何「ETH2」或其他任何新代幣，不要將ETH轉存到任何指定地址以換取虛假的「ETH2」代幣，「永遠不要把你錢包的助記詞和陌生人分享。」

慢霧：警惕Web3錢包WalletConnect釣魚風險:金色財經報道，慢霧安全團隊發現 Web3 錢包上關于 WalletConnect 使用不當可能存在被釣魚的安全風險問題。這個問題存在于使用移動端錢包 App 內置的 DApp Browser + WalletConnect 的場景下。

慢霧發現，部分 Web3 錢包在提供 WalletConnect 支持的時候，沒有對 WalletConnect 的交易彈窗要在哪個區域彈出進行限制，因此會在錢包的任意界面彈出簽名請求。[2023/4/17 14:08:53]

別為高回報陷入欺詐性質押池

由于以太坊合并，以挖礦維持網絡運行的PoW共識將被靠質押成為驗證節點的PoS共識取代。按照以太坊規則，質押是向信標鏈存入32ETH以激活驗證器軟件的行為。驗證者將負責存儲數據、處理交易以及向區塊鏈添加新區塊。驗證者在保證以太坊網絡安全運行的同時，可以賺取新的ETH。

LBank藍貝殼官方聲明：謹防釣魚網站，警惕虛假信息:據LBank藍貝殼官方消息，今日有人假冒LBank藍貝殼官方網站，偽造了釣魚網站進行不法活動，請用戶警惕虛假信息。

對此，LBank藍貝殼鄭重聲明：LBank藍貝殼官方網站為LBK.la和LBank.me，請廣大用戶務必通過正規渠道下載和使用LBank藍貝殼APP，謹防上當受騙。同時，LBank藍貝殼嚴重警告相關不法分子立即停止此類違法犯罪行為，并保留對其追究法律責任的權利。[2021/5/1 21:16:12]

SteveBassi認為，對于ETH的眾多持有者來說，如果他們沒有成為獨立驗證者所需的32個ETH，那么加入質押池將是他們從質押獎勵中獲得收益的唯一方式。但聯合質押提供商「自帶風險」，因為它通常要求用戶存入ETH并放棄對該資產的控制。

安全提醒：警惕Filecoin RBF假充值攻擊:據慢霧區消息，Filecoin出現“雙花交易”，多家交易所關閉FIL充值通道。慢霧安全團隊對相關信息分析發現，這是一起Filecoin的RBF假充值攻擊事件而非”雙花攻擊“。攻擊者預先發送一筆低gas-feecap的交易，然后通過提高gas-premium和gas-feecap替換原交易（RBF交易），此時RBF交易優先被打包上鏈，舊交易被丟棄，但是由于FilecoinlotusRPC有一個特性，在查詢舊交易的執行狀態時（使用lotusstateexec-trace命令或者通過REST接口Filecoin.StateGetReceipt獲取）返回的是RBF交易的執行狀態，導致交易所對兩筆交易重復入賬。

慢霧安全團隊提醒交易所及相關錢包方，在充值入賬時，需要對比查詢返回結果中的cid與查詢的cid是否一致，并配合ChainGetParentMessages和ChainGetParentReceipts等接口進行查詢對比，避免重復入賬。與此前慢霧區發現的假充值攻擊不同的是，此次攻擊方法更加隱蔽，是由于Filecoin節點特性所引起，交易所及相關錢包方應再次檢查充值入賬程序，除了RBF外，還有常規的To、Value、轉賬類型Method，以及執行結果ExitCode等字段的校驗，必要時可請安全審計公司協助檢測。[2021/3/19 19:00:10]

Bassi表示，新的質押提供商「可能提供非常有吸引力的條款」，但可能會「突然rugpull」，從而影響到池子里的參與者。「這種風險目前存在于DeFi平臺的各種資產池或代幣中，詐騙者很可能利用以太坊合并尋找一個新的角色。」

BitZ：警惕不法分子冒充、濫用“BitZ”名義詐騙:據官方消息，經多方用戶反饋與工作人員核實，近日市場上出現多個抄襲BitZ品牌、功能、界面的山寨平臺，對BitZ品牌造成嚴重損害。BitZ在此提醒用戶，請務必提高警惕，謹防釣魚網站及鏈接，增強資產安全意識，避免資金損失。

目前BitZ官方已經在通過法律途徑維護自身合法權益，在此BitZ呼吁業內人士一起征集假冒平臺的相關線索，平臺對于有價值的信息將給予1000元人民幣獎勵。舉報郵箱：eo@bitz.email。詳情點擊原文鏈接。[2020/9/24]

截至目前，除了向信標鏈單獨質押外，諸多為以太坊提供質押的第三方服務模式已經出現，包括質押即服務、集合質押池、中心化交易所提供的質押服務。以太坊官網也列出了采用去中心化質押服務時的風險、回報和要求。

ETH質押服務的對比

以太坊官方強調，這些路徑針對廣泛的用戶，在風險、回報和信任度方面各不相同，「用戶將ETH發送到任何地方之前請務必進行自己的研究。」

警惕陷入「ETH2代幣」類升級騙局

Bassi還警告了另一種騙局——誘騙用戶簽署欺詐性交易或以「遷移到新的以太坊鏈」為幌子套取用戶的私鑰。

被以太坊官方反復預警的一種升級騙局就是利用「ETH2」這個概念——在合并來臨前，詐騙者很可能會忽悠用戶將他們的ETH兌換為「ETH2代幣」。實際上，合并并不產生任何「ETH2」或者任何其它新代幣，「當前你所擁有的ETH在合并后仍然是一樣的ETH，不用進行任何的兌換。」

需要知道的常識是，早在今年1月，以太坊官方就棄用了「ETH1」、「ETH2」這樣的術語，以執行層和共識層取而代之。

在這之前，ETH1常被指現有的工作量證明鏈，合并后，這條鏈將通過難度炸彈被棄用。用戶和應用程序將遷移到新的權益證明鏈上，該鏈此前習慣被稱為ETH2。

為了避免混淆、防范騙局，ETH1、ETH2的說法被棄用，以太坊官方要求核心開發人員停止使用這兩個術語，分別用「執行層」取代ETH1術語，以「共識層」取代ETH2術語。

因此，但凡以「ETH2」為幌子要求用戶置換新代幣的項目，均可視作騙局。以太坊官網在安全性頁面提示，詐騙者可能會以「技術支持」的面貌出現，告訴用戶需要把手中的ETH存到指定地址，以得到「ETH2」。實際上，這并不是以太坊官方技術支持的，也沒有新代幣，「永遠不要把你錢包的助記詞和陌生人分享。」

同時需要注意的是，有一些衍生代幣或憑證可能代表了被質押的ETH，比如RocketPool的rETH、Lido的stETH、Coinbase的ETH2，但這些都不需要將ETH遷移到并不存在的「新鏈」，用戶無需自行處理ETH的底層共識轉換。

別因貪圖空投而落入釣魚網站陷阱

除了以上兩種騙局外，Bassi補充表示，另一種可能的詐騙媒介將以「假空投」的形式出現——說服用戶簽署交易授權或訪問網絡釣魚網站，去接收虛假空投，「ETH合并將成為這些騙子偽裝成知名的、具有經濟價值的、承諾空投的項目的好借口。」

Bassi解釋，這些空投可能會將用戶定向到一個網絡釣魚站點，在那里，他們可能會被騙出他們的ETH和私鑰，或落入精心設計的交易簽名陷阱。

圍繞以太坊合并這一熱點事件，已經有騙子在使用加V的推特賬戶冒充以太坊聯合創始人VitalikButerin，宣傳虛假的ETH空投，誘導網友訪問詐騙者的加密錢包，這些地址很可能涉及釣魚欺詐，需要投資者謹慎識別。

Tags：ETH以太坊ETH2BITethylacrylate以太坊硬幣可以賣錢么ETH2SOCKS幣Bybit身份認證

SOL