買比特幣 買比特幣
Ctrl+D 買比特幣
ads

NFT:揭秘2022年六大加密騙術_NBS價格

Author:

Time:1900/1/1 0:00:00

本文來自幣安安全合作伙伴 HashDit ,原文作者:Sebastian Lim

自去年起,加密詐騙案件就屢增不減。據 CNBC 報道, 2021 年,加密詐騙損失超過 10 億美元,其中最常見的類型包括虛假投資和殺豬盤。而到了 2022 年,加密詐騙的手法更加讓人眼花繚亂。

以下是 2022 年最常見的六種加密騙局。

網絡釣魚是 Web2 中騙子常用的一種手法。騙子創建一個惡意網站,然后大量發送鏈接給他們的受害者。在這里,我們將主要關注騙子竊取私鑰的方法。

在 Web3 中,騙子通常通過不同的媒介將他們的釣魚鏈接發送到 Web3 社區,如 Discord、Twitter、Telegram,甚至是鏈上。

釣魚網站通常與真正的網站非常相似,但使用不同的 URL 名稱。網站內容可能是新的 Giveaway 或 NFT 免費鑄造,騙子利用投資者的 FOMO 心理將用戶玩弄于股掌之中。

他們可以明目張膽地要求用戶提供他們的助記詞或私鑰。例如,在社交媒體上聯系用戶,以錢包軟件支持服務的身份聯系用戶,并以交易所支持的身份直接發送詐騙信息,竊取用戶私鑰。

另一種方法是,騙子會開發類似于 Metamask 等合法插件的 Chrome 擴展。通過模擬真實的應用程序,讓用戶放松警惕,提供自己的私鑰來使用新應用程序。

騙子會試圖讓用戶認為現有的應用程序有一個新的漏洞,并且有新的軟件升級。如騙子試圖讓用戶以為當前的 Metamask 版本存在漏洞,用戶應該升級到新版本。然后在消息中宣稱新的升級還沒有完成,必須手動進行升級。隨后,騙子會給出一組指令,誘騙用戶提供 Metamask 密碼,從而將其私鑰暴露給騙子。

MakerDAO聯創:Curve漏洞可能是牛市前的最后一次崩盤:金色財經報道,MakerDAO聯合創始人Rune Christensen發布推文稱,周末Curve Finance的漏洞引發了整個去中心化金融領域的廣泛擔憂,這可能對行業有好處。他寫道:“這似乎是一個感嘆‘結束了’的時刻,但也許只是這個周期的黑色星期四,即牛市前的最后一次崩盤,一切都會以一百倍強勁的方式回歸”。

金色財經曾報道,由于使用Vyper編碼語言版本的智能合約中的錯誤,DeFi協議Curve Finance的多個流動性池被利用。由于重入漏洞,攻擊者使用Vyper合約耗盡了多個穩定幣池,2400萬美元的資金被提取。[2023/8/1 16:10:26]

在這種情況下,用戶應該繼續等待 Metamask 的官方公告,并從官方來源升級他們的 Metamask 版本。

要升級擴展,只需轉到 chrome://extensions/,單擊更新按鈕,如下圖。

友情提醒:正常的應用程序升級不需要用戶提供登錄憑證等敏感信息。

Ice Phishing 是一種欺騙用戶簽署交易的策略,攻擊者可以控制用戶的代幣,但又不獲取用戶的私鑰。這是網絡釣魚技術的新手段。

在某些背景下,當用戶使用 DeFi 應用程序(例如 PancakeSwap)并與主代幣標準(例如 ERC-20、ERC-721 和 ERC-1155 )交互時,批準方法會顯示在他們的 Metamask 窗口中。這是用戶向第三方授權以代表該用戶對這些代幣進行操作的請求。之后,用戶可以執行其他操作,如執行交易。

FTX索賠門戶網站現已重新上線:7月13日消息,FTX索賠門戶網站已重新上線,為FTX、FTX US、Blockfolio、FTX EU、FTX Japan和Liquid用戶提供訪問賬戶信息、查詢歷史交易、提交電子索賠證明等功能。據悉,客戶提出索賠的截止日期已定為2023年9月29日下午4點(美國東部時間),索賠必須在截止日期之前提交。[2023/7/13 10:52:10]

攻擊者會將用戶引導到釣魚網站,誘使他們簽署一些他們沒有申請的交易。例如,交互的合約可能是攻擊者的地址。一旦批準交易完成,攻擊者就有權將代幣從受害者的錢包中轉出。

通常,詐騙網站有一種算法來掃描受害者的錢包,目的是檢測有價值的資產,如昂貴的 BAYC NFT 或 wBTC/wETH 等加密貨幣。通常,網站會不斷顯示 Metamask 窗口,提示用戶簽署另一筆交易,即使他們可能已經簽署了一次。

防止成為 Ice Phishing 受害者的另一種方法是遠離簽署 eth_sign(空白支票)交易。通常如圖所示:

eth_sign 是一種開放式簽名方法,允許對任意哈希進行簽名,它可以用于對不明確的交易或任何其他數據進行簽名,這是一種危險的網絡釣魚類型。

這里的任意哈希意味著對“批準”(approve)或“批準一切”(approve for all)等操作保持警惕還不夠,騙子可以讓你簽署原生代幣轉移或合約調用等交易。騙子幾乎可以完全控制你的帳戶,而不用持有你的私鑰。

盡管 MetaMask 在簽署 eth_sign 請求時會顯示風險警告,但當與其他網絡釣魚技術結合時,沒有安全經驗的用戶仍有可能落入這些陷阱。

Lido Staked Ether(STETH)市值突破125億美元,創歷史新高:金色財經報道,據Coingecko數據顯示,Lido Staked Ether(STETH)市值已突破125億美元,創歷史新高,本文撰寫時達到12,555,207,153美元。當前Lido Staked Ether(STETH)報價約為2091.70美元,過去24小時漲幅0.1%。[2023/4/17 14:09:00]

Event 詐騙手法

Event 詐騙是騙子將隨機的 BEP 20 代幣轉移給用戶的策略,并提示用戶與之交互。即使騙子是從 BscScan 等區塊鏈瀏覽器轉移代幣,它也會顯示資金來源來自一個單獨的錢包,例如幣安熱錢包。然后,用戶將被誘騙與這些新的“免費”代幣進行交互,通過在代幣名稱或代碼本身中顯示鏈接,可以將用戶引導到釣魚網站。這是網絡釣魚技術的新手段。

這種方法利用了區塊鏈瀏覽器顯示 Event 的方式。

例如,這張來自 BscScan 的截圖顯示 CHI 從 Null Address 發送到地址 0x7aa3……

區塊鏈瀏覽器將盲目地使用 emit event(發送事件)的參數。如果_from 地址被更改為另一個地址,例如 0xhashdit,那么 BscScan 將顯示從 0xhashdit發送到接收地址的 CHI。

Paxos Treasury銷毀近9400萬枚BUSD:金色財經報道,據Etherscan數據顯示,Paxos Treasury于1小時前(2月20日18:10:47 UTC)銷毀93,823,673枚BUSD。[2023/2/21 12:18:15]

注意:這并不是區塊鏈瀏覽器特有的 bug,而是更改參數的靈活性,因為 BscScan 不能確定參數是否準確。因此,騙子可以利用這一點來欺騙代幣的來源。

NFT Sleep Minting

NFT Sleep Minting 是指騙子直接在著名創作者的錢包里鑄造 NFT,并從創作者的錢包中回收 NFT。a16z 在 3 月的時候發文解釋改 NFT 新騙術。

NFT Sleep Minting 創造了一種假象:

著名的創作者為自己鑄造了一個 NFT;

將 NFT 發送給騙子。

根據“鏈上”的來源,騙子可以聲稱自己擁有由著名創作者鑄造的 NFT,并以更高的價格出售,在這個過程中偽造價值。

例如,從 Beeple 的賬戶中可觀察到他的幾個 NFT 不是由他鑄造的。

龐氏騙局使用新投資者的錢支付給老投資者。一旦沒有更多的新資金來支持這個計劃,整個系統就會崩潰。

加密龐氏騙局有幾個標志:

首先,項目方收取稅費,這些稅費可以讓用戶在生態系統中停留更長時間。

由于每次存款/復利操作都會產生某種費用,這意味著用戶必須復利較長一段時間才能收支平衡。這些費用還用于償還希望索賠的用戶的紅利。

網易傳媒推出網易新聞數字藏品館 并通過網信辦區塊鏈信息服務備案:金色財經消息,網易傳媒于8月5日正式宣布上線“網易新聞數字藏品館”,同時發布創世徽章數字藏品——“易聞天下”。網易新聞數字藏品館以網易傳媒自研聯盟鏈“易聞鏈”為技術支撐,在數字資產上鏈、版權保護等多樣化場景中都具備安全穩定性。同時,數藏館通過了國家互聯網信息辦公室區塊鏈信息服務備案,用戶安全管理嚴格。(網易科技)[2022/8/5 12:04:07]

第二,無法提取用戶的初始投資資金。

一旦用戶存入了他們的初始代幣,他就沒有辦法提取他的初始投資資金。用戶要拿回任何資金的唯一方法是收回股息。

第三,使用介紹人機制。

該項目鼓勵參與者通過推薦人福利積極推廣和推薦他人。每當下線執行特定的操作時,上線將獲得額外的獎勵。此外,為了讓用戶開始參與協議,他必須有一個上行地址才能開始。這創建了一個系統,每個地址都連接到另一個地址,類似于金字塔獎勵方案(傳銷)。擁有 5 個以上的下線地址也會增加獎金。

常見的方式是一開始就鎖定在合約中的資金急劇增加,通常是由團隊通過營銷進行的初始炒作或團隊自己為創造活動而注入的資金推動的。一旦合約余額達到拐點,這意味著沒有新的資金流入。這將慢慢導致該計劃分崩離析,新投資者恐慌地盡可能多地收回股息。

最終,僅賺取稅費的項目方將是此類龐氏騙局項目的最大受益者。

CHI Gas Token 是 1inch項目的一個方案,其中 CHI Gas Token 是一個 BEP20 代幣,用于 1inch 交易所支付交易成本。CHI 與該網絡的 gas 價格掛鉤。當 gas 價格低時,CHI 價格也低,反之亦然。

騙子首先會空投一堆隨機的 BEP20 代幣。當用戶批準 PancakeSwap 出售這些代幣時,在這些代幣的批準(approve)方法中,它將代碼寫死(hard coded:把數據直接寫在代碼里,不會根據輸入而改),從而消耗大量(例如超過 90% )用戶的 gas 限制來鑄造 CHI Gas Token,可以用來補貼 gas 費,鑄造的 CHI Gas Token 則是騙子的利潤。

建議在某些空投代幣中調用 approve 函數之前,注意審批交易中的 gas 費消耗情況。一般來說,不要碰空投給你的隨機代幣。

MEV 騙局

騙子會利用 MEV(最大可提取價值)、套利交易機器人、狙擊機器人、搶跑機器人等加密工具,承諾每天能獲得幾千美元的被動收入,吸引用戶參與。這些通常在推特、TikTok 和區塊鏈瀏覽器等平臺上推廣。

通常,騙子會在帖子上附加一個視頻鏈接,將上當的用戶引流到 Youtube 和 Vimeo 等視頻托管平臺。

詐騙視頻將引導用戶使用 Remix IDE 部署他們的惡意代碼,騙子將在視頻描述中的 pastebin URL 中提供惡意代碼。

當惡意代碼部署在鏈上后,用戶將被指示下一步準備一些本地資金來執行“搶跑或套利交易”。詐騙視頻會提示用戶準備更多的原生資金,這樣當你執行“搶跑或套利交易”操作時,你就能獲得更多的利潤,從而欺騙用戶。一旦用戶將資金注入到合約中并“開始搶跑交易”,資金將直接轉移到騙子手中,而不是像騙子聲稱的那樣賺取利潤,

另一種相對較新的方式是騙子提供 CEX 交易機器人的鏈接,如下圖。

系統會提示用戶下載惡意文件并按照提示操作。通常,想要在幣安交易所自動交易的用戶會有一個 API 私鑰。這個詐騙視頻誘騙用戶使用他們的交易機器人,并要求用戶放棄他們的 API 私鑰和密碼。一旦用戶從而入套,騙子將能夠在他們的終端接收用戶的憑證,并使用用戶的資金進行交易。

虛假名人騙局

騙子還利用社交媒體,傳播加密交易所或項目等領域知名玩家正在進行 Giveaway 的虛假信息。

用戶將被提示進入這個鏈接,并被指示先“驗證”他們的地址。為此,他們必須向指定地址發送一些比特幣或 BNB,并將得到 10 倍回報。與此同時,該騙局網站顯示了 Giveaway 記錄的交易歷史,讓用戶相信 Giveaway 是真實且有效。然而在現實中,一旦用戶發送加密貨幣,代幣就進入騙子口袋,最終也不會收到任何獎勵。

通常情況下,騙子可能會利用舊視頻,甚至采取偽造知名人物的手段,讓用戶認為這個人是在支持和推廣一個新的 Giveaway,但實際上并不存在。

這些案例的一個共同點是,視頻的評論區會出現虛假的評論。這是在心理上欺騙用戶,讓他們相信這個交易機器人真的很好用。

如果下圖出現在描述中,請打起十二分警惕。

在 Crypto 這樣的去中心化環境中,騙局只會只增不減。因此,對我們每個人來說,對自己的資產安全負責至關重要。

記住黃金法則:如果一件事太完美,那它很可能就有問題(too good to be true)。

Odaily星球日報

媒體專欄

閱讀更多

金色早8點

金色財經

去中心化金融社區

CertiK中文社區

虎嗅科技

區塊律動BlockBeats

念青

深潮TechFlow

騰訊研究院

Tags:BSPNBSNFTETHBSPAY價格NBS價格Mongol NFTVital Ethereum

火必交易所
COIN:金色早報 | NEAR基金會發布透明度報告_OIN

▌NEAR基金會發布透明度報告:每年5%的通脹率中的90%將發送給驗證者以作為質押獎勵支付金色財經報道,NEAR基金會發布透明度報告。報告稱,在創世時,NEAR區塊鏈有十億個代幣.

1900/1/1 0:00:00
SUT:Su Zhu最新長推:CeFi的崩壞 始于2020年_EFI

 11 月 22 日,彭博社發布了一篇三箭資本聯合創始人 Su Zhu 的最新專訪。在面對記者的提問時,Su Zhu 表示:“一些行業內的領頭人稱 FTX的崩盤使行業倒退了&.

1900/1/1 0:00:00
BLO:盤點區塊鏈與醫療結合的七種創新探索_Bitcoin Instant

雖然目前區塊鏈所涉及的領域還只是醫學的冰山一角,但相信未來會有更多的醫療案例結合區塊鏈參與應用和實踐,使二者達到相輔相成,相互發展的境界,創造一個更加理想美好的明天.

1900/1/1 0:00:00
PIT:盤點2022年最活躍的5家加密投資機構_api3幣前景怎么樣

原文:《2022年最活躍的 5 家加密投資機構》 作者:wesly 縱觀整個2022年,加密投融資領域完成了從狂熱到寒冬的180度大轉彎.

1900/1/1 0:00:00
加密貨幣:加密貨幣交易所的未來:DEX 和 CEX 之戰_DEX

撰文:MIT 藍莓星人 來源:RockFlow UniverseFTX 暴雷事件暴露出 CEX 中心化的「不透明性」會對用戶資金產生極大安全隱患.

1900/1/1 0:00:00
NBS:a16z:熊市耕耘不易 這七個開發者工具可能幫到你_https://etherscan.io

今日早間,a16z Crypto 通過官方推特分享了一些該機構自己構建的工具及概念證明,內容涉及零知識證明、合約安全、權力下放等多個領域.

1900/1/1 0:00:00
ads