作者:GoPlusSecurity
一、与世界杯相关的加密风险层出不穷
2022年卡塔尔世界杯即将到来,本届世界杯极大概率是梅西、C罗、本泽马、莫德里奇、莱万多夫斯基等人的最后一届世界杯。在”诸神最后一战“即将到来的时刻,各种区块链上与世界杯有关的局也层出不穷。
根据GoPlusToken检测引擎的数据统计显示,仅就最近一周出现的名称中存在“FIFA”或者“WorldCup”的有风险Token超过1000个,涉及地址超过16万个,累计流动性更是超过500万美金。
下面列表中包含了一些主要的风险类型:
与此同时,各种与世界杯相关的NFT也不断涌现,其中也包含了大量有严重风险的NFT。因此在世界杯狂欢之余,我们也不能对各类蹭热点的代币/NFT项目掉以轻心,合理运用便利的安全检测工具,保护好自身的加密资产。
二、用户可能遇到的Token风险介绍
Token风险多种多样,在世界杯期间更是可能集中爆发,在这里先介绍几种主要的且非常严重的风险。
Geoff Hurst爵士宣布与Reeps One推出足球世界杯 NFT:金色财经报道,Geoff Hurst爵士是1966年世界杯冠军队最后在世的英国足球运动员之一,宣布与英国艺术家 Reeps One(Harry Yeff)合作推出“Everlasting Memory”NFT系列,Everlasting Memory NFT项目包括1of1和开放版NFT。这些NFT将在Rarible上进行拍卖。多版本NFT将于12月3日发售。一对一的NFT将于12月16日开始销售。[2022/12/6 21:24:31]
1.貔貅代币
即合约中包含明确的恶意代码,导致用户无法交易或者资产损失的代币。
例如下面的Token就存在恶意代码。
如上图所示,该合约代码中所有相关功能都通过外部合约实现,例如所有holder的余额都存储一个外部合约中。这就意味着只要这个外部合约被换成一个新的,所有holder的余额将被直接清零。这就是一个有严重风险的恶意代码。
动态丨俄罗斯商店鲜有在世界杯期间接受加密货币支付:据ccn报道,俄罗斯世界杯期间,多数曾声称接受加密货币支付的商店已暂停该服务,仅有极少数的酒吧和旅馆仍在接受加密货币支付,例如Pivoteka 465连锁酒吧和位于圣彼得堡的SPBInn酒店。[2018/7/2]
2.可随时自毁的代币
合约自毁简单来说就是合约可被销毁,销毁后合约也不存在,合约对应的资产也将不复存在。说白了,就是合约没了,合约没了的话那么其对应Token也就没了,用户的相应资产也将直接消失。并且根据监测,合约中包含了自毁功能的代币,最后一般都会启动该功能。
例如下面的Token就存在自毁功能。
如上图所示,其代码中的“kill”function一旦启动,该合约就会自毁,其Token也就会消失。
3.owner可修改余额
即代币合约中有功能可以使owner地址修改其他地址的该代币余额,且不需要经过受害地址的许可。
例如下面的Token就存在该问题,其owner地址可以修改其他地址的余额。
动态 | BitUN比联岛竞技场正式开启 支持世界杯主题竞猜:据区块链私人银行BitUN官方消息,BitUN已开启比联岛的竞技场功能,用户可以使用Token在竞技场进行主题“竞技”。目前,比联岛竞技场已开通世界杯赛竞猜,用户可以使用BitUN平台代币BUC直接参与。世界杯期间,用户可以使用BUC支持喜欢的球队并竞猜比赛结果,而BitUN不会抽取任何费用。[2018/6/28]
主要有问题的代码如上图所示,其owner地址可以把“adressfrom”的token直接分配给“address”中的地址,并且不需要经过用户的许可。
三、NFT风险介绍
除了Token以外,NFT也存在各种安全风险。根据相关安全机构的数据统计,众多NFT在合约层面都存在一定的安全隐患:
并且NFT很容易伪造,这就使得关于世界杯NFT局也可能快速增长。
在这里先介绍几种非常严重的NFT合约风险。
1.限制授权对象导致无法交易
2018世界杯概念板块领跌 24小时平均跌幅6.37%:据行情显示,2018世界杯概念板块领跌,24小时平均跌幅6.37%。该板块目前收录19个币种,4涨15跌;跌幅前三分别为SOC、BOE、CAI,24小时跌幅分别为19.22%、16.06%、15.71%。[2018/6/21]
一般是指除白名单以外的地址,无法向合约授权。因为去中心化NFT交易平台都需要合约授权,这就意味着用户将无法在去中心化交易所中交易该NFT。
这种局一般是项目方先让白名单中的地址去刷数据,用户会看到在交易平台上该NFT交易数据正常,以为可以交易。但是当用户买入想再卖出时,结果发现就无法交易了。
典型案例
上面的案例中,该NFT合约代码中存在要求,即授权对象不能是合约,而在opensea挂单需要向opensea的合约授权,因此这个nft就无法挂单了
代码如下图所示。
上图中,只有_addressTransferToContract名单里的地址可以授权成功,不在这个名单里的地址给合约授权会失败。
交易所板块成资金追捧热点,世界杯概念通证或有爆发:据TokenInsight 数据显示,反映区块链行业整体表现的TI指数北京时间6日9时报1046.42点,较昨日同期上涨21.67点,涨幅2.11%。通用平台指数TIG报1113.15点,较昨日同期上涨23.78点,涨幅2.18%。另据监测显示, BTC转账数较上周同期上升7%至19.4万;社群活跃增速较上周反弹,维稳于0.11%(上周0.09%)。ETH社群活跃增速较昨日上升16%至0.05%,网站流量和全球搜索指数已筑底维稳50日均值。BCtrend分析师认为,BTC流量下跌幅度有限,ETH矿工洗牌进入尾声,6月市场将缓慢复苏。分析师币东邪认为,BTC6月大概率将围绕7700美元波动。因新入资金有限,场内资金选择基本面最强的交易所板块抱团取暖。世界杯概念通证换手率高,洗仓之后或有爆发。[2018/6/6]
2.不经授权转账
即NFT的owner可以不经授权直接把其他地址的该NFT转移到自己指定的地址上。
这个恶意手段一般有两种使用形式:
卖出NFT后直接转走
如下图所示,该NFT卖出后,直接就被转走。
之所以可以实现这种方式,就是因为其合约代码中设置了一个地址,这个地址有所有该NFT的授权。那么这个地址就可以随时直接把其他地址上的该NFT转走。如下图所示
伪造名人持有并转账过该NFT,使得该NFT获得所谓的名人背书
近期有很多用户反馈,就是有些NFT项目宣传某大V站台,并表明大V交易过,因此咨询我们项目的安全性。其实这就是“不经授权转账”的另一种具体模式。
其主要流程是这样的:
1.先把NFTmint给某公开的大V地址,该NFT合约代码中有不经授权转账的逻辑。
2.之后找到合适时机,把该NFT再从大V的地址转走。那么在链上就表现为大V的地址不仅持有还转账过NFT(特别是转账这一步有很强的迷惑性,普通用户可能会误认为大V真的交易过该NFT)。
3.之后项目方就可以以此宣传获得所谓的“大V背书”,进而用户。
四、作为用户,应该如何防御相关风险
首先,树立防范意识,基于自身情况,建立基本的防范措施
需要明确类似世界杯局一定会越来越多,一定要时刻注意。随着世界杯的进行,相关热度逐步提高,一定会有更多的局出现。除了与世界杯或者FIFA有关以外,还可能会有世界杯上的知名球星或热门事件相关的局。大家一定要时刻注意。
对于感兴趣的Token/NFT要慎重,先通过官网/社群/twitter等了解其基本情况。
对于别人推荐的token或者链接一定要小心,避免上当受。
以上几点注意事项其实并不复杂,但为什么攻击者却能屡屡得手?
一是因为攻击范围大,覆盖用户量大,总有漏网之鱼;二是利用了用户的急躁心态,引发用户恐慌,同时不给用户留出思考时间;三是用户可以缺少快速检测Token/NFT局的工具。
其次,要学会使用安全检测工具
针对Token/NFT中的各种局,需要在买入前提前使用相关检测工具检查,尽可能避免风险。
1.针对Token检测,可以使用GoPlus代币安全检测服务
GoPlus代币安全检测服务是目前覆盖代币数最多、检测项最全、检测结果最准的代币检测服务之一,目前其检测服务已经接入到TokenPocket、AveDex、Mask、Bitkeep等众多知名区块链产品中。
GoPluseco上的代币安全检测介绍页
打开后直接在页面中选择Token对应的公链,并输入地址,即可查看检测结果。
点击检测按钮后,即可出现全面的安全检测结果,包含了合约安全、貔貅风险、持有量与锁仓情况等数十项安全检测内容。
2.针对NFT检测,可以使用GoPlusNFT安全检测服务
GoPlusNFT安全检测服务是目前已经支持各项主要的NFT安全检测。其安全服务也已经被X2Y2等主要平台所使用。
GoPluseco上的GoPlusNFT介绍页
打开后直接在页面中选择NFT对应的公链,并输入地址,即可查看检测结果。
点击检测按钮后,即可出现全面的安全检测结果,包含了合约安全、NFT真伪性、交易信息等数十项安全检测内容。
3.直接在GoPluseco中输入地址进行搜索。
可以直接在GoPluseco中输入地址进行搜索,里面集成了Token与NFT的相关检测。
输入地址后,会检测该地址有无恶意行为,并提供相应的Token/NFT检测入口。
以上内容均来自GoPluseco,GoPluseco通过聚合行业内优质的安全应用或服务,为用户匹配最优的安全解决方案。遇到安全相关的问题时,不妨来GoPluseco问问,这里有问必答。
并且在世界杯期间,GoPluseco将提供世界杯安全主题页,提供能够检测世界杯相关Token、NFT和钓鱼网站的安全服务,保护大家的资产安全。
标签:NFTKENTOKENTOKENFTSwapsmayatokenWPP TokenAltered State Token
作者:?IOBCCapital以太坊的发展路线越来越倾向于ModularBlockchain,其本质就是Layer1的datasharding和Layer2的Rollups扩容相结合.
1900/1/1 0:00:00据官网公告,CoinW币赢将于今日20:00在主流区上线APT(Aptos),并开通APT/USDT交易对.
1900/1/1 0:00:00作者:WLabs瓜田实验室这篇文章其实已经酝酿了很久了,直击痛点:在China大陆如何进行链游的破圈尝试?国内大公司在做啥?瓜田实验室WLabs关于链游和元宇宙的文章出品的比较勤快.
1900/1/1 0:00:00福布斯发表评论文章称,全球超过16家加密货币和DeFi交易所创建的平台币总市值超过620亿美元.
1900/1/1 0:00:00比特币矿企?Argo发布公告称此前2700万美元的融资计划已经无法完成,正在继续探索其他融资机会.
1900/1/1 0:00:00作者:0xLaughing,律动BlockBeats即便你是一个Web3新人,也一定听过Paradigm的名字.
1900/1/1 0:00:00