早在2021年,加密货币局是一个不断增长的攻击载体,受害者投资加密货币领域。据CNBC报道,2021年,加密货币局所损失超过10亿美元,其中最常见的类型包括虚假投资和浪漫局。
从那时起,2022年就表明,子们越来越有创造力。
作为保障BNB链生态系统安全的领导者,我们有责任确保BNB链生态系统总是比这些子领先一步,从而确保系统中用户的安全。以下是今年最流行的局:
1、钓鱼网站链接
钓鱼网站已经是Web2中子们常用的技术,这是因为子们可以直接创建一个恶意网站,随后将大量链接发给受害者。在这里,我们将主要关注子们试图窃取你的私钥的方法。?
在Web3中,子通常通过Web3社区所在的不同媒介发送他们的钓鱼网站链接,如Discord、Twitter、Telegram,甚至是链上的链接。
钓鱼网站通常看起来像真正的网站,但有不同的网址名称。它们可以是关于一个新的赠品或NFT前期活动,基本上是任何能让用户感到兴奋而不直接思考的情况。子利用了用户的情绪不稳定性。
他们可以明目张胆地要求用户提供他的种子短语或私钥。例如,在社交媒体上联系用户,以钱包软件支持的名义伸出援手,并直接使用信息作为交换支持,直接窃取用户的私钥。
另一种方式是,子会开发看起来与合法软件类似的chrome扩展程序,如Metamask。通过模拟真正的应用程序,用户往往会放松警惕,并提供他们的私钥来使用新的应用程序。
我们注意到一个有趣的策略,子也会试图用户,让他们以为现有的应用程序有一个新的错误/漏洞,并且有一个新的软件升级。我们发现一个子,试图用户以为当前的Metamask版本有错误,用户应该升级到新版本。子在信息中宣称,新的升级版还没有出来,所以这次升级必须要手动完成。随后,给出一套指令,目的是用户提供他的metamask密码,从而将他的私钥暴露给子。
Espresso Sequencer测试网版本Doppio已发布,未来数月将向外部节点开放:7月20日消息,区块链基础设施公司Espresso Systems在Polygon zkEVM分叉版本上发布了Espresso Sequencer的测试网版本Doppio。该测试网已经在该公司内部运行,并将在未来几个月内向外部节点开放。
另外,该团队还计划利用ETH质押来确保与以太坊Layer1的经济一致性,目前正在与Eigenlayer合作。
在Polygon zkVM上启动测试网之后,Espresso联合创始人Jill Gunter指出,Espresso还在与Caldera合作,以在Espresso Sequencer和OP堆栈之间建立集成。此外,Espresso已经与Spire、Injective和Catalyst AMM达成合作,以支持这些项目优先与Espresso的Sequencer集成。[2023/7/20 11:06:37]
在这种情况下,用户应该始终等待Metamask的官方公告,并从官方渠道升级其Metamask版本。
要升级扩展,只需前往chrome://extensions/,点击更新按钮。
这将相应地更新你的所有扩展。
一个友好的提醒:
正常的应用程序升级不会要求用户提供敏感信息,如登录凭证。
2、Ice-Phishing
这是一种策略,用户被签署一项交易,使攻击者控制用户的代币,而不泄露私钥。这是网络钓鱼技术的一个延伸。
对于某些背景,当用户使用DeFi应用程序并与主要的代币标准交互时,批准方法会显示在他们的metamask窗口。这是一个要求用户将授权委托给第三方,代表该用户对这些代币进行处理。然后,用户可以执行其他操作,如执行交换。
比特币铭文代币当前总市值约1.39亿美元:金色财经报道,brc-20.io数据显示,比特币铭文代币Ordi现报6.16美元,24小时跌幅1.26%,当前总市值约1.29亿美元。此外,BRC-20相关代币目前约为34337种,总市值为139,603,163美元,过去24小时的交易量为21,938,587美元。[2023/6/19 21:45:55]
攻击者会引导用户进入该网络钓鱼网站,并诱使他们签署一些他们没有要求的交易。例如,有交互作用的合约甚至可能不是合约,而是攻击者的地址。一旦批准交易完成,攻击者就有权从受害者的钱包中转移资金。
通常,网站有一个算法来扫描受害者的钱包,以检测有价值的资产,如昂贵的BAYCNFT或WBTC和WETH等加密货币。通常情况下,该网站会不断显示metamask窗口,提示用户签署另一笔交易,尽管他们可能已经签署过一次。
另一种防止成为Ice-Phishing的受害者的方法是避免签署eth_sign交易。它们通常看起来是这样的:
eth_sign方法是一种开放式的签署方法,允许签署任意的哈希值,这意味着它可以用来签署不明确的交易,或任何其他数据,使其成为一种危险的网络钓鱼风险。
这里的任意哈希值意味着,通常怀疑批准或批准所有方法并不是唯一可能的方法,子可以让你签署像原生代币转移或合约调用这样的交易。从本质上讲,几乎完全控制了你的账户,甚至不需要持有你的私钥!
虽然MetaMask在签署eth_sign请求时,会显示风险警告,但与其他钓鱼技术相结合,没有安全经验的用户仍有可能落入这些陷阱。
3、事件和NFT睡眠铸币术
事件
普华永道:73%出席达沃斯论坛的的CEO预计未来12个月全球经济增长将放缓:金色财经报道,普华永道:调查显示,出席达沃斯论坛的首席执行官对今年公司增长前景的信心下降幅度为全球金融危机以来最大。73%出席达沃斯论坛的的CEO预计未来12个月全球经济增长将放缓。60%出席达沃斯论坛的CEO不打算在未来12个月内进行裁员。[2023/1/17 11:15:31]
事件是一种策略,子将BEP20代币随机转移给用户,并提示用户与之交互。问题是,即使子是转移代币的人,但从BscScan这样的区块链管理器,会显示资金来源是来自一个独立的钱包,比如Binance热钱包。然后,他们将被引诱与这些新的“免费”代币互动,通过显示代币名称或代码本身的链接,将用户引向钓鱼网站。这是对钓鱼技术的一个延伸。
这种方法利用了区块链管理器显示事件的方式。
例如,这张来自BscScan的屏幕截图显示,CHI被从NullAddress发送到地址0x7aa3?
从代码的角度来看,这意味着在线发出转移(...)
msg.sender->Nulladdress(_from)
_to->0x7aa3
_value->294
然而,区块链管理器会盲目地使用发出事件的参数。如果_from地址被改为另一个地址,例如0xhashdit,那么BscScan将显示CHI从0xhashdit被发送到接收地址。注意:这并不是区块链管理器的特别错误,而更多的是更改参数的灵活性,因为BscScan无法确定参数是否准确。因此,子可以利用这一点,资金的来源。
Web3文化遗产保护平台Quantum Temple完成200万美元Pre种子轮融资:1月12日消息,Web3文化遗产保护平台Quantum Temple宣布完成200万美元Pre种子轮融资,Borderless Capital领投,Algorand基金会、Outliers Fund、Shima Capital、New Moon Ventures和NxGen、以及一批天使投资人参投。[2023/1/13 11:09:05]
请看我们的twitter帖子,这样一个例子!
https://twitter.com/HashDit/status/1557536292979855360
NFT睡眠铸币
基于普通的BEP20事件,子可以创造性地执行他们的局。NFT睡眠铸币是指子直接铸造NFT到著名创作者的钱包。然而,NFT代码有一个后门方法,者可以把NFT收回来。这就造成了这样的假象:(1)著名创作者真正为自己铸造了一个NFT;然后(2)将该NFT发送给了子。基于“链上”的来源,子可以声称他们拥有一个由著名的创作者铸造的NFT,并以更高的价值出售,在这个过程中伪造价值。
睡眠铸币的性来自一个事实,即你可以在事件日志中发出任何数据。人们会认为,如果用户发送交易来转移NFT,那么你的地址应该在事件日志中作为“来自”字段。然而,当者从一个著名的创造者那里收回睡眠铸币的NFT时,情况就不是这样了。子可以人为地将著名创作者的地址放在转移事件的“来自”字段中,从而完成错觉。
例如,我们可以看一下Beeple的账户,发现有几个NFT是铸给他的,但不完全是他铸的
4、庞氏局
在这些局中,通常没有真正的策略来赚取奖励或利润。本质上,整个计划使用新投资者的钱来支付老投资者。一旦没有更多的新钱进来支持这个计划,整个系统就会失败。
在加密货币庞氏局中,有几个明显的迹象:
首先,项目方收取税费,这些费用使用户在生态系统中保持更长的时间。?
由于每次质押/复利行动都会产生某种费用,这意味着用户必须复利更长的时间,才能达到收支平衡。这些费用也被用来偿还那些想要索赔的用户的红利。
韩国加密金融公司Delio与Blockdaemon合作推出零售质押服务:9月23日消息,韩国加密金融公司Delio与区块链基础设施提供商Blockdaemon达成合作,在Delio现有的贷款、存款等加密银行产品之外,Blockdaemon为Delio提供了以零售为重点的质押服务。[2022/9/23 7:16:24]
第二,没有办法提取用户的初始投资资金。
一旦一个用户存入他们的初始代币,他就没有办法取回他的初始投资资金。用户要取回任何资金的唯一途径是索回红利。
第三种方式是使用推荐系统。
该项目鼓励参与者通过推荐人的利益来积极推广和推荐他人。当下线执行某些行动时,上线就会获得额外的奖励。此外,为了让用户开始参与协议,他必须有一个上线地址才能启动。这就创建了一个系统,其中每个地址都链接到另一个地址,类似于一个计划。拥有超过5个下线地址的人也会有更多的奖金。
人们会看到一个共同的主题,合约开始时锁定的资金急剧上升,通常是由团队通过营销或团队自己注入的资金产生的最初炒作所驱动。一旦合约的余额达到了一个拐点,这就意味着没有新的资金进入。这将慢慢导致该计划崩溃,新投资者恐慌,尽可能多地提取红利。
最后,单纯赚取税费的项目方将成为此类庞氏局项目的最大受益者。
5、CHIGas代币的养殖
ChiGas代币是1inch项目的一项举措,其中ChiGas代币是一种BEP20代币,是为了在1inch交易时使用,支付交易成本。Chi与该网络的GAS价格挂钩。当GAS价格低时,Chi价格也低,反之亦然。
子如何利用这一点是非常有趣的。首先,他们会随机空投一堆BEP20代币。当用户批准PancakeSwap出售这些代币时,在这些代币的批准方法中,会硬编码消耗大量用户的GAS限额来铸造ChiGas代币,可以用来补贴GAS费用,这些铸造的Chi?Gas代币就是子的利润。?
建议在一些空投代币中调用批准的功能前,注意审批交易中GAS费的消耗情况。
总的来说,不要随便碰空投给你的代币。
6、MEV/事件
加密术语
子使用“MEV”、“套利交易机器人”、“狙击手机器人”、“前端运行机器人”等加密术语,承诺每天获得几千美元的被动收入,吸引用户参与。这些产品通常在Twitter、Tiktok和区块链管理器等平台上进行推广。
通常,子会在帖子中附上一个视频链接,受害者被带到Youtube和Vimeo等视频托管平台。
?例子:
从本质上讲,视频引导用户使用RemixIDE部署他们的恶意代码,通常是在视频描述中的粘贴bin网址。
随着代码在链上的部署,用户将被告知接下来要准备一些本地资金,以执行“前期运行或套利”。视频将提示用户准备更多的本地资金,这样当你执行“前期运行或套利”操作时,你将能够获得更多的利润,以此用户。一旦用户将资金注入合约并“开始运行”,就不是像子声称的那样为他赚取利润,而是资金直接转给了子。
另一种相对较新的方式,是子提供一个CEX交易机器人的链接,如下截图:
系统将提示用户下载一个恶意文件,并按照相关说明进行操作。通常,想在Binance交易所自动交易的用户会有一个API密钥。这个局视频用户使用他们的交易机器人,并要求用户交出他们的API密钥和密码。一旦用户这样做,子就能够接收用户的凭证,并用用户的资金进行交易。
加密事件
在这种情况下,子还利用社交媒体散布加密货币交易所或项目等领域的知名人士正在进行赠送的虚假信息。
用户会被提示输入此链接,并被指示先“验证”他们的地址。为此,他们必须发送一些BTC或BNB到指定的地址,作为回报,他们将得到10倍的金额。与此同时,该网站显示了赠品的交易历史记录,以用户认为赠品是真实有效的。然而,实际上,一旦用户发送了加密货币,这些资金将会被子走,最终也不会得到任何奖励。?
很多时候,子可能会使用旧的视频,甚至不惜深度伪造一个受欢迎的人物,来用户,让他们以为这个人在代言和推广一个新的赠品。而实际上,这与事实相差甚远。?
这些案例中一个共同的相似点,在视频的评论区会有虚假的参与。这是为了从心理上用户,让他们认为这个交易机器人真的很有效。
另外,如果描述中出现这种情况,就赶紧跑吧。这是一个巨大的危险信号。?
结论
在加密货币这样一个去中心化的环境中,将继续增长,所以我们每个人都要对自己的安全负责,这是至关重要的。为了加强BNB链中用户的安全保障,Hashdit一直在与PancakeSwap和AvengerDAO等生态系统的参与者合作,以尽快发现局。在未来,我们将努力为BNB链上的协议用户和智能合约开发者建立一个安全的生态系统。
如果你觉得这篇文章有用,请在Twitter上分享并标记我们如果你希望我们也能报道任何局,请给我们留言!
请记住黄金法则:如果它好得不像真的,它可能就是真的。在那之前,请注意安全。
最近NFT市场有点热闹,尤其是两个著名的CC0项目——Mfers创始人的诈尸,以及MimicShhans创始人的骚操作引众怒.
1900/1/1 0:00:00一、多空大战事件回顾区块先生:我觉得这个事件现在还是处于一个有点未知的状况,但是以链上数据来看的话,整个过程就是有一位大户在Aave上面抵押USDC,大概有4000万美金左右,同时借出CRV.
1900/1/1 0:00:00“我们百余号被裁员的兄弟一直没有拿到应得的赔偿金!”多名在11月被裁的Amber前员工向深潮TechFlow爆料以及抱怨,他们并未如合同约定的在12月初收到应得的裁员补偿款,更让他们忧心的是.
1900/1/1 0:00:0012月12日下午,SamBankman-Fried被巴哈马当局逮捕,预计将被引渡到美国。福布斯获得了SBF准备在12月13日出席由美国众议院金融服务委员召开的听证会的完整证词草稿.
1900/1/1 0:00:00注意:本文作者为推特用户@coolboy011217,其从个人角度解析NFT交易平台Blur出价逻辑。“Blur出价(Bid)逻辑浅析”——个人发现仅供参考讨论.
1900/1/1 0:00:00在FTX破产案例之后,我们想了解CEX和DEX的交易量表现如何。之后有什么重大变化吗?还是根本没有变化?在本文中,我们将使用来自CoinGecko和DuneAnalytics的数据来分析.
1900/1/1 0:00:00