早在2021年,加密货币局是一个不断增长的攻击载体,受害者投资加密货币领域。据CNBC报道,2021年,加密货币局所损失超过10亿美元,其中最常见的类型包括虚假投资和浪漫局。
从那时起,2022年就表明,子们越来越有创造力。
作为保障BNB链生态系统安全的领导者,我们有责任确保BNB链生态系统总是比这些子领先一步,从而确保系统中用户的安全。以下是今年最流行的局:
1、钓鱼网站链接
钓鱼网站已经是Web2中子们常用的技术,这是因为子们可以直接创建一个恶意网站,随后将大量链接发给受害者。在这里,我们将主要关注子们试图窃取你的私钥的方法。?
在Web3中,子通常通过Web3社区所在的不同媒介发送他们的钓鱼网站链接,如Discord、Twitter、Telegram,甚至是链上的链接。
钓鱼网站通常看起来像真正的网站,但有不同的网址名称。它们可以是关于一个新的赠品或NFT前期活动,基本上是任何能让用户感到兴奋而不直接思考的情况。子利用了用户的情绪不稳定性。
他们可以明目张胆地要求用户提供他的种子短语或私钥。例如,在社交媒体上联系用户,以钱包软件支持的名义伸出援手,并直接使用信息作为交换支持,直接窃取用户的私钥。
另一种方式是,子会开发看起来与合法软件类似的chrome扩展程序,如Metamask。通过模拟真正的应用程序,用户往往会放松警惕,并提供他们的私钥来使用新的应用程序。
我们注意到一个有趣的策略,子也会试图用户,让他们以为现有的应用程序有一个新的错误/漏洞,并且有一个新的软件升级。我们发现一个子,试图用户以为当前的Metamask版本有错误,用户应该升级到新版本。子在信息中宣称,新的升级版还没有出来,所以这次升级必须要手动完成。随后,给出一套指令,目的是用户提供他的metamask密码,从而将他的私钥暴露给子。
Paxful CEO:决定将ETH从交易市场移除:12月21日消息,比特币P2P市场Paxful联合创始人兼CEO Ray Youssef表示,已决定将ETH从交易市场移除,并于北京时间12月22日20:00生效。
Ray Youssef解释此举原因是,ETH由PoW转向PoS共识机制,PoW的创新使BTC成为唯一诚实的货币;ETH不是去中心化的;虽然ETH有一些真实用例,但其发展原因在于Token化。[2022/12/21 21:59:21]
在这种情况下,用户应该始终等待Metamask的官方公告,并从官方渠道升级其Metamask版本。
要升级扩展,只需前往chrome://extensions/,点击更新按钮。
这将相应地更新你的所有扩展。
一个友好的提醒:
正常的应用程序升级不会要求用户提供敏感信息,如登录凭证。
2、Ice-Phishing
这是一种策略,用户被签署一项交易,使攻击者控制用户的代币,而不泄露私钥。这是网络钓鱼技术的一个延伸。
对于某些背景,当用户使用DeFi应用程序并与主要的代币标准交互时,批准方法会显示在他们的metamask窗口。这是一个要求用户将授权委托给第三方,代表该用户对这些代币进行处理。然后,用户可以执行其他操作,如执行交换。
攻击者会引导用户进入该网络钓鱼网站,并诱使他们签署一些他们没有要求的交易。例如,有交互作用的合约甚至可能不是合约,而是攻击者的地址。一旦批准交易完成,攻击者就有权从受害者的钱包中转移资金。
通常,网站有一个算法来扫描受害者的钱包,以检测有价值的资产,如昂贵的BAYCNFT或WBTC和WETH等加密货币。通常情况下,该网站会不断显示metamask窗口,提示用户签署另一笔交易,尽管他们可能已经签署过一次。
尼日利亚将通过一项法律使比特币和加密货币的使用合法化:金色财经报道,尼日利亚众议院资本市场和机构委员会主席Babangida Ibrahim声称该国将很快通过一项法律,使比特币和加密货币的使用合法化。该法案将修订2007年的《投资和证券法》,并将比特币视为合法的投资资本。
早在2021年2月,尼日利亚禁止受监管的金融企业“处理”加密货币,有效地禁止了比特币的使用。同年,比特币杂志称尼日利亚飙升至世界上最大的比特币点对点交易量,Chainanalysis报告显示尼日利亚很大程度上加快了比特币的采用。(Bitcoin Magazine)[2022/12/19 21:52:42]
另一种防止成为Ice-Phishing的受害者的方法是避免签署eth_sign交易。它们通常看起来是这样的:
eth_sign方法是一种开放式的签署方法,允许签署任意的哈希值,这意味着它可以用来签署不明确的交易,或任何其他数据,使其成为一种危险的网络钓鱼风险。
这里的任意哈希值意味着,通常怀疑批准或批准所有方法并不是唯一可能的方法,子可以让你签署像原生代币转移或合约调用这样的交易。从本质上讲,几乎完全控制了你的账户,甚至不需要持有你的私钥!
虽然MetaMask在签署eth_sign请求时,会显示风险警告,但与其他钓鱼技术相结合,没有安全经验的用户仍有可能落入这些陷阱。
3、事件和NFT睡眠铸币术
事件
事件是一种策略,子将BEP20代币随机转移给用户,并提示用户与之交互。问题是,即使子是转移代币的人,但从BscScan这样的区块链管理器,会显示资金来源是来自一个独立的钱包,比如Binance热钱包。然后,他们将被引诱与这些新的“免费”代币互动,通过显示代币名称或代码本身的链接,将用户引向钓鱼网站。这是对钓鱼技术的一个延伸。
Binance App即将上线子账户功能:金色财经消息,Binance官方宣布,子账户功能将于6月10日 00:00(UTC)在Binance App上可用,通过此次升级,用户可以在Binance App上访问资产管理子账户功能。[2022/6/9 23:02:44]
这种方法利用了区块链管理器显示事件的方式。
例如,这张来自BscScan的屏幕截图显示,CHI被从NullAddress发送到地址0x7aa3?
从代码的角度来看,这意味着在线发出转移(...)
msg.sender->Nulladdress(_from)
_to->0x7aa3
_value->294
然而,区块链管理器会盲目地使用发出事件的参数。如果_from地址被改为另一个地址,例如0xhashdit,那么BscScan将显示CHI从0xhashdit被发送到接收地址。注意:这并不是区块链管理器的特别错误,而更多的是更改参数的灵活性,因为BscScan无法确定参数是否准确。因此,子可以利用这一点,资金的来源。
请看我们的twitter帖子,这样一个例子!
https://twitter.com/HashDit/status/1557536292979855360
IMF批准FSB牵头推动全球加密货币监管:金色财经报道,金融稳定委员会 (FSB) 已获得国际货币基金组织(IMF)的批准,成为协调和制定加密货币监管标准的全球领导者。预计 10 月将向 G20 官员提交一份关于稳定币和其他加密资产监管和监督的 FSB 报告。[2022/9/27 22:34:37]
NFT睡眠铸币
基于普通的BEP20事件,子可以创造性地执行他们的局。NFT睡眠铸币是指子直接铸造NFT到著名创作者的钱包。然而,NFT代码有一个后门方法,者可以把NFT收回来。这就造成了这样的假象:(1)著名创作者真正为自己铸造了一个NFT;然后(2)将该NFT发送给了子。基于“链上”的来源,子可以声称他们拥有一个由著名的创作者铸造的NFT,并以更高的价值出售,在这个过程中伪造价值。
睡眠铸币的性来自一个事实,即你可以在事件日志中发出任何数据。人们会认为,如果用户发送交易来转移NFT,那么你的地址应该在事件日志中作为“来自”字段。然而,当者从一个著名的创造者那里收回睡眠铸币的NFT时,情况就不是这样了。子可以人为地将著名创作者的地址放在转移事件的“来自”字段中,从而完成错觉。
例如,我们可以看一下Beeple的账户,发现有几个NFT是铸给他的,但不完全是他铸的
4、庞氏局
在这些局中,通常没有真正的策略来赚取奖励或利润。本质上,整个计划使用新投资者的钱来支付老投资者。一旦没有更多的新钱进来支持这个计划,整个系统就会失败。
在加密货币庞氏局中,有几个明显的迹象:
首先,项目方收取税费,这些费用使用户在生态系统中保持更长的时间。?
由于每次质押/复利行动都会产生某种费用,这意味着用户必须复利更长的时间,才能达到收支平衡。这些费用也被用来偿还那些想要索赔的用户的红利。
第二,没有办法提取用户的初始投资资金。
一旦一个用户存入他们的初始代币,他就没有办法取回他的初始投资资金。用户要取回任何资金的唯一途径是索回红利。
原腾讯新闻负责人王诗沐将负责幻核等创新业务:金色财经消息,腾讯内部发文任命何毅进担任腾讯新闻业务负责人,兼任腾讯网总编辑,向公司副总裁曾宇汇报。原腾讯新闻负责人王诗沐将调任PCG“社交平台与应用线”,负责幻核等创新业务。
据悉,幻核是腾讯旗下的NFT交易软件,于2021年8月2日正式上线。(凤凰网)[2022/5/23 3:35:38]
第三种方式是使用推荐系统。
该项目鼓励参与者通过推荐人的利益来积极推广和推荐他人。当下线执行某些行动时,上线就会获得额外的奖励。此外,为了让用户开始参与协议,他必须有一个上线地址才能启动。这就创建了一个系统,其中每个地址都链接到另一个地址,类似于一个计划。拥有超过5个下线地址的人也会有更多的奖金。
人们会看到一个共同的主题,合约开始时锁定的资金急剧上升,通常是由团队通过营销或团队自己注入的资金产生的最初炒作所驱动。一旦合约的余额达到了一个拐点,这就意味着没有新的资金进入。这将慢慢导致该计划崩溃,新投资者恐慌,尽可能多地提取红利。
最后,单纯赚取税费的项目方将成为此类庞氏局项目的最大受益者。
5、CHIGas代币的养殖
ChiGas代币是1inch项目的一项举措,其中ChiGas代币是一种BEP20代币,是为了在1inch交易时使用,支付交易成本。Chi与该网络的GAS价格挂钩。当GAS价格低时,Chi价格也低,反之亦然。
子如何利用这一点是非常有趣的。首先,他们会随机空投一堆BEP20代币。当用户批准PancakeSwap出售这些代币时,在这些代币的批准方法中,会硬编码消耗大量用户的GAS限额来铸造ChiGas代币,可以用来补贴GAS费用,这些铸造的Chi?Gas代币就是子的利润。?
建议在一些空投代币中调用批准的功能前,注意审批交易中GAS费的消耗情况。
总的来说,不要随便碰空投给你的代币。
6、MEV/事件
加密术语
子使用“MEV”、“套利交易机器人”、“狙击手机器人”、“前端运行机器人”等加密术语,承诺每天获得几千美元的被动收入,吸引用户参与。这些产品通常在Twitter、Tiktok和区块链管理器等平台上进行推广。
通常,子会在帖子中附上一个视频链接,受害者被带到Youtube和Vimeo等视频托管平台。
?例子:
从本质上讲,视频引导用户使用RemixIDE部署他们的恶意代码,通常是在视频描述中的粘贴bin网址。
随着代码在链上的部署,用户将被告知接下来要准备一些本地资金,以执行“前期运行或套利”。视频将提示用户准备更多的本地资金,这样当你执行“前期运行或套利”操作时,你将能够获得更多的利润,以此用户。一旦用户将资金注入合约并“开始运行”,就不是像子声称的那样为他赚取利润,而是资金直接转给了子。
另一种相对较新的方式,是子提供一个CEX交易机器人的链接,如下截图:
系统将提示用户下载一个恶意文件,并按照相关说明进行操作。通常,想在Binance交易所自动交易的用户会有一个API密钥。这个局视频用户使用他们的交易机器人,并要求用户交出他们的API密钥和密码。一旦用户这样做,子就能够接收用户的凭证,并用用户的资金进行交易。
加密事件
在这种情况下,子还利用社交媒体散布加密货币交易所或项目等领域的知名人士正在进行赠送的虚假信息。
用户会被提示输入此链接,并被指示先“验证”他们的地址。为此,他们必须发送一些BTC或BNB到指定的地址,作为回报,他们将得到10倍的金额。与此同时,该网站显示了赠品的交易历史记录,以用户认为赠品是真实有效的。然而,实际上,一旦用户发送了加密货币,这些资金将会被子走,最终也不会得到任何奖励。?
很多时候,子可能会使用旧的视频,甚至不惜深度伪造一个受欢迎的人物,来用户,让他们以为这个人在代言和推广一个新的赠品。而实际上,这与事实相差甚远。?
这些案例中一个共同的相似点,在视频的评论区会有虚假的参与。这是为了从心理上用户,让他们认为这个交易机器人真的很有效。
另外,如果描述中出现这种情况,就赶紧跑吧。这是一个巨大的危险信号。?
结论
在加密货币这样一个去中心化的环境中,将继续增长,所以我们每个人都要对自己的安全负责,这是至关重要的。为了加强BNB链中用户的安全保障,Hashdit一直在与PancakeSwap和AvengerDAO等生态系统的参与者合作,以尽快发现局。在未来,我们将努力为BNB链上的协议用户和智能合约开发者建立一个安全的生态系统。
如果你觉得这篇文章有用,请在Twitter上分享并标记我们如果你希望我们也能报道任何局,请给我们留言!
请记住黄金法则:如果它好得不像真的,它可能就是真的。在那之前,请注意安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。