月亮链 月亮链
Ctrl+D收藏月亮链

NFT:揭秘2022年六大加密术_CrownSterling

作者:

时间:1900/1/1 0:00:00

本文来自币安安全合作伙伴?HashDit,原文作者:SebastianLim

自去年起,加密案件就屡增不减。据CNBC报道,?2021?年,加密损失超过?10?亿美元,其中最常见的类型包括虚假投资和杀猪盘。而到了2022?年,加密的手法更加让人眼花缭乱。

以下是?2022?年最常见的六种加密局。

?1.?网络钓鱼链接

网络钓鱼是?Web2?中子常用的一种手法。子创建一个恶意网站,然后大量发送链接给他们的受害者。在这里,我们将主要关注子窃取私钥的方法。

在?Web3?中,子通常通过不同的媒介将他们的钓鱼链接发送到?Web3?社区,如Discord、Twitter、Telegram,甚至是链上。

钓鱼网站通常与真正的网站非常相似,但使用不同的?URL?名称。网站内容可能是新的?Giveaway?或?NFT?免费铸造,子利用投资者的FOMO?心理将用户玩弄于股掌之中。

他们可以明目张胆地要求用户提供他们的助记词或私钥。例如,在社交媒体上联系用户,以钱包软件支持服务的身份联系用户,并以交易所支持的身份直接发送信息,窃取用户私钥。

另一种方法是,子会开发类似于?Metamask?等合法插件的?Chrome?扩展。通过模拟真实的应用程序,让用户放松警惕,提供自己的私钥来使用新应用程序。

子会试图让用户认为现有的应用程序有一个新的漏洞,并且有新的软件升级。如子试图让用户以为当前的?Metamask?版本存在漏洞,用户应该升级到新版本。然后在消息中宣称新的升级还没有完成,必须手动进行升级。随后,子会给出一组指令,诱用户提供?Metamask?密码,从而将其私钥暴露给子。

数据:Derbit ETH波动指数降至31.32,创2021年3月以来新低:8月13日消息,Derbit数据显示,ETH指数当前15天历史(年度)波动率降至20.48%,创两年来新低。此外ETH波动指数(DVOL)也降至31.32,创2021年3月以来新低。[2023/8/13 16:23:51]

在这种情况下,用户应该继续等待?Metamask?的官方公告,并从官方来源升级他们的?Metamask?版本。

要升级扩展,只需转到?chrome://extensions/,单击更新按钮,如下图。

友情提醒:正常的应用程序升级不需要用户提供登录凭证等敏感信息。

?2.?Ice-Phishing?局

IcePhishing?是一种用户签署交易的策略,攻击者可以控制用户的代币,但又不获取用户的私钥。这是网络钓鱼技术的新手段。

在某些背景下,当用户使用?DeFi?应用程序并与主代币标准交互时,批准方法会显示在他们的?Metamask?窗口中。这是用户向第三方授权以代表该用户对这些代币进行操作的请求。之后,用户可以执行其他操作,如执行交易。

攻击者会将用户引导到钓鱼网站,诱使他们签署一些他们没有申请的交易。例如,交互的合约可能是攻击者的地址。一旦批准交易完成,攻击者就有权将代币从受害者的钱包中转出。

通常,网站有一种算法来扫描受害者的钱包,目的是检测有价值的资产,如昂贵的?BAYCNFT?或?wBTC/wETH?等加密货币。通常,网站会不断显示?Metamask?窗口,提示用户签署另一笔交易,即使他们可能已经签署了一次。

1INCH、ENS添加至以太坊上AaveV3市场的ARFC提案已获投票通过:5月22日消息,Snapshot投票页面显示,Aave社区关于将1INCH、ENS添加至以太坊上AaveV3市场的两项ARFC提案分别以99.96%、83.78%的支持率获得投票通过,接下来,两项提案将进行AIP提案投票。[2023/5/22 15:18:15]

防止成为?IcePhishing?受害者的另一种方法是远离签署?eth_sign交易。通常如图所示:

eth_sign?是一种开放式签名方法,允许对任意哈希进行签名,它可以用于对不明确的交易或任何其他数据进行签名,这是一种危险的网络钓鱼类型。

这里的任意哈希意味着对“批准”或“批准一切”等操作保持警惕还不够,子可以让你签署原生代币转移或合约调用等交易。子几乎可以完全控制你的帐户,而不用持有你的私钥。

尽管?MetaMask?在签署?eth_sign?请求时会显示风险警告,但当与其他网络钓鱼技术结合时,没有安全经验的用户仍有可能落入这些陷阱。

?3.?Event?手法?&NFTSleepMinting

Event?手法

Event?是子将随机的?BEP?20?代币转移给用户的策略,并提示用户与之交互。即使子是从?BscScan?等区块链浏览器转移代币,它也会显示资金来源来自一个单独的钱包,例如币安热钱包。然后,用户将被诱与这些新的“免费”代币进行交互,通过在代币名称或代码本身中显示链接,可以将用户引导到钓鱼网站。这是网络钓鱼技术的新手段。

火必已联合Gala Games将对pGALA增发攻击事件受损用户进行赔偿:4月3日消息,火必发布官方公告,宣布已与Gala Games协商完成pGALA增发攻击事件受损用户赔偿计划,赔偿金额达5000万美金。公告显示,本次赔付将由火必与Gala Games共同承担,其中火必为受损用户提供2500万美金等额现金和权益作为补偿,包括:1500万USDT及1000万等值权益补偿;同样,Gala Games将为受损用户提供2500万美金等值的节点补偿,上述赔偿计划将于本周内启动。

据悉,pGALA事件源于pNetwork协同黑客在BSC链上利用跨链桥漏洞增发10亿美金等值的天量pGALA,并从流动池内抛售并提现,累计获利预计超千万美金。受链上币价大跌及pNetwork故意隐瞒该信息恶意套利的影响,致使Gala Games及火必在内的诸多第三方蒙受巨大损失。除上述赔偿计划,目前火必已与Gala Games达成共识,将通过法律途径对pNetwork进行联合起诉追缴。[2023/4/3 13:41:37]

这种方法利用了区块链浏览器显示?Event?的方式。

例如,这张来自?BscScan?的截图显示?CHI?从?NullAddress?发送到地址?0x7aa3……

元宇宙游戏开发工作室Flying Sheep Studios完成约120万美元融资:金色财经报道,iCandy Interactive (iCandy)子公司、元宇宙游戏开发工作室Flying Sheep Studios完成约120万美元融资,德国联邦经济事务和气候行动部参投,旨在构建基于NFT的免费社交大型多人在线元宇宙游戏《Star Life》。Flying Sheep Studios于2014年成立于德国科隆,使用HTML5构建元宇宙手游并与乐高、芭比娃娃和梦工厂等品牌达成合作关系。(vulcanpost)[2023/3/20 13:15:18]

区块链浏览器将盲目地使用?emit?event的参数。如果_from?地址被更改为另一个地址,例如?0xhashdit,那么?BscScan?将显示从?0xhashdit发送到接收地址的?CHI。

注意:这并不是区块链浏览器特有的?bug,而是更改参数的灵活性,因为?BscScan?不能确定参数是否准确。因此,子可以利用这一点来代币的来源。

NFTSleepMinting

NFTSleepMinting?是指子直接在著名创作者的钱包里铸造?NFT,并从创作者的钱包中回收?NFT。a16z?在?3?月的时候发文解释改?NFT?新术。

NFTSleepMinting?创造了一种假象:

著名的创作者为自己铸造了一个?NFT;

将?NFT?发送给子。

根据“链上”的来源,子可以声称自己拥有由著名创作者铸造的?NFT,并以更高的价格出售,在这个过程中伪造价值。

例如,从Beeple?的账户中可观察到他的几个?NFT?不是由他铸造的。

4.加密庞氏局

美国2年期国债收益率攀升至3.45%,为2007年11月以来最高:8月29日消息,美国2年期国债收益率攀升至3.45%,为2007年11月以来最高。(财联社)[2022/8/29 12:55:20]

庞氏局使用新投资者的钱支付给老投资者。一旦没有更多的新资金来支持这个计划,整个系统就会崩溃。

加密庞氏局有几个标志:

首先,项目方收取税费,这些税费可以让用户在生态系统中停留更长时间。

由于每次存款/复利操作都会产生某种费用,这意味着用户必须复利较长一段时间才能收支平衡。这些费用还用于偿还希望索赔的用户的红利。

第二,无法提取用户的初始投资资金。

一旦用户存入了他们的初始代币,他就没有办法提取他的初始投资资金。用户要拿回任何资金的唯一方法是收回股息。

第三,使用介绍人机制。

该项目鼓励参与者通过推荐人福利积极推广和推荐他人。每当下线执行特定的操作时,上线将获得额外的奖励。此外,为了让用户开始参与协议,他必须有一个上行地址才能开始。这创建了一个系统,每个地址都连接到另一个地址,类似于金字塔奖励方案。拥有?5?个以上的下线地址也会增加奖金。

常见的方式是一开始就锁定在合约中的资金急剧增加,通常是由团队通过营销进行的初始炒作或团队自己为创造活动而注入的资金推动的。一旦合约余额达到拐点,这意味着没有新的资金流入。这将慢慢导致该计划分崩离析,新投资者恐慌地尽可能多地收回股息。

最终,仅赚取税费的项目方将是此类庞氏局项目的最大受益者。

5.CHIGasTokenfarming

CHIGasToken?是?1inch项目的一个方案,其中?CHIGas?Token?是一个?BEP20?代币,用于?1inch?交易所支付交易成本。CHI?与该网络的?gas?价格挂钩。当?gas?价格低时,CHI?价格也低,反之亦然。

子首先会空投一堆随机的?BEP20?代币。当用户批准?PancakeSwap?出售这些代币时,在这些代币的批准方法中,它将代码写死,从而消耗大量用户的?gas?限制来铸造?CHIGas?Token,可以用来补贴?gas?费,铸造的?CHIGas?Token?则是子的利润。

建议在某些空投代币中调用?approve?函数之前,注意审批交易中的?gas?费消耗情况。一般来说,不要碰空投给你的随机代币。

6.MEV局&虚假名人局

MEV?局

子会利用?MEV、套利交易机器人、狙击机器人、抢跑机器人等加密工具,承诺每天能获得几千美元的被动收入,吸引用户参与。这些通常在推特、TikTok和区块链浏览器等平台上推广。

通常,子会在帖子上附加一个视频链接,将上当的用户引流到?Youtube?和?Vimeo?等视频托管平台。

视频将引导用户使用?RemixIDE?部署他们的恶意代码,子将在视频描述中的?pastebin?URL?中提供恶意代码。

当恶意代码部署在链上后,用户将被指示下一步准备一些本地资金来执行“抢跑或套利交易”。视频会提示用户准备更多的原生资金,这样当你执行“抢跑或套利交易”操作时,你就能获得更多的利润,从而用户。一旦用户将资金注入到合约中并“开始抢跑交易”,资金将直接转移到子手中,而不是像子声称的那样赚取利润,

另一种相对较新的方式是子提供?CEX?交易机器人的链接,如下图。

系统会提示用户下载恶意文件并按照提示操作。通常,想要在币安交易所自动交易的用户会有一个?API?私钥。这个视频诱用户使用他们的交易机器人,并要求用户放弃他们的?API?私钥和密码。一旦用户从而入套,子将能够在他们的终端接收用户的凭证,并使用用户的资金进行交易。

虚假名人局

子还利用社交媒体,传播加密交易所或项目等领域知名玩家正在进行?Giveaway?的虚假信息。

用户将被提示进入这个链接,并被指示先“验证”他们的地址。为此,他们必须向指定地址发送一些比特币或?BNB,并将得到?10?倍回报。与此同时,该局网站显示了?Giveaway?记录的交易历史,让用户相信?Giveaway?是真实且有效。然而在现实中,一旦用户发送加密货币,代币就进入子口袋,最终也不会收到任何奖励。

通常情况下,子可能会利用旧视频,甚至采取伪造知名人物的手段,让用户认为这个人是在支持和推广一个新的?Giveaway,但实际上并不存在。

这些案例的一个共同点是,视频的评论区会出现虚假的评论。这是在心理上用户,让他们相信这个交易机器人真的很好用。

如果下图出现在描述中,请打起十二分警惕。

总结

在Crypto这样的去中心化环境中,局只会只增不减。因此,对我们每个人来说,对自己的资产安全负责至关重要。

记住黄金法则:如果一件事太完美,那它很可能就有问题。

标签:NFTINGGALAGALMusician Worlds NFTCrownSterlingGALAXY币MetaGalaxy

以太坊交易热门资讯
以太坊:共识层反向扩容新叙事 如何“借用”ETH的安全性?_PlayersOnly

作者:DavidShuttleworth?EigenLayer是一种建立在以太坊之上的协议,它引入了关于加密经济安全的一种名为重新质押的新原语.

1900/1/1 0:00:00
FTX:律师观点:华语区受害者和机构跨国追偿中的难点和解决方案_TER

身边多少人,只用了2-3年时间,完成了人生的巨大蜕变:从lowestoflowest,到highestofhighest-从中关村创业大街,到曼哈顿上的华尔街-他们曾经是媒体上的nobody.

1900/1/1 0:00:00
WEB:Web3 浏览器:去中心化世界的必备工具_pera币创始人

Web服务软件程序可以通过互联网启用计算机之间的通信,Web服务通常采用应用程序编程接口的形式。从某种角度上来说,Web是可以在线访问的相关超文本材料的集合.

1900/1/1 0:00:00
COI:金色午报 | 12月1日午间重要动态一览_rbase.finance

7:00-12:00关键词:TheBlock、Chainlink、JumpTrading、Coinbase1.SBF承诺将接受TheBlock专访;2.

1900/1/1 0:00:00
UNI:Uniswap稳坐DEX龙头4年后 下一个增长点在哪里?_DEX

原文:《ExpandingUniswap&#?39?;sAddressableMarket》byAshuPareek、KentrellKey编译:Wendy观点提炼为了继续保持目前的增长.

1900/1/1 0:00:00
区块链:一文详解三大模块化区块链方案:Celestia、Dymension 与 Fuel_FUEL

撰写:KadeemClarke区块链一直在发展,每次迭代都试图解决区块链去中心化、可扩展性和安全性的三难困境.

1900/1/1 0:00:00