早在2021年,加密货币局是一个不断增长的攻击载体,受害者投资加密货币领域。据CNBC报道,2021年,加密货币局所损失超过10亿美元,其中最常见的类型包括虚假投资和浪漫局。
从那时起,2022年就表明,子们越来越有创造力。
作为保障BNB链生态系统安全的领导者,我们有责任确保BNB链生态系统总是比这些子领先一步,从而确保系统中用户的安全。以下是今年最流行的局:
1、钓鱼网站链接
钓鱼网站已经是Web2中子们常用的技术,这是因为子们可以直接创建一个恶意网站,随后将大量链接发给受害者。在这里,我们将主要关注子们试图窃取你的私钥的方法。?
在Web3中,子通常通过Web3社区所在的不同媒介发送他们的钓鱼网站链接,如Discord、Twitter、Telegram,甚至是链上的链接。
钓鱼网站通常看起来像真正的网站,但有不同的网址名称。它们可以是关于一个新的赠品或NFT前期活动,基本上是任何能让用户感到兴奋而不直接思考的情况。子利用了用户的情绪不稳定性。
他们可以明目张胆地要求用户提供他的种子短语或私钥。例如,在社交媒体上联系用户,以钱包软件支持的名义伸出援手,并直接使用信息作为交换支持,直接窃取用户的私钥。
另一种方式是,子会开发看起来与合法软件类似的chrome扩展程序,如Metamask。通过模拟真正的应用程序,用户往往会放松警惕,并提供他们的私钥来使用新的应用程序。
我们注意到一个有趣的策略,子也会试图用户,让他们以为现有的应用程序有一个新的错误/漏洞,并且有一个新的软件升级。我们发现一个子,试图用户以为当前的Metamask版本有错误,用户应该升级到新版本。子在信息中宣称,新的升级版还没有出来,所以这次升级必须要手动完成。随后,给出一套指令,目的是用户提供他的metamask密码,从而将他的私钥暴露给子。
达世币(DASH)减半倒计时:预计还有8天:金色财经报道,据Tokenview数据显示,距离达世币(DASH)2023减半还有8天。减半时间预计发生在2023-06-23。届时将区块奖励从2.76371046 DASH减少到2.56630257 DASH。[2023/6/14 21:35:25]
在这种情况下,用户应该始终等待Metamask的官方公告,并从官方渠道升级其Metamask版本。
要升级扩展,只需前往chrome://extensions/,点击更新按钮。
这将相应地更新你的所有扩展。
一个友好的提醒:
正常的应用程序升级不会要求用户提供敏感信息,如登录凭证。
2、Ice-Phishing
这是一种策略,用户被签署一项交易,使攻击者控制用户的代币,而不泄露私钥。这是网络钓鱼技术的一个延伸。
对于某些背景,当用户使用DeFi应用程序并与主要的代币标准交互时,批准方法会显示在他们的metamask窗口。这是一个要求用户将授权委托给第三方,代表该用户对这些代币进行处理。然后,用户可以执行其他操作,如执行交换。
攻击者会引导用户进入该网络钓鱼网站,并诱使他们签署一些他们没有要求的交易。例如,有交互作用的合约甚至可能不是合约,而是攻击者的地址。一旦批准交易完成,攻击者就有权从受害者的钱包中转移资金。
通常,网站有一个算法来扫描受害者的钱包,以检测有价值的资产,如昂贵的BAYCNFT或WBTC和WETH等加密货币。通常情况下,该网站会不断显示metamask窗口,提示用户签署另一笔交易,尽管他们可能已经签署过一次。
数据:某地址近两日卖出约786万美元的AGIX,并买入约187万美元的GPT:3月27日消息,据Lookonchain监测,昨日至今日,某巨鲸地址在DEX上以0.44美元的均价以786万枚USDT卖出了1780万枚AGIX,并在DEX上用187万枚USDT以0.09美元的均价买入2034万枚GPT。[2023/3/27 13:28:44]
另一种防止成为Ice-Phishing的受害者的方法是避免签署eth_sign交易。它们通常看起来是这样的:
eth_sign方法是一种开放式的签署方法,允许签署任意的哈希值,这意味着它可以用来签署不明确的交易,或任何其他数据,使其成为一种危险的网络钓鱼风险。
这里的任意哈希值意味着,通常怀疑批准或批准所有方法并不是唯一可能的方法,子可以让你签署像原生代币转移或合约调用这样的交易。从本质上讲,几乎完全控制了你的账户,甚至不需要持有你的私钥!
虽然MetaMask在签署eth_sign请求时,会显示风险警告,但与其他钓鱼技术相结合,没有安全经验的用户仍有可能落入这些陷阱。
3、事件和NFT睡眠铸币术
事件
事件是一种策略,子将BEP20代币随机转移给用户,并提示用户与之交互。问题是,即使子是转移代币的人,但从BscScan这样的区块链管理器,会显示资金来源是来自一个独立的钱包,比如Binance热钱包。然后,他们将被引诱与这些新的“免费”代币互动,通过显示代币名称或代码本身的链接,将用户引向钓鱼网站。这是对钓鱼技术的一个延伸。
这种方法利用了区块链管理器显示事件的方式。
例如,这张来自BscScan的屏幕截图显示,CHI被从NullAddress发送到地址0x7aa3?
中东加密货币交易所Rain Financial再次裁员:9月1日消息,中东加密货币交易所Rain Financial进行了一轮裁员,不过未披露具体裁员人数。Rain Financial表示,“我们不得不调整未来计划,来确保我们能够度过这次低迷。”(彭博社)
此前消息,6月份,Rain Financial因市场疲软已裁员数十名员工。[2022/9/1 13:02:32]
从代码的角度来看,这意味着在线发出转移(...)
msg.sender->Nulladdress(_from)
_to->0x7aa3
_value->294
然而,区块链管理器会盲目地使用发出事件的参数。如果_from地址被改为另一个地址,例如0xhashdit,那么BscScan将显示CHI从0xhashdit被发送到接收地址。注意:这并不是区块链管理器的特别错误,而更多的是更改参数的灵活性,因为BscScan无法确定参数是否准确。因此,子可以利用这一点,资金的来源。
请看我们的twitter帖子,这样一个例子!
https://twitter.com/HashDit/status/1557536292979855360
跨链预言机解决方案SupraOracles与去中心化社交媒体和娱乐平台Koraplay达成合作:据官方消息,跨链预言机解决方案SupraOracles宣布与去中心化社交媒体和娱乐平台Koraplay达成合作。据悉,用户可以在Koraplay中创建并分享内容,同时赚取加密货币。
SupraOracles将在Koraplay上线后协助其最大化代币的可扩展性。作为合作关系的一部分,Koraplay将在社区中推广SupraOracles,并将研究联合品牌的可能性。SupraOracles也将帮助Koraplay进行其平台的Beta测试。[2022/7/14 2:12:54]
NFT睡眠铸币
基于普通的BEP20事件,子可以创造性地执行他们的局。NFT睡眠铸币是指子直接铸造NFT到著名创作者的钱包。然而,NFT代码有一个后门方法,者可以把NFT收回来。这就造成了这样的假象:(1)著名创作者真正为自己铸造了一个NFT;然后(2)将该NFT发送给了子。基于“链上”的来源,子可以声称他们拥有一个由著名的创作者铸造的NFT,并以更高的价值出售,在这个过程中伪造价值。
睡眠铸币的性来自一个事实,即你可以在事件日志中发出任何数据。人们会认为,如果用户发送交易来转移NFT,那么你的地址应该在事件日志中作为“来自”字段。然而,当者从一个著名的创造者那里收回睡眠铸币的NFT时,情况就不是这样了。子可以人为地将著名创作者的地址放在转移事件的“来自”字段中,从而完成错觉。
例如,我们可以看一下Beeple的账户,发现有几个NFT是铸给他的,但不完全是他铸的
4、庞氏局
在这些局中,通常没有真正的策略来赚取奖励或利润。本质上,整个计划使用新投资者的钱来支付老投资者。一旦没有更多的新钱进来支持这个计划,整个系统就会失败。
在加密货币庞氏局中,有几个明显的迹象:
首先,项目方收取税费,这些费用使用户在生态系统中保持更长的时间。?
由于每次质押/复利行动都会产生某种费用,这意味着用户必须复利更长的时间,才能达到收支平衡。这些费用也被用来偿还那些想要索赔的用户的红利。
Immutable X宣布更新品牌:6月17日消息,Immutable X宣布更新品牌,其使命是与StarkWare合作,通过Immutable X和Immutable Games Studio推动下一代Web3游戏发展,使数字世界成为现实。Immutable已经发布新品牌Logo和全新网站。[2022/6/17 4:34:38]
第二,没有办法提取用户的初始投资资金。
一旦一个用户存入他们的初始代币,他就没有办法取回他的初始投资资金。用户要取回任何资金的唯一途径是索回红利。
第三种方式是使用推荐系统。
该项目鼓励参与者通过推荐人的利益来积极推广和推荐他人。当下线执行某些行动时,上线就会获得额外的奖励。此外,为了让用户开始参与协议,他必须有一个上线地址才能启动。这就创建了一个系统,其中每个地址都链接到另一个地址,类似于一个计划。拥有超过5个下线地址的人也会有更多的奖金。
人们会看到一个共同的主题,合约开始时锁定的资金急剧上升,通常是由团队通过营销或团队自己注入的资金产生的最初炒作所驱动。一旦合约的余额达到了一个拐点,这就意味着没有新的资金进入。这将慢慢导致该计划崩溃,新投资者恐慌,尽可能多地提取红利。
最后,单纯赚取税费的项目方将成为此类庞氏局项目的最大受益者。
5、CHIGas代币的养殖
ChiGas代币是1inch项目的一项举措,其中ChiGas代币是一种BEP20代币,是为了在1inch交易时使用,支付交易成本。Chi与该网络的GAS价格挂钩。当GAS价格低时,Chi价格也低,反之亦然。
子如何利用这一点是非常有趣的。首先,他们会随机空投一堆BEP20代币。当用户批准PancakeSwap出售这些代币时,在这些代币的批准方法中,会硬编码消耗大量用户的GAS限额来铸造ChiGas代币,可以用来补贴GAS费用,这些铸造的Chi?Gas代币就是子的利润。?
建议在一些空投代币中调用批准的功能前,注意审批交易中GAS费的消耗情况。
总的来说,不要随便碰空投给你的代币。
6、MEV/事件
加密术语
子使用“MEV”、“套利交易机器人”、“狙击手机器人”、“前端运行机器人”等加密术语,承诺每天获得几千美元的被动收入,吸引用户参与。这些产品通常在Twitter、Tiktok和区块链管理器等平台上进行推广。
通常,子会在帖子中附上一个视频链接,受害者被带到Youtube和Vimeo等视频托管平台。
?例子:
从本质上讲,视频引导用户使用RemixIDE部署他们的恶意代码,通常是在视频描述中的粘贴bin网址。
随着代码在链上的部署,用户将被告知接下来要准备一些本地资金,以执行“前期运行或套利”。视频将提示用户准备更多的本地资金,这样当你执行“前期运行或套利”操作时,你将能够获得更多的利润,以此用户。一旦用户将资金注入合约并“开始运行”,就不是像子声称的那样为他赚取利润,而是资金直接转给了子。
另一种相对较新的方式,是子提供一个CEX交易机器人的链接,如下截图:
系统将提示用户下载一个恶意文件,并按照相关说明进行操作。通常,想在Binance交易所自动交易的用户会有一个API密钥。这个局视频用户使用他们的交易机器人,并要求用户交出他们的API密钥和密码。一旦用户这样做,子就能够接收用户的凭证,并用用户的资金进行交易。
加密事件
在这种情况下,子还利用社交媒体散布加密货币交易所或项目等领域的知名人士正在进行赠送的虚假信息。
用户会被提示输入此链接,并被指示先“验证”他们的地址。为此,他们必须发送一些BTC或BNB到指定的地址,作为回报,他们将得到10倍的金额。与此同时,该网站显示了赠品的交易历史记录,以用户认为赠品是真实有效的。然而,实际上,一旦用户发送了加密货币,这些资金将会被子走,最终也不会得到任何奖励。?
很多时候,子可能会使用旧的视频,甚至不惜深度伪造一个受欢迎的人物,来用户,让他们以为这个人在代言和推广一个新的赠品。而实际上,这与事实相差甚远。?
这些案例中一个共同的相似点,在视频的评论区会有虚假的参与。这是为了从心理上用户,让他们认为这个交易机器人真的很有效。
另外,如果描述中出现这种情况,就赶紧跑吧。这是一个巨大的危险信号。?
结论
在加密货币这样一个去中心化的环境中,将继续增长,所以我们每个人都要对自己的安全负责,这是至关重要的。为了加强BNB链中用户的安全保障,Hashdit一直在与PancakeSwap和AvengerDAO等生态系统的参与者合作,以尽快发现局。在未来,我们将努力为BNB链上的协议用户和智能合约开发者建立一个安全的生态系统。
如果你觉得这篇文章有用,请在Twitter上分享并标记我们如果你希望我们也能报道任何局,请给我们留言!
请记住黄金法则:如果它好得不像真的,它可能就是真的。在那之前,请注意安全。
据MarsBit统计,11月19日至11月25日期间,加密市场共发生15笔投融资事件,其中基础设施领域2笔、DeFi领域2笔、链游和NFT领域5笔、Web3领域3笔.
1900/1/1 0:00:00MarsBitCryptoDaily2022年12月19日一、?今日要闻Delphi研究员:特朗普NFT系列团队被质疑私自铸造了1000枚NFTDelphiResearch研究员TengYan转.
1900/1/1 0:00:00随着FTX事件的波澜逐渐褪去,加密行业的注意力重新回到了发展与建设中来。过去一个月市场的接连暴雷,动摇了许多从业者的目标和信心,过去在大家心中的「绝对权威」都倒下了,还有谁愿意支持Web3的发展.
1900/1/1 0:00:00MarsBitCryptoDaily2022年12月16日一、?今日要闻以太坊域名服务ENS推出官方商店ENSMerchStore以太坊域名服务ENS宣布推出官方商店ENSMerchStore.
1900/1/1 0:00:0011月39日,Uniswap正式宣布上线了NFT交易市场,也是DeFi领域与NFT领域逐渐融合的一个标志性事件.
1900/1/1 0:00:0012月1日21:00,由NFTERA及香港数码港主办,香港立法会议员吴杰庄、NanoLabs创始人Jack孔共同发起,CrossSpace联创Leon、Marsbit联创商思林主持的“对话港府.
1900/1/1 0:00:00