TOKE:世界杯来袭，欣赏”诸神最后一战“时更要提防风险局

作者：GoPlusSecurity

一、与世界杯相关的加密风险层出不穷

2022年卡塔尔世界杯即将到来，本届世界杯极大概率是梅西、C罗、本泽马、莫德里奇、莱万多夫斯基等人的最后一届世界杯。在”诸神最后一战“即将到来的时刻，各种区块链上与世界杯有关的局也层出不穷。

根据GoPlusToken检测引擎的数据统计显示，仅就最近一周出现的名称中存在“FIFA”或者“WorldCup”的有风险Token超过1000个，涉及地址超过16万个，累计流动性更是超过500万美金。

下面列表中包含了一些主要的风险类型：

与此同时，各种与世界杯相关的NFT也不断涌现，其中也包含了大量有严重风险的NFT。因此在世界杯狂欢之余，我们也不能对各类蹭热点的代币/NFT项目掉以轻心，合理运用便利的安全检测工具，保护好自身的加密资产。

二、用户可能遇到的Token风险介绍

Token风险多种多样，在世界杯期间更是可能集中爆发，在这里先介绍几种主要的且非常严重的风险。

国际足联宣布授权推出四款世界杯主题Web3游戏:11月13日，据国际足联（FIFA）官方网站消息，FIFA 已授权推出一系列新 Web 3.0 游戏，以在 2022 年卡塔尔世界杯 之前娱乐和吸引更广泛的球迷。据悉，本次推出的 Web3 游戏共计四款，分别为：元宇宙游戏 Uplandme、比赛预测游戏 Matchday、球迷粉丝中心 Phygtl 和 4 对 4 休闲足球游戏 Altered State Machine。FIFA 表示所有这些游戏都是为 Web 3.0 和数字参与的未来而设计的，游戏和电子竞技是 FIFA 增长最快的机会之一，FIFA 正在拓展到新的数字空间、平台和游戏。[2022/11/14 13:00:09]

1.貔貅代币

即合约中包含明确的恶意代码，导致用户无法交易或者资产损失的代币。

例如下面的Token就存在恶意代码。

如上图所示，该合约代码中所有相关功能都通过外部合约实现，例如所有holder的余额都存储一个外部合约中。这就意味着只要这个外部合约被换成一个新的，所有holder的余额将被直接清零。这就是一个有严重风险的恶意代码。

动态 | 世界杯概念币达59种 REP市值排名第一:据“哈希财经”统计，截至2018年7月15日，俄罗斯世界杯概念币种类达59种，总市值约10.75亿美元，REP排名第一位，市值约为3.08亿美元，FUN以1.19亿美元排名第二，WICC以6920万美元排名第三。币价方面，GNO以43.27美元排名第一位。募资方面，DDD以5200万美元排名第一位。世界杯期间币价最高价为SOC，在5月6日达到0.304美元。[2018/7/16]

2.可随时自毁的代币

合约自毁简单来说就是合约可被销毁，销毁后合约也不存在，合约对应的资产也将不复存在。说白了，就是合约没了，合约没了的话那么其对应Token也就没了，用户的相应资产也将直接消失。并且根据监测，合约中包含了自毁功能的代币，最后一般都会启动该功能。

例如下面的Token就存在自毁功能。

如上图所示，其代码中的“kill”function一旦启动，该合约就会自毁，其Token也就会消失。

2018世界杯领跌概念板块 跌幅为3.04%:数据显示，概念板块12涨9跌，2018世界杯领跌概念板块，跌幅为3.04%，板块内币种7涨11跌。其中WICC领涨，涨幅5%，暂报0.82美元；GUESS领跌，跌幅15.81%，暂报0.0049美元。[2018/6/17]

3.owner可修改余额

即代币合约中有功能可以使owner地址修改其他地址的该代币余额，且不需要经过受害地址的许可。

例如下面的Token就存在该问题，其owner地址可以修改其他地址的余额。

主要有问题的代码如上图所示，其owner地址可以把“adressfrom”的token直接分配给“address”中的地址，并且不需要经过用户的许可。

三、NFT风险介绍

除了Token以外，NFT也存在各种安全风险。根据相关安全机构的数据统计，众多NFT在合约层面都存在一定的安全隐患：

并且NFT很容易伪造，这就使得关于世界杯NFT局也可能快速增长。

为迎接2018世界杯 OKEx交易送1亿个CAI:OKEx将于香港时间6月13日11:00对用户账户中持有的OKB数量进行快照，持有100个#OKB# 及以上，且在6月6日11:00至6月13日11:00期间参与CAI交易的用户，根据OKB持有量占比，瓜分1亿个CAI。[2018/6/6]

在这里先介绍几种非常严重的NFT合约风险。

1.限制授权对象导致无法交易

一般是指除白名单以外的地址，无法向合约授权。因为去中心化NFT交易平台都需要合约授权，这就意味着用户将无法在去中心化交易所中交易该NFT。

这种局一般是项目方先让白名单中的地址去刷数据，用户会看到在交易平台上该NFT交易数据正常，以为可以交易。但是当用户买入想再卖出时，结果发现就无法交易了。

典型案例

上面的案例中，该NFT合约代码中存在要求，即授权对象不能是合约，而在opensea挂单需要向opensea的合约授权，因此这个nft就无法挂单了

火币Korea，选取30名用户参加俄罗斯世界杯:5月14日，虚拟货币交易所火币韩国站表示选取30是用户参加下月去俄罗斯参观世界杯。这次活动是在火币韩国站中交易量最多的15名；新入会员中选取进行过交易的15名用户；一共选取30名用户去俄罗斯。此次活动中不仅可以参观韩国对德国的比赛，并且还可以观光俄罗斯当地特色。[2018/5/14]

代码如下图所示。

上图中，只有_addressTransferToContract名单里的地址可以授权成功，不在这个名单里的地址给合约授权会失败。

2.不经授权转账

即NFT的owner可以不经授权直接把其他地址的该NFT转移到自己指定的地址上。

这个恶意手段一般有两种使用形式：

卖出NFT后直接转走

如下图所示，该NFT卖出后，直接就被转走。

之所以可以实现这种方式，就是因为其合约代码中设置了一个地址，这个地址有所有该NFT的授权。那么这个地址就可以随时直接把其他地址上的该NFT转走。如下图所示

伪造名人持有并转账过该NFT，使得该NFT获得所谓的名人背书

近期有很多用户反馈，就是有些NFT项目宣传某大V站台，并表明大V交易过，因此咨询我们项目的安全性。其实这就是“不经授权转账”的另一种具体模式。

其主要流程是这样的：

1.先把NFTmint给某公开的大V地址，该NFT合约代码中有不经授权转账的逻辑。

2.之后找到合适时机，把该NFT再从大V的地址转走。那么在链上就表现为大V的地址不仅持有还转账过NFT（特别是转账这一步有很强的迷惑性，普通用户可能会误认为大V真的交易过该NFT)。

3.之后项目方就可以以此宣传获得所谓的“大V背书”，进而用户。

四、作为用户，应该如何防御相关风险

首先，树立防范意识，基于自身情况，建立基本的防范措施

需要明确类似世界杯局一定会越来越多，一定要时刻注意。随着世界杯的进行，相关热度逐步提高，一定会有更多的局出现。除了与世界杯或者FIFA有关以外，还可能会有世界杯上的知名球星或热门事件相关的局。大家一定要时刻注意。

对于感兴趣的Token/NFT要慎重，先通过官网/社群/twitter等了解其基本情况。

对于别人推荐的token或者链接一定要小心，避免上当受。

以上几点注意事项其实并不复杂，但为什么攻击者却能屡屡得手？

一是因为攻击范围大，覆盖用户量大，总有漏网之鱼；二是利用了用户的急躁心态，引发用户恐慌，同时不给用户留出思考时间；三是用户可以缺少快速检测Token/NFT局的工具。

其次，要学会使用安全检测工具

针对Token/NFT中的各种局，需要在买入前提前使用相关检测工具检查，尽可能避免风险。

1.针对Token检测，可以使用GoPlus代币安全检测服务

GoPlus代币安全检测服务是目前覆盖代币数最多、检测项最全、检测结果最准的代币检测服务之一，目前其检测服务已经接入到TokenPocket、AveDex、Mask、Bitkeep等众多知名区块链产品中。

GoPluseco上的代币安全检测介绍页

打开后直接在页面中选择Token对应的公链，并输入地址，即可查看检测结果。

点击检测按钮后，即可出现全面的安全检测结果，包含了合约安全、貔貅风险、持有量与锁仓情况等数十项安全检测内容。

2.针对NFT检测，可以使用GoPlusNFT安全检测服务

GoPlusNFT安全检测服务是目前已经支持各项主要的NFT安全检测。其安全服务也已经被X2Y2等主要平台所使用。

GoPluseco上的GoPlusNFT介绍页

打开后直接在页面中选择NFT对应的公链，并输入地址，即可查看检测结果。

点击检测按钮后，即可出现全面的安全检测结果，包含了合约安全、NFT真伪性、交易信息等数十项安全检测内容。

3.直接在GoPluseco中输入地址进行搜索。

可以直接在GoPluseco中输入地址进行搜索，里面集成了Token与NFT的相关检测。

输入地址后，会检测该地址有无恶意行为，并提供相应的Token/NFT检测入口。

以上内容均来自GoPluseco，GoPluseco通过聚合行业内优质的安全应用或服务，为用户匹配最优的安全解决方案。遇到安全相关的问题时，不妨来GoPluseco问问，这里有问必答。

并且在世界杯期间，GoPluseco将提供世界杯安全主题页，提供能够检测世界杯相关Token、NFT和钓鱼网站的安全服务，保护大家的资产安全。

标签：NFTTOKETOKTOKENUNFTKKGame TokenupbtctokenLUXETOKEN

加密货币热门资讯