早在2021年,加密货币局是一个不断增长的攻击载体,受害者投资加密货币领域。据CNBC报道,2021年,加密货币局所损失超过10亿美元,其中最常见的类型包括虚假投资和浪漫局。
从那时起,2022年就表明,子们越来越有创造力。
作为保障BNB链生态系统安全的领导者,我们有责任确保BNB链生态系统总是比这些子领先一步,从而确保系统中用户的安全。以下是今年最流行的局:
1、钓鱼网站链接
钓鱼网站已经是Web2中子们常用的技术,这是因为子们可以直接创建一个恶意网站,随后将大量链接发给受害者。在这里,我们将主要关注子们试图窃取你的私钥的方法。?
在Web3中,子通常通过Web3社区所在的不同媒介发送他们的钓鱼网站链接,如Discord、Twitter、Telegram,甚至是链上的链接。
钓鱼网站通常看起来像真正的网站,但有不同的网址名称。它们可以是关于一个新的赠品或NFT前期活动,基本上是任何能让用户感到兴奋而不直接思考的情况。子利用了用户的情绪不稳定性。
他们可以明目张胆地要求用户提供他的种子短语或私钥。例如,在社交媒体上联系用户,以钱包软件支持的名义伸出援手,并直接使用信息作为交换支持,直接窃取用户的私钥。
另一种方式是,子会开发看起来与合法软件类似的chrome扩展程序,如Metamask。通过模拟真正的应用程序,用户往往会放松警惕,并提供他们的私钥来使用新的应用程序。
我们注意到一个有趣的策略,子也会试图用户,让他们以为现有的应用程序有一个新的错误/漏洞,并且有一个新的软件升级。我们发现一个子,试图用户以为当前的Metamask版本有错误,用户应该升级到新版本。子在信息中宣称,新的升级版还没有出来,所以这次升级必须要手动完成。随后,给出一套指令,目的是用户提供他的metamask密码,从而将他的私钥暴露给子。
okayjawn.eth抛售512.4万枚LOOKS质押,LOOKS下跌超7%:金色财经报道,据Spot on Chain监测,okayjawn.eth在30分钟前以0.051美元的平均价格取消了512.4万枚LOOKS的质押,并以26.2万枚USDT的价格全部抛售,使得LOOKS价格暴跌了7%以上。
从5月16日到7月25日,他以平均0.064美元的价格买入了 506.9万枚LOOKS(32.45万美元) ,在这次交易中损失了 6.21万美元。[2023/8/1 16:10:54]
在这种情况下,用户应该始终等待Metamask的官方公告,并从官方渠道升级其Metamask版本。
要升级扩展,只需前往chrome://extensions/,点击更新按钮。
这将相应地更新你的所有扩展。
一个友好的提醒:
正常的应用程序升级不会要求用户提供敏感信息,如登录凭证。
2、Ice-Phishing
这是一种策略,用户被签署一项交易,使攻击者控制用户的代币,而不泄露私钥。这是网络钓鱼技术的一个延伸。
对于某些背景,当用户使用DeFi应用程序并与主要的代币标准交互时,批准方法会显示在他们的metamask窗口。这是一个要求用户将授权委托给第三方,代表该用户对这些代币进行处理。然后,用户可以执行其他操作,如执行交换。
攻击者会引导用户进入该网络钓鱼网站,并诱使他们签署一些他们没有要求的交易。例如,有交互作用的合约甚至可能不是合约,而是攻击者的地址。一旦批准交易完成,攻击者就有权从受害者的钱包中转移资金。
通常,网站有一个算法来扫描受害者的钱包,以检测有价值的资产,如昂贵的BAYCNFT或WBTC和WETH等加密货币。通常情况下,该网站会不断显示metamask窗口,提示用户签署另一笔交易,尽管他们可能已经签署过一次。
某鲸鱼在过去3.5小时内从Binance重新积累了472万枚的OP:金色财经报道,据Spot On Chain监测,某聪明鲸鱼在过去3.5小时内以1.45美元的价格从Binance重新积累了472万枚的OP,价值685万美元。该鲸鱼曾在68天内(2022 年 11 月至 2023 年 1 月)从 250 万美元的OP交易中赚取321万美元(投资回报率:142.4%)。[2023/6/5 21:17:06]
另一种防止成为Ice-Phishing的受害者的方法是避免签署eth_sign交易。它们通常看起来是这样的:
eth_sign方法是一种开放式的签署方法,允许签署任意的哈希值,这意味着它可以用来签署不明确的交易,或任何其他数据,使其成为一种危险的网络钓鱼风险。
这里的任意哈希值意味着,通常怀疑批准或批准所有方法并不是唯一可能的方法,子可以让你签署像原生代币转移或合约调用这样的交易。从本质上讲,几乎完全控制了你的账户,甚至不需要持有你的私钥!
虽然MetaMask在签署eth_sign请求时,会显示风险警告,但与其他钓鱼技术相结合,没有安全经验的用户仍有可能落入这些陷阱。
3、事件和NFT睡眠铸币术
事件
事件是一种策略,子将BEP20代币随机转移给用户,并提示用户与之交互。问题是,即使子是转移代币的人,但从BscScan这样的区块链管理器,会显示资金来源是来自一个独立的钱包,比如Binance热钱包。然后,他们将被引诱与这些新的“免费”代币互动,通过显示代币名称或代码本身的链接,将用户引向钓鱼网站。这是对钓鱼技术的一个延伸。
这种方法利用了区块链管理器显示事件的方式。
观点:若与CFTC的和解金为10亿美元,只是币安一个月的收入:金色财经报道,Primitive Ventures CEO DoveyWan在推文中表示,如果币安与CFTC的和解金为10亿美元,这只是币安一个月的收入。DoveyWan写道:“摩根大通因不当行为和市场操纵支付了有史以来最大的9.2亿美元的CFTC罚款,我认为Binance可以超过,只是使用10亿美元作为假设数字”。
CFTC在其诉讼文件中提到,截至2021年5月份,币安来自衍生品交易业务的月收入达到11.4亿美元。[2023/3/28 13:29:40]
例如,这张来自BscScan的屏幕截图显示,CHI被从NullAddress发送到地址0x7aa3?
从代码的角度来看,这意味着在线发出转移(...)
msg.sender->Nulladdress(_from)
_to->0x7aa3
_value->294
然而,区块链管理器会盲目地使用发出事件的参数。如果_from地址被改为另一个地址,例如0xhashdit,那么BscScan将显示CHI从0xhashdit被发送到接收地址。注意:这并不是区块链管理器的特别错误,而更多的是更改参数的灵活性,因为BscScan无法确定参数是否准确。因此,子可以利用这一点,资金的来源。
3月11日MetaMaskSwaps交易量超1.7亿美元,创历史新高:金色财经报道,Dune数据显示,MetaMask Swaps在3月11日的交易量超过1.7亿美元,创下历史新高,随着交易量激增,Metamask赚取了约150万美元的交易费用。此外MetaMask Swaps累计成交额已突破250亿美元,截至发文时为25316298636美元;累计成交量超过669万笔,当前为6690666笔。[2023/3/15 13:04:51]
请看我们的twitter帖子,这样一个例子!
https://twitter.com/HashDit/status/1557536292979855360
NFT睡眠铸币
基于普通的BEP20事件,子可以创造性地执行他们的局。NFT睡眠铸币是指子直接铸造NFT到著名创作者的钱包。然而,NFT代码有一个后门方法,者可以把NFT收回来。这就造成了这样的假象:(1)著名创作者真正为自己铸造了一个NFT;然后(2)将该NFT发送给了子。基于“链上”的来源,子可以声称他们拥有一个由著名的创作者铸造的NFT,并以更高的价值出售,在这个过程中伪造价值。
睡眠铸币的性来自一个事实,即你可以在事件日志中发出任何数据。人们会认为,如果用户发送交易来转移NFT,那么你的地址应该在事件日志中作为“来自”字段。然而,当者从一个著名的创造者那里收回睡眠铸币的NFT时,情况就不是这样了。子可以人为地将著名创作者的地址放在转移事件的“来自”字段中,从而完成错觉。
例如,我们可以看一下Beeple的账户,发现有几个NFT是铸给他的,但不完全是他铸的
4、庞氏局
在这些局中,通常没有真正的策略来赚取奖励或利润。本质上,整个计划使用新投资者的钱来支付老投资者。一旦没有更多的新钱进来支持这个计划,整个系统就会失败。
在加密货币庞氏局中,有几个明显的迹象:
首先,项目方收取税费,这些费用使用户在生态系统中保持更长的时间。?
由于每次质押/复利行动都会产生某种费用,这意味着用户必须复利更长的时间,才能达到收支平衡。这些费用也被用来偿还那些想要索赔的用户的红利。
索罗斯基金管理公司CEO:以太坊可能比比特币更受欢迎:金色财经报道,资管规模达280亿美元的索罗斯基金管理公司(Soros Fund Management)首席执行官兼首席投资官Dawn Fitzpatrick在采访中表示,加密货币已经成为主流,尽管全球经济衰退的风险迫在眉睫,但它将继续存在。Fitzpatrick还称,以太坊可能会比比特币获得更多的吸引力。(Crypto Briefing)[2022/6/1 3:54:21]
第二,没有办法提取用户的初始投资资金。
一旦一个用户存入他们的初始代币,他就没有办法取回他的初始投资资金。用户要取回任何资金的唯一途径是索回红利。
第三种方式是使用推荐系统。
该项目鼓励参与者通过推荐人的利益来积极推广和推荐他人。当下线执行某些行动时,上线就会获得额外的奖励。此外,为了让用户开始参与协议,他必须有一个上线地址才能启动。这就创建了一个系统,其中每个地址都链接到另一个地址,类似于一个计划。拥有超过5个下线地址的人也会有更多的奖金。
人们会看到一个共同的主题,合约开始时锁定的资金急剧上升,通常是由团队通过营销或团队自己注入的资金产生的最初炒作所驱动。一旦合约的余额达到了一个拐点,这就意味着没有新的资金进入。这将慢慢导致该计划崩溃,新投资者恐慌,尽可能多地提取红利。
最后,单纯赚取税费的项目方将成为此类庞氏局项目的最大受益者。
5、CHIGas代币的养殖
ChiGas代币是1inch项目的一项举措,其中ChiGas代币是一种BEP20代币,是为了在1inch交易时使用,支付交易成本。Chi与该网络的GAS价格挂钩。当GAS价格低时,Chi价格也低,反之亦然。
子如何利用这一点是非常有趣的。首先,他们会随机空投一堆BEP20代币。当用户批准PancakeSwap出售这些代币时,在这些代币的批准方法中,会硬编码消耗大量用户的GAS限额来铸造ChiGas代币,可以用来补贴GAS费用,这些铸造的Chi?Gas代币就是子的利润。?
建议在一些空投代币中调用批准的功能前,注意审批交易中GAS费的消耗情况。
总的来说,不要随便碰空投给你的代币。
6、MEV/事件
加密术语
子使用“MEV”、“套利交易机器人”、“狙击手机器人”、“前端运行机器人”等加密术语,承诺每天获得几千美元的被动收入,吸引用户参与。这些产品通常在Twitter、Tiktok和区块链管理器等平台上进行推广。
通常,子会在帖子中附上一个视频链接,受害者被带到Youtube和Vimeo等视频托管平台。
?例子:
从本质上讲,视频引导用户使用RemixIDE部署他们的恶意代码,通常是在视频描述中的粘贴bin网址。
随着代码在链上的部署,用户将被告知接下来要准备一些本地资金,以执行“前期运行或套利”。视频将提示用户准备更多的本地资金,这样当你执行“前期运行或套利”操作时,你将能够获得更多的利润,以此用户。一旦用户将资金注入合约并“开始运行”,就不是像子声称的那样为他赚取利润,而是资金直接转给了子。
另一种相对较新的方式,是子提供一个CEX交易机器人的链接,如下截图:
系统将提示用户下载一个恶意文件,并按照相关说明进行操作。通常,想在Binance交易所自动交易的用户会有一个API密钥。这个局视频用户使用他们的交易机器人,并要求用户交出他们的API密钥和密码。一旦用户这样做,子就能够接收用户的凭证,并用用户的资金进行交易。
加密事件
在这种情况下,子还利用社交媒体散布加密货币交易所或项目等领域的知名人士正在进行赠送的虚假信息。
用户会被提示输入此链接,并被指示先“验证”他们的地址。为此,他们必须发送一些BTC或BNB到指定的地址,作为回报,他们将得到10倍的金额。与此同时,该网站显示了赠品的交易历史记录,以用户认为赠品是真实有效的。然而,实际上,一旦用户发送了加密货币,这些资金将会被子走,最终也不会得到任何奖励。?
很多时候,子可能会使用旧的视频,甚至不惜深度伪造一个受欢迎的人物,来用户,让他们以为这个人在代言和推广一个新的赠品。而实际上,这与事实相差甚远。?
这些案例中一个共同的相似点,在视频的评论区会有虚假的参与。这是为了从心理上用户,让他们认为这个交易机器人真的很有效。
另外,如果描述中出现这种情况,就赶紧跑吧。这是一个巨大的危险信号。?
结论
在加密货币这样一个去中心化的环境中,将继续增长,所以我们每个人都要对自己的安全负责,这是至关重要的。为了加强BNB链中用户的安全保障,Hashdit一直在与PancakeSwap和AvengerDAO等生态系统的参与者合作,以尽快发现局。在未来,我们将努力为BNB链上的协议用户和智能合约开发者建立一个安全的生态系统。
如果你觉得这篇文章有用,请在Twitter上分享并标记我们如果你希望我们也能报道任何局,请给我们留言!
请记住黄金法则:如果它好得不像真的,它可能就是真的。在那之前,请注意安全。
标签:NFTMETAMASKMASKSPUNK Vault (NFTX)metamask小狐狸钱包安卓版升级metamask官网下载地址metamask下载安卓
我总是对不能在以太坊主网上尝试创新协议而感到沮丧,因为GAS费破坏了你可以用一个小的赚到收益。终于在Arbitrum找到了我的家,那为什么我把90%的研究时间都花在那里?Arbitrum的速度非.
1900/1/1 0:00:00TL;DR行业一直在寻找解决方案来解决比特币可编程性差,速度慢和不隐私的问题。在数十年的可扩展性研究和用户体验了可扩展有实质性好处之后,研究人员开始研究比特币上构建有效性证明.
1900/1/1 0:00:00如果你今年在关注DeFi世界,那么你可能就会发现几个新出现的趋势。一种叙事是引导协议拥有流动性方面的创新,另一种叙事是NFT用例扩展到了PFP之外的地方.
1900/1/1 0:00:00公链的不可能三角问题一直是制约公链技术发展的阻碍,进而影响到链上应用的性能。一直以来,公链的发展目标都集中在如何突破不可能三角的问题上,或者在不可能三角中找到最佳平衡.
1900/1/1 0:00:00无私钥非托管多方计算钱包ZenGo正在准备添加对PolygonPoS链的支持。让ZenGo用户未来能以更低的gas费用享受Web3DeFi和NFT,且为所有Polygon用户提供了一个更安全的钱.
1900/1/1 0:00:00在2023年CMCCryptoPlaybook的第二部分投资中,Dragonfly的HaseebQureshi和TomSchmidt在FTX崩溃后,提出了风险投资公司的发展道路.
1900/1/1 0:00:00