Lugemise aeg: 5 protokoll
Varade turvalisus ja turvalisus mõjutavad oluliselt seda, kui palju raha kasutajad oma investeeringutest teenivad. Siin on turvablogi, et olla Web3-s kursis ja kursis.
Krüptovaluutad on tuntud oma volatiilsuse poolest. See näitab, kui palju mõjutab vara hind investeerimisotsuseid. Häkkeritel on võimalus mängida hindadega ja petta kasutajaid nende kasu saamiseks.
Igaüks, kes on paadunud krüptoinvestor, oleks seisnud silmitsi olukorraga, kus krüptožetoonide hindadega manipuleeritakse, et luua pessimismi või optimismi illusioon. See ajendaks kasutajaid neid ostma ja hiljem avastama, et nad on pettusse sattunud.
Niisiis, mis on võltsimine? Kuidas neid tuvastada ja olla tähelepanelik, et mitte näha oma raha kaduma? Me käsitleme seda kõike selles ajaveebis.
"Spoofing" – lühidalt
Laialdaselt oodatud žetoon, millel on nii palju reklaami, et kasutaja ootab ostmist, lastakse lõpuks turule, millel on sama sümbol ja ametlik logo. Ja suure põnevusega soovib kasutaja neid osta.
Kuid kuidas on kasutaja veendunud žetoonide autentsuses ja kuidas saab neid hulgi osta?
Kasutaja leiab plokiuurijast, et märgiülekannetega seotud aadressid on mõjutajad/kiidetud isiksused.
Siin on häkker manipuleerinud aadressi Saatja aadressiga sümboolne, muutes selle mulje, nagu see oleks lingitud tuntud mõjutaja aadressiga. Seda nähes hakkavad kasutajad meelsasti nende žetoonidega kauplema, uskudes, et need on algsed.
Kulisside taga – kuidas häkker seda tegi?
Nutikate lepingute edastusandmeid saab hõlpsasti muuta. Seetõttu muudab ründaja seda kasutades aadressi Saatja mis tahes muuks, kuigi tehingu algatab tema.
Vaatleme Etherscani märgiülekannet, et võltsmärgi ülekandmine oleks parem.
Selles näete Vitaliku aadressi 0xab5801a7d398351b8be11c439e05c5b3259aec9b on saanud zkSynci märgid.
Märgid võidakse kelleltki Vitaliku aadressile üle kanda, mis pole suurem asi.
Kuid selles on näha, et Vitalik saadab märgid välja. Seega meelitaks see kasutajaid arvama, et Vitaliku saadetud märgid on tõeline jackpot.
Aga see pole tõsi! Uurime, mis meid ees ootab!
Vitalik ülekannet ei algatanud, kuid tehingu algatanud lepingu omanik jättis mulje, et see on Vitaliku saadetud. See on koht, kus plokiuurijat võltsitakse manipuleeritud tehingu kuvamiseks, kuna plokiuurija saab lugeda ainult sündmusi.
Selle leiate tehingu üksikasjadest, mis näitavad selgelt algataja aadressi (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc), mis jätkas tehinguga manipuleerides, et seda tegi Vitalik.
Lähemal vaatlusel on näha, et sisendandmed on söödetud Vitaliku aadressiga. Selle võib lepingusse ka kõvasti kodeerida.
Lisaks leiame dekompileerimisel mittestandardse edastusfunktsiooni, mis võtab sisendi Aadressilt ja algatab ülekandesündmuse. Ja siia on lepinguomanik sisestanud Vitaliku aadressi, et jääks mulje, et ta teeb ülekannet.
Õnnetused märgiülekandes
Siin on, kuidas kasutaja peab aadressi Saatja ekslikult tehingu algataja aadressiks. Pettustrikk töötab kasutaja vastu edukate rünnakute käivitamiseks, kasutades ära ERC-20 märgi disainistandardit ja Block Exploreri läbipaistvat andmekuva.
ERC-20 standardi edastus- ja transferFrom-funktsioonid hõlbustavad mis tahes suvalise aadressi lisamist žetoonide saatjaks ja seda, et From aadressi muudetakse lepingu algataja aadressist.
Blokiuurijad, nagu Etherscan, kuvavad tx-i algataja aadressi asemel saatja-aadressi, mille tulemusel paneb kasutaja väärtusetud märgid kotti.
Kas mõni hiljutine võltsitud rämpsposti sündmus?
Twitteri käepidemetesse postitati hiljutine teade Ukraina „airdropist” kasutaja krüptoraha annetuste premeerimiseks.
Varsti pärast seda näitas Ethereumi plokkide uurija Etherscan Ukraina ametlikku rahakotti, mis sisaldas 7 miljardit “Rahuliku maailma” märgi salajase krüptolennuki jaoks.
Toimus ka tegevus Ukraina ametlikust rahakotist, mis saatis žetoone krüptorahakoti aadressile, mis annetas Ukraina fondidele.
Kuid ametiasutuste esialgsele postitusele järgnenud ametliku õhusaatmise sündmuse kohta polnud üksikasju (nt märgi tüüp või käivitatavate žetoonide arv jne).
Hiljem kinnitasid plokiahela analüütikud, et rahumeelse maailma (WORLD) märgid võivad olla võlts, ning Etherscan märkis need "eksitavateks" ja märkis need rämpspostiks.
See näide näitab, kuidas Ukraina rahakoti aadressi kasutatakse võltslennuki käivitamiseks– sümboolse võltsimise juhtum.
Kuidas vältida võltsmärkide ostmist?
Parim viis on süveneda tehingu üksikasjadesse ja uurida, kas saatja aadress ja loa ülekande algataja aadress on samad.
Kuigi kõik erinevatelt aadressidelt algatatud märgiülekanded ei pruugi tingimata olla võltsingud, saavad kasutajad EtherScani funktsiooni „Tokenide ignoreerimise loend”, mis loetleb selles kategoorias kahtlased märgid, olla valvsad ja olla tähelepanelikud märkide suhtes, millega nad suhtlevad.
QuillAudits Web3 turvalisuses
QuillAudits on juhtiv turvafirma, mis pakub kaitset väljakujunenud ja kasvavatele ettevõtmistele, pakkudes nutikaid lepingute auditi- ja hoolsusteenuseid, et olla web3 häkkimise eest valvas.
Võtke meie ekspertidega ühendust, et saada tasuta konsultatsioon veidi vähem kui 10 minutiga:
https://t.me/quillaudits_official
15 views
- Bitcoin
- blockchain
- plokiahela vastavus
- blockchain konverents
- coinbase
- coingenius
- üksmeel
- krüptokonverents
- krüpto mineerimine
- cryptocurrency
- Detsentraliseeritud
- Defi
- Digitaalsed varad
- ethereum
- masinõpe
- mitte vahetatav märk
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platvormplokk
- PlatoData
- platogaming
- hulknurk
- tõend osaluse kohta
- Quillhash
- Nutikas lepingu turvalisus
- trendid
- W3
- sephyrnet
