Lukeaika: 5 pöytäkirja
Omaisuuden turvallisuus vaikuttaa suuresti siihen, kuinka paljon rahaa käyttäjät tienaavat sijoituksillaan. Tässä on tietoturvablogi, joka pysyy tietoisena ja ajan tasalla Web3:ssa.
Kryptovaluutat tunnetaan volatiliteettistaan. Se kertoo kuinka paljon omaisuuden hinta vaikuttaa sijoituspäätösten tekoon. Hakkerit voivat leikkiä hinnoilla ja huijata käyttäjiä saavuttamaan voittonsa.
Jokainen, joka on sitkeä kryptosijoittaja, olisi kohdannut tilanteen, jossa kryptomerkkien hintoja manipuloidaan luomaan illuusio pessimismistä tai optimismista. Tämä saisi käyttäjät ostamaan ne ja myöhemmin huomaamaan, että he ovat langenneet huijaukseen.
Joten mitä on huijaus? Kuinka tunnistaa ne ja pysyä tietoisena, jotta vältytään näkemästä rahasi katoamasta tyhjään? Kerromme kaiken tässä blogissa.
"Spoofing" - pähkinänkuoressa
Laajalti odotettu merkki, jolla on niin paljon hypeä, että käyttäjä odottaa ostavansa, julkaistaan vihdoin, ja siinä on sama symboli ja virallinen logo. Ja suurella jännityksellä käyttäjä haluaa ostaa ne.
Mutta kuinka käyttäjä on vakuuttunut rahakkeiden aitoudesta ja ostaa niitä massa?
Käyttäjä havaitsee lohkoselvityksessä, että tunnuksen siirtoihin liittyvät osoitteet ovat vaikuttajia / kehuttuja persoonallisuuksia.
Tässä hakkeri manipuloi lähettäjän osoitetta symbolinen, jolloin se näyttää siltä, että se on linkitetty tunnetun vaikuttajan osoitteeseen. Tämän nähdessään käyttäjät käyvät hellästi kauppaa näillä tokeneilla uskoen niiden olevan alkuperäisiä.
Kulissien takana – Miten hakkeri teki tämän?
Älykkäiden sopimusten siirtotietoja on helppo muokata. Siksi tätä hyödyntämällä hyökkääjä vaihtaisi Lähettäjä-osoitteen mihin tahansa muuhun, vaikka hän onkin tapahtuman aloittaja.
Katsotaanpa Etherscanin tunnuksen siirtoa selvemmäksi huijaustunnuksen siirroista.
Tässä näet Vitalikin osoitteen 0xab5801a7d398351b8be11c439e05c5b3259aec9b on vastaanottanut zkSync-tunnuksia.
Tokenit voidaan siirtää keneltä tahansa Vitalikin osoitteeseen, mikä ei ole iso juttu.
Mutta tässä voit nähdä, että Vitalik lähettää rahakkeita. Joten tämä houkutteli käyttäjiä ajattelemaan, että nämä Vitalikin lähettämät rahakkeet olisivat todellinen jättipotti.
Mutta se ei ole totta! Katsotaanpa mitä on edessä!
Vitalik ei aloittanut siirtoa, mutta kaupan aloittanut sopimuksen omistaja sai sen näyttämään Vitalikin lähettämältä. Täällä lohkonhallintaa huijataan näyttämään manipuloitu tapahtuma, koska lohkotutkimus voi vain lukea tapahtumia.
Tämä selviää tarkastelemalla tapahtuman tietoja, joista näkyy selvästi aloittajan osoite (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc), joka eteni ja manipuloi sitä Vitalikin suorittamana.
Tarkemmin katsottuna voit huomata, että syöttötietoihin syötetään Vitalikin osoite. Tämä voidaan myös koodata sopimukseen.
Lisäksi purettaessa voimme löytää ei-standardin siirtofunktion, joka ottaa syötteen for Osoitteesta ja käynnistää siirtotapahtuman. Ja tähän sopimuksen omistaja on syöttänyt Vitalikin osoitteen, jotta näyttäisi siltä, että hän tekee siirtoa.
Token Transferin onnettomuudet
Näin käyttäjä luulee Lähettäjä-osoitteen tapahtuman aloittajan osoitteeksi. Huijaustemppu pyrkii käynnistämään onnistuneita hyökkäyksiä käyttäjää vastaan hyödyntämällä ERC-20-tunnuksen suunnittelustandardia ja Block Explorerin läpinäkyvää datanäyttöä.
ERC-20-standardin siirto- ja transferFrom-toiminnot mahdollistavat minkä tahansa mielivaltaisen osoitteen lisäämisen tokenien lähettäjäksi ja sen, että Lähettäjä-osoite muutetaan sopimuksen aloittajan osoitteesta.
Etherscanin kaltaiset lohkotutkijat näyttävät Lähettäjä-osoitteen tx-aloitusosoitteen sijaan, mikä johtaa siihen, että käyttäjä puskee arvottomat tunnukset.
Onko viime aikoina tapahtunut huijaustunnusten roskapostia?
Äskettäinen ilmoitus Ukrainan "ilmailusta" käyttäjän kryptovaluuttalahjoitusten palkitsemiseksi julkaistiin Twitterin kahvoissa.
Pian sen jälkeen Ethereumin lohkotutkija Etherscan esitteli Ukrainan virallisen lompakon, jossa oli 7 miljardia "Peaceful World" -merkkiä salaista kryptoilmapudotusta varten.
Myös Ukrainan virallinen lompakko lähetti tokeneita kryptolompakkoosoitteeseen, joka lahjoitti Ukrainan varoihin.
Mutta virallisesta lentopudotustapahtumasta ei ollut yksityiskohtia viranomaisten alkuperäisen viestin jälkeen (kuten tokenin tyyppi tai laukaisujen määrä jne.)
Myöhemmin lohkoketjun analyytikot vahvistivat, että rauhanomaisen maailman (WORLD) tunnukset saattoivat olla huijaus, ja Etherscan merkitsi ne "harhaanjohtaviksi" ja merkitsi ne roskapostiksi.
Tämä esimerkki osoittaa kuinka Ukrainan lompakko-osoitetta käytetään väärennetyn lentopudotuksen laukaisemiseen– Token huijaustapaus.
Kuinka välttää huijausmerkkien ostaminen?
Paras tapa on kaivaa tapahtuman yksityiskohtiin ja tutkia, ovatko Lähettäjä-osoite ja tunnuksen siirron aloittajan osoite sama.
Vaikka kaikki eri osoitteista aloitetut tunnuksensiirrot eivät välttämättä ole huijausta, käyttäjät voivat pysyä valppaana ja tarkkailla käyttämiään tunnuksia käyttämällä EtherScanin "Token ignore list" -ominaisuutta, joka luettelee tämän luokan epäilyttävät tunnukset.
QuillAudits Web3 Securityssa
QuillAudits on johtava tietoturvayritys, joka tarjoaa suojaa vakiintuneille ja kasvaville yrityksille tarjoamalla älykkäitä sopimusten auditointi- ja due diligence -palveluita pysyäkseen valppaana web3-hakkerointia vastaan.
Ota yhteyttä asiantuntijoihimme saadaksesi ilmaisen konsultoinnin vajaassa 10 minuutissa:
https://t.me/quillaudits_official
15 Näyttökerrat
- Bitcoin
- blockchain
- lohkoketjun noudattaminen
- blockchain-konferenssi
- coinbase
- coingenius
- Yhteisymmärrys
- salauskonferenssi
- kryptointi
- kryptovaluutta
- hajautettu
- defi
- Digitaaliset varat
- ethereum
- koneoppiminen
- ei korvattava tunnus
- Platon
- plato ai
- Platonin tietotieto
- Platoblockchain
- PlatonData
- platopeliä
- Monikulmio
- todiste panoksesta
- Quillhash
- Älykäs sopimusten turvallisuus
- nousussa
- W3
- zephyrnet