Olvasási idő: 5 jegyzőkönyv
Az eszközök biztonsága nagymértékben befolyásolja, hogy a felhasználók mennyi pénzt keresnek befektetéseikből. Tehát itt van egy biztonsági blog, hogy tájékozott maradjon a Web3-ban.
A kriptovaluták volatilitásukról ismertek. Ez megmutatja, hogy az eszköz ára mennyire befolyásolja a befektetési döntéseket. A hackerek az árakkal játszanak, és becsapják a felhasználókat a nyereségükért.
Bárki, aki megrögzött kriptobefektető, szembesült volna olyan helyzettel, amikor a kripto token árakat manipulálják, hogy a pesszimizmus vagy az optimizmus illúzióját keltsék. Ez arra késztetné a felhasználókat, hogy megvásárolják őket, és később kiderüljön, hogy a hamisításba estek.
Szóval, mi az a hamisítás? Hogyan lehet azonosítani őket, és ébernek lenni, hogy elkerülje, hogy pénze eltűnjön a levegőben? Ebben a blogban mindenről beszámolunk.
„Spoofing” – Dióhéjban
Végre megjelent egy széles körben várt token, amely akkora felhajtással, hogy a felhasználó megvásárlására vár, ugyanazzal a szimbólummal és hivatalos logóval. És nagy izgalommal a felhasználó meg akarja vásárolni őket.
De hogyan győződik meg a felhasználó a tokenek hitelességéről, és hogyan vásárolja meg őket tömegesen?
A felhasználó a blokkböngészőben azt találja, hogy a tokenátvitelhez társított címek befolyásolók/elismerten személyiségek.
Itt manipulálta a hacker a feladó címét jelképes, így úgy tűnik, mintha egy jól ismert influencer címéhez kapcsolódna. Ezt látva a felhasználók előszeretettel kereskednek ezekkel a tokenekkel, és azt hiszik, hogy azok az eredetiek.
A színfalak mögött – Hogyan csinálta ezt a hacker?
Az intelligens szerződésekben lévő átviteli adatok könnyen módosíthatók. Ezért ennek felhasználásával a támadó megváltoztatná a Feladó címét bármely másikra, bár ő kezdeményezi a tranzakciót.
Nézzük meg az Etherscan tokenátvitelét a hamis tokenátvitelek jobb érthetősége érdekében.
Ebben látható Vitalik 0xab5801a7d398351b8be11c439e05c5b3259aec9b címe zkSync tokeneket kapott.
A tokeneket bárki átviheti Vitalik címére, ami nem nagy baj.
De ebben láthatod, hogy Vitalik kiküldi a jelzőket. Tehát ez arra késztetné a felhasználókat, hogy a Vitalik által küldött tokenek valódi főnyereményt jelentsenek.
De ez nem igaz! Lássuk, mi vár még ránk!
Vitalik nem kezdeményezte az átadást, de a tranzakciót kezdeményező szerződés tulajdonosa azt a látszatot keltette, hogy Vitalik küldte. Ez az a hely, ahol a blokkböngészőt hamisítják, hogy megjelenítse a manipulált tranzakciót, mivel a blokkböngésző csak eseményeket tud olvasni.
Ezt úgy találja meg, ha megnézi a tranzakció részleteit, amely egyértelműen mutatja a kezdeményező címét (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc), amely során a tranzakciót úgy manipulálták, hogy azt Vitalik hajtotta végre.
Ha jobban megnézi, láthatja, hogy a bemeneti adatok Vitalik címével vannak táplálva. Ez a szerződésben is keményen kódolható.
Továbbá a visszafordítás során találhatunk egy nem szabványos átviteli függvényt, amely a for bemenetét veszi fel Címről és elindítja az átviteli eseményt. És ide írta be a szerződés tulajdonosa Vitalik címét, hogy úgy tűnjön, ő végzi az átadást.
Balesetek a tokentranszferben
Így téveszti össze a felhasználó a Feladó címet a tranzakció kezdeményezőjének címével. A hamisítási trükk sikeres támadásokat indít a felhasználó ellen, kihasználva az ERC-20 token tervezési szabványát és a Block Explorer átlátszó adatmegjelenítését.
Az ERC-20 szabvány átviteli és transferFrom funkciói lehetővé teszik, hogy tetszőleges címet adjunk hozzá a tokenek feladójaként, és hogy a Feladó cím megváltozzon a szerződés kezdeményezői címéről.
A blokkfelfedezők, mint például az Etherscan, a Feladó címét jelenítik meg a tx kezdeményező címe helyett, ami azt eredményezi, hogy a felhasználó becsomagolja az értéktelen tokeneket.
Esetleg a közelmúltban hamis token spam?
A Twitteren közzétették a legutóbbi bejelentést arról, hogy Ukrajna „levegőt” hirdet a felhasználó kriptovaluta adományainak jutalmazására.
Nem sokkal ezután az Ethereum blokkfelfedezője, az Etherscan bemutatta Ukrajna hivatalos pénztárcáját, amelyben 7 milliárd „Békés Világ” token volt a titkos kriptográfiai ledobáshoz.
Emellett Ukrajna hivatalos pénztárcája is tokeneket küldött az ukrajnai alapoknak adományozott kriptotárca címére.
De nem voltak részletek a hivatalos airdrop eseményről a hatóságok kezdeti bejegyzését követően (mint a token típusa vagy az indítandó tokenek száma stb.)
Később a blokklánc elemzői megerősítették, hogy a békés világ (WORLD) tokenek hamisak lehetnek, és az Etherscan „félrevezetőként” jelölte meg őket, és spamként jelölte meg őket.
Ez a példa megmutatja, hogyan Ukrajna pénztárcacímét használják fel egy hamis légidoboz indítására– a token hamisítás egy példája.
Hogyan kerüljük el a hamis tokenek vásárlását?
A legjobb módszer az, ha beleásunk a tranzakció részleteibe, és megvizsgáljuk, hogy a feladó címe és a tokenátvitel kezdeményezői címe megegyezik-e.
Bár nem minden, különböző címekről kezdeményezett tokenátvitel lehet szükségszerűen hamis, az EtherScan „Token figyelmen kívül hagyó listája” funkciójával, amely felsorolja a gyanús tokent ebben a kategóriában, a felhasználók éberek maradhatnak, és figyelhetik a tokeneket, amelyekkel interakcióba lépnek.
QuillAudits a Web3 biztonságban
QuillAudits egy vezető biztonsági cég, amely védelmet nyújt a bejáratott és növekvő vállalkozások számára azáltal, hogy intelligens szerződés-ellenőrzési és átvilágítási szolgáltatásokat nyújt, hogy éber legyen a web3-hackekkel szemben.
Lépjen kapcsolatba szakértőinkkel, és kérjen ingyenes konzultációt 10 perc alatt:
https://t.me/quillaudits_official
15 Nézetek
- Bitcoin
- blockchain
- blokklánc megfelelőség
- blockchain konferencia
- coinbase
- coingenius
- megegyezés
- kriptokonferencia
- kriptikus bányászat
- cryptocurrency
- decentralizált
- Defi
- Digitális eszközök
- Ethereum
- gépi tanulás
- nem helyettesíthető token
- Plató
- plato ai
- Platón adatintelligencia
- Platoblockchain
- PlatoData
- platogaming
- Poligon
- a tét igazolása
- Quillhash
- Intelligens szerződésbiztonság
- trend
- W3
- zephyrnet