Comprendere i token spoof e come evitare di essere persuasi

Ripubblicato da Platone

Seguaci: 0

Tempo per leggere: 5 verbale

La sicurezza e la protezione delle risorse fanno la differenza nella quantità di denaro che gli utenti guadagnano dai loro investimenti. E quindi ecco un blog sulla sicurezza per rimanere consapevoli e informati in Web3.

Le criptovalute sono note per la loro volatilità. Questo indica quanto il prezzo dell'asset è influente nel prendere decisioni di investimento. C'è un trucco per gli hacker che giocano con i prezzi e ingannano gli utenti per i loro guadagni.

Chiunque sia un investitore di criptovalute irriducibile avrebbe dovuto affrontare una situazione in cui i prezzi dei token crittografici vengono manipolati per creare un'illusione di pessimismo o ottimismo. Ciò spingerebbe gli utenti ad acquistarli e in seguito scoprire che sono caduti per lo spoofing.

Allora, cos'è lo spoofing? Come identificarli e stare attenti per evitare di vedere i propri soldi sparire nel nulla? Avremo tutto coperto in questo blog.

'Spoofing' – In poche parole

Viene finalmente lanciato un token molto atteso con tanto clamore che l'utente attende di acquistare, con lo stesso simbolo e logo ufficiale. E con grande entusiasmo, l'utente vuole acquistarli.

Ma in che modo l'utente si convince dell'autenticità dei token e procede all'acquisto in blocco degli stessi?

L'utente trova sul block explorer che gli indirizzi associati ai token transfer sono influencer/personalità acclamate.

Qui è dove l'hacker ha manipolato l'indirizzo del mittente del token, facendo sembrare che sia collegato all'indirizzo di un noto influencer. Vedendo questo, gli utenti si impegnano con affetto a scambiare quei token credendo che siano quelli originali.

Dietro le quinte: come ha fatto l'hacker?

I dati di trasferimento nei contratti intelligenti possono essere facilmente modificati. Pertanto, utilizzando questo, l'attaccante cambierebbe l'indirizzo del mittente con qualsiasi altro, sebbene sia lui/lei ad avviare la transazione.

Diamo un'occhiata al trasferimento di token in Etherscan per una migliore chiarezza sui trasferimenti di token contraffatti.

In questo puoi vedere l'indirizzo di Vitalik 0xab5801a7d398351b8be11c439e05c5b3259aec9b ha ricevuto token zkSync.

I token potrebbero essere trasferiti da chiunque all'indirizzo di Vitalik, il che non è un grosso problema.

Ma, in questo, puoi vedere che Vitalik invia i gettoni. Quindi, questo indurrebbe gli utenti a pensare che questi token inviati da Vitalik sarebbero un vero jackpot.

Ma non è vero! Scopriamo cosa ci aspetta!

Comprendere i token di spoofing e come evitare di essere persuasi dall'intelligence dei dati di PlatoBlockchain. Ricerca verticale. Ai.

Vitalik non ha avviato il trasferimento, ma il proprietario del contratto che ha avviato la transazione ha fatto sembrare che fosse stato inviato da Vitalik. È qui che il block explorer viene falsificato per visualizzare la transazione manipolata, poiché il block explorer può solo leggere gli eventi.

Questo può essere trovato esaminando i dettagli della transazione, che mostra chiaramente l'indirizzo dell'iniziatore (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) che ha proceduto alla transazione manipolandola per essere stata eseguita da Vitalik.

Dando un'occhiata più da vicino, puoi scoprire che i dati di input sono alimentati con l'indirizzo di Vitalik. Questo può anche essere hardcoded nel contratto.

Inoltre, durante la decompilazione, possiamo trovare una funzione di trasferimento non standard che accetta l'input per Dall'indirizzo e avvia l'evento di trasferimento. Ed è qui che il titolare del contratto ha inserito l'indirizzo di Vitalik per far sembrare che stia effettuando il trasferimento.

Gli incidenti nel trasferimento di token

Ecco come l'utente confonde l'indirizzo Da con l'indirizzo dell'iniziatore della transazione. Il trucco dello spoofing funziona per lanciare attacchi riusciti contro l'utente sfruttando lo standard di progettazione del token ERC-20 e la visualizzazione trasparente dei dati di Block explorer.

Le funzioni transfer e transferFrom dello standard ERC-20 facilitano l'aggiunta di qualsiasi indirizzo arbitrario come mittente dei token e la modifica dell'indirizzo From rispetto all'indirizzo dell'iniziatore del contratto.

I block explorer come Etherscan visualizzano l'indirizzo From piuttosto che l'indirizzo dell'iniziatore tx, il che fa sì che l'utente raccolga i token senza valore.

Eventuali eventi recenti di spoof token spam?

Il recente annuncio del "lancio aereo" dell'Ucraina per premiare le donazioni di criptovaluta da parte dell'utente è stato pubblicato sugli handle di Twitter.

Fonte: Ukraine / Україна on Twitter: “Airdrop confermato. L'istantanea verrà scattata domani, 3 marzo, alle 6:2 ora di Kiev (UTC/GMT +XNUMX ore). Ricompensa da seguire! Segui le notizie successive sulla campagna di donazione di criptovalute dell'Ucraina su @FedorovMykhailo” / Twitter

Poco dopo, l'esploratore di blocchi di Ethereum, Etherscan, ha mostrato il portafoglio ufficiale dell'Ucraina contenente 7 miliardi di token "Peaceful World" per il lancio segreto di criptovalute.

C'erano anche attività dal portafoglio ufficiale dell'Ucraina che inviavano token all'indirizzo del portafoglio crittografico che ha donato ai fondi dell'Ucraina.

Ma non c'erano dettagli dell'evento ufficiale di airdrop dopo il post iniziale delle autorità (come nel tipo di token o nel numero di token da lanciare, ecc.)

Successivamente, gli analisti della blockchain hanno confermato che i token del mondo pacifico (WORLD) potrebbero essere una parodia ed Etherscan li ha etichettati come "fuorvianti" e contrassegnati come spam.

Questa istanza mostra come L'indirizzo del portafoglio ucraino viene utilizzato per lanciare un falso lancio aereo– un'istanza di spoofing di token.

Come evitare di acquistare token falsi?

Il modo migliore è scavare nei dettagli della transazione e verificare se l'indirizzo del mittente e l'indirizzo dell'iniziatore del trasferimento di token sono gli stessi.

Sebbene non tutti i trasferimenti di token avviati da indirizzi diversi possano essere necessariamente uno spoofing, utilizzando la funzione "Token ignore list" in EtherScan che elenca i token sospetti in questa categoria, gli utenti possono stare all'erta e fare attenzione ai token con cui interagiscono.

QuillAudits in Web3 Security

QuillAudit è un'azienda leader nel settore della sicurezza che offre protezione a imprese consolidate e in crescita fornendo servizi di revisione dei contratti intelligenti e due diligence per rimanere vigili contro gli attacchi web3.

Mettiti in contatto con i nostri esperti per una consulenza gratuita in poco meno di 10 minuti:

https://t.me/quillaudits_official

15 Visualizzazioni

Timestamp: Ottobre 19, 2022Ottobre 19, 2022

Timestamp: Ottobre 13, 2022

Ripubblicato da Platone

Guida per principianti all'audit dei contratti intelligenti: parte 1

Navigazione tra i livelli di Blockchain: spiegazione del livello 1 rispetto al livello 2

Cosa cercano i revisori di contratti intelligenti, mentre eseguono controlli di contratti intelligenti

I 5 principali errori comuni nel linguaggio di programmazione Solidity

Linee guida per l'audit dei contratti intelligenti del mercato NFT

Come condurre in modo efficiente l'audit del contratto intelligente DeFi

Chi siamo

Ricerca verticale e Ai

Piattaforma

Rimani in contatto

Il mio account