הבנת אסימוני זיוף וכיצד להימנע משידול

זמן קריאה: 5 דקות

הבטיחות והאבטחה של הנכסים משפיעים במידה רבה על כמות הכסף שהמשתמשים מרוויחים מההשקעות שלהם. אז הנה בלוג אבטחה כדי להישאר מודע ולהיות מעודכן ב-Web3.

מטבעות קריפטו ידועים בתנודתיות שלהם. זה אומר עד כמה מחיר הנכס משפיע על קבלת החלטות השקעה. יש מלכוד להאקרים לשחק עם המחירים ולהערים את המשתמשים על הרווחים שלהם. 

כל מי שהוא משקיע קריפטו מושבע היה מתמודד עם מצב שבו מחירי אסימון קריפטו עוברים מניפולציות כדי ליצור אשליה של פסימיות או אופטימיות. זה יגרום למשתמשים לקנות אותם ומאוחר יותר לגלות שהם נפלו לזיוף. 

אז מה זה זיוף? איך לזהות אותם ולהישאר מודעים כדי להימנע מלראות את הכסף שלך נעלם באוויר? נסקור הכל בבלוג הזה. 

'זיוף' - בקצרה

סוף סוף מושק אסימון שצפוי לו עם כל כך הרבה הייפ שהמשתמש ממתין לקנות, הנושא את אותו סמל ולוגו רשמי. ובהתרגשות רבה, המשתמש רוצה לקנות אותם.

אבל איך המשתמש משוכנע באותנטיות של האסימונים וממשיך לבצע רכישה בכמות גדולה שלהם? 

המשתמש מגלה ב-block explorer שהכתובות הקשורות להעברת האסימונים הן משפיענים/אישים מוערכים. 

כאן ההאקר עשה מניפולציות על כתובת ה-From של ה- אסימון, גורם לזה להיראות כאילו הוא מקושר לכתובת ידועה של משפיען. כשראו זאת, המשתמשים עוסקים בחיבה בסחר באסימונים האלה, מאמינים שהם המקוריים. 

מאחורי הקלעים - איך ההאקר עשה את זה?

ניתן לשנות בקלות את נתוני ההעברה בחוזים חכמים. לכן, על ידי ניצול זה, התוקף ישנה את כתובת מאת לכל כתובת אחרת, למרות שהוא/היא זה שיוזם את העסקה.

בואו נסתכל על העברת האסימון ב-Etherscan לבהירות טובה יותר של העברות אסימון מזויף. 

בזה אתה יכול לראות את הכתובת של Vitalik 0xab5801a7d398351b8be11c439e05c5b3259aec9b קיבל אסימוני zkSync. 

האסימונים עשויים להיות מועברים מכל אחד לכתובת של ויטליק, וזה לא עניין גדול. 

אבל, בזה, אתה יכול לראות שוויטאליק שולח את האסימונים. אז זה יפתה משתמשים לחשוב שהאסימונים האלה שנשלחו על ידי Vitalik יהיו קופה אמיתית. 

אבל זה לא נכון! בואו לגלות מה עומד לפנינו!

ויטליק לא יזם את ההעברה, אך בעל החוזה שיזם את העסקה גרם לה להיראות כאילו נשלחה על ידי ויטליק. זה המקום שבו סייר הבלוקים מזויף כדי להציג את העסקה שעברה מניפולציה, שכן סייר הבלוקים יכול לקרוא רק אירועים. 

ניתן למצוא זאת על ידי בחינת פרטי העסקה, אשר מראה בבירור שכתובת היוזם (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) המשיכה בעסקה תוך מניפולציה שהיא נעשתה על ידי Vitalik.  

במבט מקרוב, אתה יכול למצוא את נתוני הקלט מוזנים עם הכתובת של Vitalik. זה גם יכול להיות מקודד קשה בחוזה.

יתר על כן, בפירוק, אנו יכולים למצוא פונקציית העברה לא סטנדרטית שלוקחת את הקלט עבור מכתובת ויוזם את אירוע ההעברה. וכאן בעל החוזה הכניס את כתובתו של ויטליק כדי שייראה כאילו הוא מבצע את ההעברה.

התקלות בהעברת אסימונים

הנה איך המשתמש טועה בכתובת מאת ככתובת של יוזם העסקה. טריק הזיוף פועל להפעלת התקפות מוצלחות על המשתמש על ידי מינוף תקן העיצוב של האסימון ERC-20 ותצוגת הנתונים השקופה של Block Explorer. 

פונקציות ההעברה וההעברה של תקן ERC-20 מקלות על הוספת כל כתובת שרירותית בתור השולח של אסימונים ושכתובת ה-From משתנה מכתובת היוזם של החוזה. 

חוקרים בלוק כמו Etherscan מציגים את כתובת ה-Fan ולא את הכתובת של יוזם ה-TX, מה שגורם לכך שהמשתמש אוסף את האסימונים חסרי הערך. 

כל אירוע אחרון של ספאם של אסימון זיוף?

ההכרזה האחרונה על "אוויר דרופ" של אוקראינה לתגמול תרומות מטבעות קריפטוגרפיים על ידי המשתמש פורסמה על ידיות הטוויטר.

מקור: אוקראינה / Україна בטוויטר: "איירדרופ אושר. תמונת מצב תצולם מחר, ב-3 במרץ, בשעה 6:2 שעון קייב (UTC/GMT +XNUMX שעות). תגמול לעקוב! עקוב אחר החדשות הבאות על קמפיין תרומות הקריפטו של אוקראינה ב-@FedorovMykhailo" / Twitter

זמן קצר לאחר מכן, חוקר הבלוקים של Ethereum, Etherscan, הציג את הארנק הרשמי של אוקראינה המכיל 7 מיליארד אסימוני "העולם השלו" עבור הטרופת הקריפטו הסודית. 

היו גם פעילויות מהארנק הרשמי של אוקראינה שליחת אסימונים לכתובת ארנק הקריפטו שתרמה לקרנות של אוקראינה. 

אבל לא היו פרטים על אירוע ההפצה הרשמי בעקבות הפרסום הראשוני מהרשויות (כמו סוג האסימון או מספר האסימונים שישוגרו וכו')

מאוחר יותר, אנליסטים של בלוקצ'יין אישרו שאסימוני העולם השליו (WORLD) עשויים להיות זיוף, ו-Etherscan תייגה אותם כ"מטעים" וסימנה אותם כספאם. 

מקרה זה מראה כיצד כתובת הארנק של אוקראינה משמשת לשיגור הטלת אוויר מזויפת- מופע של זיוף אסימונים. 

כיצד להימנע מקניית אסימוני זיוף?

הדרך הטובה ביותר היא לחפור בפרטי העסקה ולבדוק האם כתובת ה- From וכתובת היוזם של העברת האסימון זהים.

למרות שלא כל העברות האסימונים שיוזמו מכתובות שונות יכולות להיות בהכרח זיוף, באמצעות התכונה 'רשימת התעלמות אסימונים' ב-EtherScan שמפרטת את האסימון החשוד בקטגוריה זו, המשתמשים יכולים להישאר ערניים ולהיות ערניים לאסימונים איתם הם מקיימים אינטראקציה. 

QuillAudits באבטחת Web3 

QuillAudits היא חברת אבטחה מובילה המציעה הגנה למיזמים מבוססים וצומחים על ידי מתן שירותי ביקורת חוזים חכמים ובדיקת נאותות כדי להישאר ערניים מפני פריצות web3. 

צור קשר עם המומחים שלנו לייעוץ חינם תוך קצת פחות מ-10 דקות: 

https://t.me/quillaudits_official

15 צפיות