Leestijd: 5 minuten
De veiligheid en beveiliging van activa maken een groot verschil in hoeveel geld de gebruikers verdienen met hun investeringen. En dus is hier een beveiligingsblog om op de hoogte te blijven van Web3.
Cryptocurrencies staan โโbekend om hun volatiliteit. Dat vertelt hoeveel de prijs van het activum invloed heeft op het nemen van investeringsbeslissingen. Er zit een addertje onder het gras voor hackers om met de prijzen te spelen en gebruikers te misleiden voor hun winst.
Iedereen die een die-hard crypto-investeerder is, zou te maken hebben gehad met een situatie waarin crypto-tokenprijzen worden gemanipuleerd om een โโillusie van pessimisme of optimisme te creรซren. Dit zou gebruikers ertoe aanzetten om ze te kopen en later ontdekken dat ze gevallen zijn voor spoofing.
Dus, wat is spoofing? Hoe identificeer je ze en blijf je opmerkzaam om te voorkomen dat je geld in het niets verdwijnt? We zullen het allemaal in deze blog behandelen.
'Spoofing' - in een notendop
Een langverwachte token met zoveel hype dat de gebruiker wacht om te kopen, wordt eindelijk gelanceerd, met hetzelfde symbool en hetzelfde officiรซle logo. En met grote opwinding wil de gebruiker ze kopen.
Maar hoe wordt de gebruiker overtuigd van de authenticiteit van de tokens en gaat hij over tot een bulkaankoop ervan?
De gebruiker ontdekt in de blokverkenner dat de adressen die aan de tokenoverdrachten zijn gekoppeld, beรฏnvloeders/veelgeprezen persoonlijkheden zijn.
Hier manipuleerde de hacker het Van-adres van de teken, waardoor het lijkt alsof het gelinkt is aan het adres van een bekende influencer. Als ze dit zien, houden de gebruikers zich graag bezig met het verhandelen van die tokens in de overtuiging dat ze de originele zijn.
Achter de schermen: hoe heeft de hacker dit gedaan?
De overdrachtsgegevens in slimme contracten kunnen eenvoudig worden gewijzigd. Door hiervan gebruik te maken, zou de aanvaller het Van-adres dus veranderen in een ander adres, hoewel hij/zij degene is die de transactie initieert.
Laten we eens kijken naar de tokenoverdracht in Etherscan voor meer duidelijkheid over spoof-tokenoverdrachten.
Hierin kun je zien dat Vitalik's adres 0xab5801a7d398351b8be11c439e05c5b3259aec9b zkSync-tokens heeft ontvangen.
De tokens kunnen van iedereen naar het adres van Vitalik worden overgedragen, wat geen probleem is.
Maar hierin kun je zien dat Vitalik de tokens verstuurt. Dit zou dus gebruikers ertoe verleiden te denken dat deze door Vitalik verzonden tokens een echte jackpot zouden zijn.
Maar dat is niet waar! Laten we ontdekken wat ons te wachten staat!
Vitalik heeft de overdracht niet geรฏnitieerd, maar de eigenaar van het contract die de transactie heeft geรฏnitieerd, deed alsof het door Vitalik was verzonden. Dit is waar de blokverkenner wordt vervalst om de gemanipuleerde transactie weer te geven, aangezien de blokverkenner alleen gebeurtenissen kan lezen.
Dit kan worden gevonden door naar de transactiedetails te kijken, waaruit duidelijk blijkt dat het initiatoradres (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) doorgaat met de transactie die door Vitalik is gemanipuleerd.
Als je beter kijkt, zie je dat de invoergegevens worden gevoed met het adres van Vitalik. Dit kan ook hard gecodeerd worden in het contract.
Verder kunnen we bij het decompileren een niet-standaard overdrachtsfunctie vinden die de invoer op zich neemt Van adres en start de overdrachtsgebeurtenis. En hier heeft de contracteigenaar het adres van Vitalik ingevoerd om het te laten lijken alsof hij de overdracht doet.
De ongelukken bij tokenoverdracht
Hier ziet u hoe de gebruiker het Van-adres aanziet als het adres van de transactie-initiator. De spoofing-truc werkt om succesvolle aanvallen op de gebruiker uit te voeren door gebruik te maken van de ontwerpstandaard van het ERC-20-token en de transparante gegevensweergave van Block Explorer.
De transfer- en transferFrom-functies van de ERC-20-standaard vergemakkelijken het toevoegen van elk willekeurig adres als de afzender van tokens en dat het From-adres wordt gewijzigd van het initiatoradres van het contract.
Blokverkenners zoals Etherscan geven het Van-adres weer in plaats van het tx-initiatoradres, wat ertoe leidt dat de gebruiker de waardeloze tokens inpakt.
Een recente gebeurtenis van spooftoken-spam?
De recente aankondiging van Oekraรฏne's "airdrop" voor het belonen van cryptocurrency-donaties door de gebruiker werd op de Twitter-handvatten gepost.
Kort daarna toonde Ethereum's block explorer Etherscan de officiรซle portemonnee van Oekraรฏne met 7 miljard "Peaceful World" tokens voor de geheime crypto airdrop.
Er waren ook activiteiten van de officiรซle portemonnee van Oekraรฏne die tokens naar het adres van de crypto-portemonnee stuurde dat aan de fondsen van Oekraรฏne doneerde.
Maar er waren geen details over het officiรซle airdrop-evenement na het eerste bericht van de autoriteiten (zoals het type token of het aantal te lanceren tokens, enz.)
Later bevestigden blockchain-analisten dat de vredelievende wereld (WORLD) tokens een spoof zouden kunnen zijn, en Etherscan bestempelde ze als "misleidend" en markeerde ze als spam.
Deze instantie laat zien hoe Het portemonnee-adres van Oekraรฏne wordt gebruikt om een โโvalse airdrop te lancerenโ een voorbeeld van token-spoofing.
Hoe voorkom je dat je spooftokens koopt?
De beste manier is om in de transactiedetails te graven en te kijken of het Van-adres en het initiatoradres van de tokenoverdracht hetzelfde zijn.
Hoewel niet alle tokenoverdrachten die vanaf verschillende adressen worden geรฏnitieerd noodzakelijkerwijs een spoof hoeven te zijn, kunnen gebruikers met behulp van de 'Token-negeerlijst'-functie in EtherScan die de verdachte token in deze categorie opsomt, alert blijven en waakzaam zijn voor de tokens waarmee ze communiceren.
QuillAudits in Web3-beveiliging
QuillAudits is een toonaangevend beveiligingsbedrijf dat bescherming biedt aan gevestigde en groeiende ondernemingen door middel van slimme contractaudits en due diligence-diensten om waakzaam te blijven tegen web3-hacks.
Neem contact op met onze experts voor een gratis consult in iets minder dan 10 minuten:
https://t.me/quillaudits_official
15 keer bekeken
- Bitcoin
- blockchain
- blockchain-naleving
- blockchain-conferentie
- coinbase
- vindingrijk
- Overeenstemming
- cryptoconferentie
- crypto mijnbouw
- cryptogeld
- gedecentraliseerde
- Defi
- Digitale activa
- ethereum
- machine learning
- niet-vervangbare token
- Plato
- plato ai
- Plato gegevensintelligentie
- Platoblockchain
- PlatoData
- platogamen
- Veelhoek
- Bewijs van het belang
- Quillhash
- Slimme contractbeveiliging
- trending
- W3
- zephyrnet
