Înțelegerea jetoanelor falsificate și cum să eviți să fii convins PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Înțelegerea jetoanelor de falsificare și cum să eviți să fii convins

Marca temporală: 19 octombrie 2022 6:32

Timp de citit: 5 minute

Siguranța și securitatea activelor fac foarte mult o diferență în câți bani câștigă utilizatorii din investițiile lor. Și iată un blog de securitate pentru a fi la curent și informat în Web3.

Criptomonedele sunt cunoscute pentru volatilitatea lor. Aceasta arată cât de mult influențează prețul activului în luarea deciziilor de investiție. Există o captură pentru hackerii să se joace cu prețurile și să păcălească utilizatorii pentru câștigurile lor. 

Oricine este un investitor în criptomonedă s-ar fi confruntat cu o situație în care prețurile token-urilor cripto sunt manipulate pentru a crea o iluzie de pesimism sau optimism. Acest lucru i-ar determina pe utilizatori să le cumpere și mai târziu să descopere că s-au îndrăgostit de falsificare. 

Deci, ce este falsificarea? Cum să le identifici și să fii atent pentru a evita să-ți vezi banii dispărând în aer? Vom avea totul acoperit în acest blog. 

„Spoofing” – Pe scurt

În sfârșit, este lansat un token mult așteptat, cu atât de mult hype pe care utilizatorul așteaptă să îl cumpere, purtând același simbol și logo oficial. Și cu mare entuziasm, utilizatorul dorește să le cumpere.

Dar cum este utilizatorul convins de autenticitatea jetoanelor și cum procedează la achiziționarea lor în bloc? 

Utilizatorul găsește pe exploratorul de blocuri că adresele asociate cu transferurile de jetoane sunt influenți/personalități apreciate. 

Iată unde hackerul a manipulat adresa de la De la semn, făcându-l să pară legat de adresa unui influencer binecunoscut. Văzând acest lucru, utilizatorii se angajează cu drag în tranzacționarea acelor jetoane crezând că acestea sunt cele originale. 

În culise – Cum a făcut hackerul asta?

Datele de transfer în contractele inteligente pot fi modificate cu ușurință. Prin urmare, utilizând aceasta, atacatorul ar schimba adresa de la De la oricare alta, deși el/ea este cel care inițiază tranzacția.

Să ne uităm la transferul de token în Etherscan pentru o mai bună claritate a transferurilor de token falsificate. 

În aceasta puteți vedea adresa lui Vitalik 0xab5801a7d398351b8be11c439e05c5b3259aec9b a primit jetoane zkSync. 

Jetoanele ar putea fi transferate de la oricine la adresa lui Vitalik, ceea ce nu este mare lucru. 

Dar, în asta, puteți vedea că Vitalik trimite jetoanele. Deci, acest lucru ar atrage utilizatorii să creadă că aceste jetoane trimise de Vitalik ar fi un adevărat jackpot. 

Dar asta nu este adevărat! Să aflăm ce urmează!

Înțelegerea jetoanelor falsificate și cum să eviți să fii convins PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Vitalik nu a inițiat transferul, dar proprietarul contractului care a inițiat tranzacția a făcut să pară că a fost trimis de Vitalik. Acesta este locul în care exploratorul de blocuri este falsificat pentru a afișa tranzacția manipulată, deoarece exploratorul de blocuri poate citi doar evenimente. 

Acest lucru poate fi găsit examinând detaliile tranzacției, care arată în mod clar adresa inițiatorului (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) care a continuat cu tranzacția manipulând-o pentru a fi făcută de Vitalik.  

Înțelegerea jetoanelor falsificate și cum să eviți să fii convins PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Privind mai atent, puteți găsi că datele de intrare sunt alimentate cu adresa Vitalik. Acest lucru poate fi, de asemenea, codificat în contract.

Înțelegerea jetoanelor falsificate și cum să eviți să fii convins PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Mai mult, la decompilare, putem găsi o funcție de transfer non-standard care preia intrarea pentru De la adresa și inițiază evenimentul de transfer. Și aici proprietarul contractului a introdus adresa lui Vitalik pentru a face să pară că face transferul.

Înțelegerea jetoanelor falsificate și cum să eviți să fii convins PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Necazurile în transferul de jetoane

Iată cum utilizatorul greșește adresa de la De la adresa inițiatorului tranzacției. Trucul de falsificare funcționează pentru a lansa atacuri de succes asupra utilizatorului, utilizând standardul de design al jetonului ERC-20 și afișarea transparentă a datelor din Block explorer. 

Funcțiile de transfer și transferFrom ale standardului ERC-20 facilitează adăugarea oricărei adrese arbitrare ca expeditor de jetoane și că adresa de la De la adresa inițiatorului contractului este schimbată. 

Exploratorii de blocuri precum Etherscan afișează adresa de la De la mai degrabă decât adresa inițiatorului tx, ceea ce are ca rezultat ca utilizatorul să pună în ambalaj tokenurile fără valoare. 

Vreun eveniment recent de spam cu simboluri falsificate?

Anunțul recent privind „airdrop” al Ucrainei pentru recompensarea donațiilor de criptomonede de către utilizator a fost postat pe mânerele Twitter.

Sursa: Ucraina / Україна pe Twitter: „Airdrop confirmat. Instantaneul va fi făcut mâine, pe 3 martie, la ora 6:2, ora Kievului (UTC/GMT +XNUMX ore). Recompensa de urmat! Urmărește știrile ulterioare despre campania de donații cripto a Ucrainei la @FedorovMykhailo” / Twitter

La scurt timp după, exploratorul de blocuri de la Ethereum, Etherscan, a afișat portofelul oficial al Ucrainei, care conținea 7 miliarde de jetoane „Lumea pașnică” pentru transferul secret criptografic. 

Au existat, de asemenea, activități din portofelul oficial al Ucrainei care trimiteau jetoane la adresa portofelului cripto care a donat fondurilor Ucrainei. 

Dar nu au existat detalii despre evenimentul oficial de lansare a aerului în urma postării inițiale din partea autorităților (cum ar fi tipul de jetoane sau numărul de jetoane care urmează să fie lansate etc.)

Mai târziu, analiștii blockchain au confirmat că jetoanele lumii pașnice (LUME) ar putea fi o falsificare, iar Etherscan le-a etichetat ca „înșelătoare” și le-a marcat ca spam. 

Acest exemplu arată cum Adresa portofelului Ucrainei este folosită pentru a lansa un airdrop fals– o instanță de falsificare a simbolurilor. 

Cum să evitați cumpărarea de jetoane falsificate?

Cel mai bun mod este să cercetați detaliile tranzacției și să verificați dacă adresa de la De la și adresa inițiatorului transferului de simbol este aceeași.

Înțelegerea jetoanelor falsificate și cum să eviți să fii convins PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Deși nu toate transferurile de jetoane inițiate de la adrese diferite pot fi neapărat o falsificare, folosind funcția „Token ignore list” din EtherScan, care listează token-urile suspecte din această categorie, utilizatorii pot rămâne atenți și pot fi atenți la token-urile cu care interacționează. 

QuillAudits în Web3 Security 

QuillAudits este o firmă de securitate lider care oferă protecție întreprinderilor consacrate și în creștere, oferind servicii de auditare a contractelor inteligente și de due diligence pentru a rămâne vigilenți împotriva hackurilor web3. 

Luați legătura cu experții noștri pentru o consultație gratuită în mai puțin de 10 minute: 

https://t.me/quillaudits_official

15 Vizualizări

Timestamp-ul:

Mai mult de la Quillhash