Время Читать: 5 минут
Безопасность и защищенность активов во многом влияют на то, сколько денег пользователи зарабатывают на своих инвестициях. Итак, вот блог по безопасности, чтобы оставаться в курсе событий в Web3.
Криптовалюты известны своей волатильностью. Это говорит о том, насколько цена актива влияет на принятие инвестиционных решений. У хакеров есть ловушка: они играют с ценами и обманывают пользователей ради прибыли.
Любой, кто является стойким криптоинвестором, столкнулся бы с ситуацией, когда ценами на криптовалюты манипулируют, чтобы создать иллюзию пессимизма или оптимизма. Это побудит пользователей купить их, а позже обнаружить, что они попались на подделку.
Итак, что такое спуфинг? Как их распознать и сохранять бдительность, чтобы ваши деньги не исчезли в воздухе? Обо всем этом мы расскажем в этом блоге.
«Спуфинг» – в двух словах
Наконец-то запущен широко ожидаемый токен, получивший столько ажиотажа, что пользователь с нетерпением ждет покупки, с тем же символом и официальным логотипом. И с большим азартом пользователь хочет их купить.
Но как пользователь убедится в подлинности токенов и сможет совершить их оптовую покупку?
В обозревателе блоков пользователь обнаруживает, что адреса, связанные с передачей токенов, принадлежат влиятельным лицам/известным личностям.
Вот где хакер манипулировал адресом отправителя знак, создавая впечатление, что оно связано с адресом известного влиятельного лица. Видя это, пользователи с удовольствием торгуют этими токенами, считая их оригинальными.
За кулисами – Как хакер это сделал?
Данные передачи в смарт-контрактах можно легко изменить. Таким образом, используя это, злоумышленник изменит адрес отправителя на любой другой, хотя именно он/она инициирует транзакцию.
Давайте посмотрим на передачу токенов в Etherscan, чтобы лучше понять передачу поддельных токенов.
Здесь вы можете видеть, что адрес Виталика 0xab5801a7d398351b8be11c439e05c5b3259aec9b получил токены zkSync.
Токены могут быть переведены от кого угодно на адрес Виталика, в этом нет ничего страшного.
Но здесь вы можете видеть, что Виталик рассылает жетоны. Таким образом, это заставит пользователей думать, что эти токены, отправленные Виталиком, станут настоящим джекпотом.
Но это неправда! Давайте узнаем, что ждет впереди!
Виталик не был инициатором передачи, но владелец контракта, который инициировал транзакцию, сделал вид, что перевод был отправлен Виталиком. Здесь обозреватель блоков подделывается для отображения управляемой транзакции, поскольку обозреватель блоков может только читать события.
Это можно найти, просмотрев детали транзакции, которые ясно показывают, что адрес инициатора (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) продолжил транзакцию, манипулируя ею, как будто ее выполнил Виталик.
Присмотревшись, вы обнаружите, что входные данные содержат адрес Виталика. Это также может быть жестко запрограммировано в контракте.
Далее, при декомпиляции мы можем найти нестандартную передаточную функцию, которая принимает на вход С адреса и инициирует событие передачи. И здесь владелец контракта вписал адрес Виталика, чтобы выглядело так, будто он осуществляет перевод.
Ошибки при передаче токенов
Вот как пользователь ошибочно принимает адрес отправителя за адрес инициатора транзакции. Уловка спуфинга позволяет запустить успешные атаки на пользователя за счет использования стандарта дизайна токена ERC-20 и прозрачного отображения данных в Block Explorer.
Функции Transfer и TransferFrom стандарта ERC-20 позволяют добавлять любой произвольный адрес в качестве отправителя токенов и изменять адрес отправителя по сравнению с адресом инициатора контракта.
Обозреватели блоков, такие как Etherscan, отображают адрес отправителя, а не адрес инициатора передачи, в результате чего пользователь упаковывает бесполезные токены.
Был ли какой-нибудь недавний случай спама с поддельными токенами?
Недавнее объявление об «эйрдропе» Украины для вознаграждения пользователей за пожертвования в криптовалюте было опубликовано в Твиттере.
Вскоре после этого обозреватель блоков Ethereum Etherscan продемонстрировал официальный кошелек Украины, содержащий 7 миллиардов токенов «Мирного мира» для секретной криптографической раздачи.
Из официального кошелька Украины также происходили действия по отправке токенов на адрес криптокошелька, который пожертвовал средства в фонды Украины.
Но после первоначального сообщения властей не было никаких подробностей об официальном раздаче (например, о типе токена или количестве запускаемых токенов и т. д.).
Позже аналитики блокчейна подтвердили, что токены мирного мира (WORLD) могут быть подделкой, а Etherscan пометил их как «вводящие в заблуждение» и пометил как спам.
Этот пример показывает, как Адрес украинского кошелька используется для запуска фейкового airdrop– случай подмены токена.
Как избежать покупки поддельных токенов?
Лучший способ — изучить детали транзакции и проверить, совпадают ли адрес отправителя и адрес инициатора передачи токена.
Хотя не все передачи токенов, инициированные с разных адресов, могут быть подделкой, используя функцию «Список игнорирования токенов» в EtherScan, которая перечисляет подозрительные токены в этой категории, пользователи могут оставаться начеку и следить за токенами, с которыми они взаимодействуют.
QuillAudits в безопасности Web3
QuillAudits — ведущая охранная фирма, предлагающая защиту существующим и растущим предприятиям, предоставляя услуги аудита смарт-контрактов и комплексной проверки, чтобы сохранять бдительность в отношении взломов Web3.
Свяжитесь с нашими специалистами и получите бесплатную консультацию всего за 10 минут:
https://t.me/quillaudits_official
15 Просмотры
- Bitcoin
- блокчейн
- соответствие блокчейна
- блочная конференция
- coinbase
- Coingenius
- Консенсус
- криптоконференция
- криптодобыча
- криптовалюта
- децентрализованная
- Defi
- Цифровые активы
- Эфириума
- обучение с помощью машины
- невзаимозаменяемый токен
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платоблокчейн
- ПлатонДанные
- платогейминг
- Polygon
- Доказательство доли
- Квиллхэш
- Безопасность смарт-контрактов
- трендов
- W3
- зефирнет
