Lästid: 5 minuter
Säkerheten och säkerheten för tillgångar gör stor skillnad i hur mycket pengar användarna tjänar på sina investeringar. Och så här är en säkerhetsblogg för att hålla dig medveten och informerad i Web3.
Kryptovalutor är kända för sin volatilitet. Det talar om hur mycket tillgångens pris är inflytelserik för att fatta investeringsbeslut. Det finns en hake för hackare att leka med priserna och lura användare för sina vinster.
Alla som är en inbiten kryptoinvesterare skulle ha ställts inför en situation där kryptotokens priser manipuleras för att skapa en illusion av pessimism eller optimism. Detta skulle få användare att köpa dem och senare upptäcka att de har fallit för spoofing.
Så, vad är spoofing? Hur identifierar man dem och är uppmärksam på att undvika att se dina pengar försvinna i tomma luften? Vi kommer att täcka upp allt i den här bloggen.
"spoofing" – i ett nötskal
En efterlängtad token med så mycket hype som användaren väntar på att köpa lanseras äntligen, med samma symbol och officiella logotyp. Och med stor spänning vill användaren köpa dem.
Men hur är användaren övertygad om äktheten av tokens och fortsätter att göra ett massköp av dem?
Användaren finner på blockutforskaren att adresserna som är associerade med tokenöverföringarna är influencers/hyllade personligheter.
Här är där hackaren manipulerade Från-adressen till token, vilket gör att det ser ut som om det är kopplat till en välkänd influencers adress. När användarna ser detta, ägnar sig användarna mycket åt dessa tokens och tror att de är de ursprungliga.
Bakom kulisserna – Hur gjorde hackaren detta?
Överföringsdata i smarta kontrakt kan enkelt modifieras. Därför, genom att använda detta, skulle angriparen ändra Från-adressen till vilken som helst annan, även om han/hon är den som initierar transaktionen.
Låt oss titta på tokenöverföringen i Etherscan för bättre klarhet i överföringar av falska token.
I denna kan du se Vitaliks adress 0xab5801a7d398351b8be11c439e05c5b3259aec9b har fått zkSync-tokens.
Polletterna kan överföras från vem som helst till Vitaliks adress, vilket är ingen stor sak.
Men i detta kan du se att Vitalik skickar ut tokens. Så detta skulle locka användare att tro att dessa tokens skickade av Vitalik skulle vara en riktig jackpott.
Men det är inte sant! Låt oss ta reda på vad som väntar!
Vitalik initierade inte överföringen, men ägaren av kontraktet som initierade transaktionen fick det att se ut som skickat av Vitalik. Det är här blockutforskaren spoofas för att visa den manipulerade transaktionen, eftersom blockutforskaren bara kan läsa händelser.
Detta kan hittas genom att titta på transaktionsdetaljerna, som tydligt visar att initiatoradressen (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) fortsatte med transaktionen och manipulerade den till att ha gjorts av Vitalik.
Vid en närmare titt kan du se att indata matas med Vitaliks adress. Detta kan också vara hårdkodat i kontraktet.
Vidare, vid dekompilering, kan vi hitta en icke-standardiserad överföringsfunktion som tar indata för Från adress och initierar överföringshändelsen. Och det är här kontraktsägaren har angett Vitaliks adress för att det ska se ut som att han gör överföringen.
Missöden i Token Transfer
Så här missar användaren att Från-adressen är adressen till transaktionsinitiatorn. Spoofing-tricket fungerar för att starta framgångsrika attacker mot användaren genom att utnyttja ERC-20-tokens designstandard och Block explorers transparenta datadisplay.
ERC-20-standardens funktioner för överföring och transferFrom underlättar att lägga till valfri godtycklig adress som avsändare av tokens och att Från-adressen ändras från kontraktets initiatoradress.
Blockutforskare som Etherscan visar Från-adressen snarare än tx-initiatoradressen, vilket resulterar i att användaren packar de värdelösa tokens.
Någon ny händelse av Spoof Token Spam?
Det senaste tillkännagivandet om Ukrainas "airdrop" för att belöna kryptovalutadonationer av användaren publicerades på Twitter-handtagen.
Strax efter visade Ethereums blockutforskare Etherscan upp Ukrainas officiella plånbok som innehöll 7 miljarder "Peaceful World"-tokens för den hemliga krypto-airdrop.
Det förekom också aktiviteter från Ukrainas officiella plånbok som skickade tokens till kryptoplånboksadressen som donerade till Ukrainas fonder.
Men det fanns inga detaljer om den officiella airdrop-händelsen efter det första inlägget från myndigheterna (som i tokentyp eller antalet tokens som ska lanseras, etc.)
Senare bekräftade blockchain-analytiker att tokens för den fredliga världen (WORLD) kan vara ett parodi, och Etherscan taggade dem som "vilseledande" och markerade dem som spam.
Det här exemplet visar hur Ukrainas plånboksadress används för att lansera en falsk airdrop– en instans av token spoofing.
Hur undviker man att köpa falska tokens?
Det bästa sättet är att gräva i transaktionsdetaljerna och undersöka om Från-adressen och initiatoradressen för tokenöverföringen är densamma.
Även om inte alla tokenöverföringar som initieras från olika adresser nödvändigtvis kan vara en förfalskning, genom att använda funktionen "Token ignore list" i EtherScan som listar den misstänkta token i denna kategori, kan användare vara uppmärksamma och vara uppmärksamma på de tokens de interagerar med.
QuillAudits i Web3 Security
QuillAudits är ett ledande säkerhetsföretag som erbjuder skydd till etablerade och växande företag genom att tillhandahålla smarta kontraktsrevisions- och due diligence-tjänster för att vara vaksam mot web3-hack.
Kontakta våra experter för en kostnadsfri konsultation på knappt 10 minuter:
https://t.me/quillaudits_official
15 Visningar
- Bitcoin
- blockchain
- blockchain-efterlevnad
- blockchain konferens
- coinbase
- coingenius
- Konsensus
- kryptokonferens
- crypto mining
- kryptovaluta
- decentraliserad
- Defi
- Digitala tillgångar
- ethereum
- maskininlärning
- icke fungibelt symbol
- plato
- plato ai
- Platon Data Intelligence
- Platonblockchain
- PlatonData
- platogaming
- Polygon
- bevis på spel
- Pilbåt
- Smart kontraktssäkerhet
- trending
- W3
- zephyrnet
