อ่านเวลา: 5 นาที
ความปลอดภัยและความมั่นคงของสินทรัพย์สร้างความแตกต่างอย่างมากต่อจำนวนเงินที่ผู้ใช้ได้รับจากการลงทุน และนี่คือบล็อกความปลอดภัยเพื่อรับทราบและรับทราบข้อมูลใน Web3
Cryptocurrencies เป็นที่รู้จักสำหรับความผันผวนของพวกเขา ที่บอกว่าราคาของสินทรัพย์มีอิทธิพลต่อการตัดสินใจลงทุนมากน้อยเพียงใด มีแฮ็กเกอร์จับได้ว่าเล่นกับราคาและหลอกลวงผู้ใช้เพื่อผลประโยชน์ของพวกเขา
ใครก็ตามที่เป็นนักลงทุน crypto ที่ตายยากจะต้องเผชิญกับสถานการณ์ที่ราคาของ crypto token ถูกควบคุมเพื่อสร้างภาพลวงตาของการมองโลกในแง่ร้ายหรือการมองโลกในแง่ดี สิ่งนี้จะกระตุ้นให้ผู้ใช้ซื้อพวกเขาและพบว่าพวกเขาตกเป็นเหยื่อการปลอมแปลงในภายหลัง
ดังนั้นการปลอมแปลงคืออะไร? จะระบุได้อย่างไรและตั้งสติเพื่อหลีกเลี่ยงการเห็นเงินของคุณหายไปในอากาศ เราจะรวบรวมทุกอย่างไว้ในบล็อกนี้
'การปลอมแปลง' - สรุป
โทเค็นที่ได้รับการคาดหวังอย่างกว้างขวางพร้อมโฆษณามากมายที่ผู้ใช้กำลังรอซื้อในที่สุดก็เปิดตัวโดยมีสัญลักษณ์เดียวกันและโลโก้อย่างเป็นทางการ และด้วยความตื่นเต้นอย่างมาก ผู้ใช้ต้องการที่จะซื้อมัน
แต่ผู้ใช้จะมั่นใจได้อย่างไรว่าโทเค็นเป็นของแท้และดำเนินการซื้อโทเค็นจำนวนมากได้อย่างไร
ผู้ใช้พบในเครื่องมือสำรวจบล็อกว่าที่อยู่ที่เกี่ยวข้องกับการโอนโทเค็นเป็นผู้มีอิทธิพล/บุคคลที่มีชื่อเสียง
นี่คือจุดที่แฮ็กเกอร์ใช้ที่อยู่ From ของ โทเค็นทำให้ดูเหมือนว่าเชื่อมโยงกับที่อยู่ของผู้มีอิทธิพลที่มีชื่อเสียง เมื่อเห็นสิ่งนี้ ผู้ใช้ชอบที่จะซื้อขายโทเค็นเหล่านั้นโดยเชื่อว่าเป็นโทเค็นดั้งเดิม
เบื้องหลัง – แฮ็กเกอร์ทำสิ่งนี้ได้อย่างไร
การถ่ายโอนข้อมูลในสัญญาอัจฉริยะสามารถแก้ไขได้อย่างง่ายดาย ดังนั้น เมื่อใช้สิ่งนี้ ผู้โจมตีจะเปลี่ยนที่อยู่ From เป็นที่อยู่อื่น แม้ว่าเขาจะเป็นผู้เริ่มต้นธุรกรรมก็ตาม
มาดูการโอนโทเค็นใน Etherscan เพื่อความชัดเจนยิ่งขึ้นของการโอนโทเค็นปลอม
ในนี้คุณจะเห็นที่อยู่ของ Vitalik 0xab5801a7d398351b8be11c439e05c5b3259aec9b ได้รับโทเค็น zkSync
โทเค็นอาจถูกโอนจากใครก็ได้ไปยังที่อยู่ของ Vitalik ซึ่งไม่ใช่เรื่องใหญ่
แต่ในกรณีนี้ คุณจะเห็นว่า Vitalik ส่งโทเค็นออกไป ดังนั้นสิ่งนี้จะล่อให้ผู้ใช้คิดว่าโทเค็นเหล่านี้ที่ Vitalik ส่งมาจะเป็นแจ็คพอตที่แท้จริง
แต่นั่นไม่เป็นความจริง! มาดูกันว่ามีอะไรรออยู่ข้างหน้า!
Vitalik ไม่ได้เป็นผู้เริ่มการโอน แต่เจ้าของสัญญาที่เริ่มต้นการทำธุรกรรมได้แจ้งว่า Vitalik เป็นคนส่ง นี่คือจุดที่ตัวสำรวจบล็อกถูกปลอมแปลงเพื่อแสดงธุรกรรมที่ถูกจัดการ เนื่องจากตัวสำรวจบล็อกสามารถอ่านเหตุการณ์ได้เท่านั้น
สามารถพบได้โดยดูรายละเอียดการทำธุรกรรมซึ่งแสดงให้เห็นอย่างชัดเจนถึงที่อยู่ของผู้ริเริ่ม (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) ดำเนินการกับธุรกรรมที่จัดการโดย Vitalik
เมื่อตรวจสอบอย่างละเอียด คุณจะพบว่าข้อมูลที่ป้อนเข้าถูกป้อนด้วยที่อยู่ของ Vitalik นอกจากนี้ยังสามารถเขียนรหัสตายตัวในสัญญาได้อีกด้วย
นอกจากนี้ ในการดีคอมไพล์ เราสามารถพบฟังก์ชันการถ่ายโอนที่ไม่ได้มาตรฐานซึ่งรับอินพุตสำหรับ จากที่อยู่ และเริ่มต้นเหตุการณ์การถ่ายโอน และนี่คือจุดที่เจ้าของสัญญาป้อนที่อยู่ของ Vitalik เพื่อให้ดูเหมือนว่าเขากำลังทำการโอน
อุบัติเหตุในการโอนโทเค็น
นี่คือวิธีที่ผู้ใช้เข้าใจผิดว่าที่อยู่ต้นทางเป็นที่อยู่ของผู้เริ่มต้นธุรกรรม เคล็ดลับการปลอมแปลงทำงานเพื่อเริ่มการโจมตีผู้ใช้ที่ประสบความสำเร็จโดยใช้ประโยชน์จากมาตรฐานการออกแบบของโทเค็น ERC-20 และการแสดงข้อมูลที่โปร่งใสของ Block explorer
ฟังก์ชันการโอนและการโอนจากมาตรฐาน ERC-20 อำนวยความสะดวกในการเพิ่มที่อยู่ตามอำเภอใจในฐานะผู้ส่งโทเค็น และที่อยู่จากจะเปลี่ยนจากที่อยู่ผู้ริเริ่มสัญญา
ตัวสำรวจบล็อกเช่น Etherscan จะแสดงที่อยู่ From แทนที่จะเป็นที่อยู่ tx initialor ซึ่งส่งผลให้ผู้ใช้เก็บโทเค็นที่ไม่มีค่าไว้ในกระเป๋า
เหตุการณ์ล่าสุดของสแปมโทเค็นปลอม?
การประกาศเมื่อเร็ว ๆ นี้ของ “การทิ้งระเบิด” ของยูเครนสำหรับการบริจาค cryptocurrency ที่คุ้มค่าโดยผู้ใช้นั้นถูกโพสต์บน Twitter
หลังจากนั้นไม่นาน Etherscan นักสำรวจบล็อคของ Ethereum ได้แสดงกระเป๋าเงินอย่างเป็นทางการของยูเครนที่ถือโทเค็น “Peaceful World” จำนวน 7 พันล้านโทเค็นสำหรับการส่งรหัสลับแบบลับๆ
นอกจากนี้ยังมีกิจกรรมจากกระเป๋าเงินอย่างเป็นทางการของยูเครนที่ส่งโทเค็นไปยังที่อยู่กระเป๋าเงินดิจิทัลที่บริจาคให้กับกองทุนของยูเครน
แต่ไม่มีรายละเอียดของเหตุการณ์ airdrop อย่างเป็นทางการหลังจากโพสต์เริ่มต้นจากทางการ (เช่น ประเภทโทเค็นหรือจำนวนโทเค็นที่จะเปิดตัว เป็นต้น)
ต่อมานักวิเคราะห์บล็อกเชนยืนยันว่าโทเค็นโลกที่สงบสุข (WORLD) อาจเป็นการหลอกลวง และ Etherscan แท็กว่า "หลอกลวง" และทำเครื่องหมายว่าเป็นสแปม
ตัวอย่างนี้แสดงให้เห็นว่า ที่อยู่กระเป๋าเงินของยูเครนถูกใช้เพื่อเปิดตัวเครื่องบินปลอม– ตัวอย่างของการปลอมแปลงโทเค็น
จะหลีกเลี่ยงการซื้อโทเค็นปลอมได้อย่างไร
วิธีที่ดีที่สุดคือการเจาะลึกรายละเอียดการทำธุรกรรมและดูว่าที่อยู่ต้นทางและที่อยู่เริ่มต้นของการโอนโทเค็นนั้นเหมือนกันหรือไม่
แม้ว่าการถ่ายโอนโทเค็นทั้งหมดที่เริ่มต้นจากที่อยู่ต่างๆ อาจไม่ใช่การปลอมแปลง แต่การใช้คุณลักษณะ 'รายการโทเค็นที่เพิกเฉย' ใน EtherScan ที่แสดงรายการโทเค็นที่น่าสงสัยในหมวดหมู่นี้ ผู้ใช้สามารถตื่นตัวและเฝ้าระวังโทเค็นที่พวกเขาโต้ตอบด้วย
QuillAudits ในความปลอดภัยของ Web3
QuillAudits เป็นบริษัทรักษาความปลอดภัยชั้นนำที่ให้ความคุ้มครองแก่กิจการที่จัดตั้งขึ้นและกำลังเติบโตโดยให้บริการตรวจสอบสัญญาอัจฉริยะและบริการตรวจสอบวิเคราะห์สถานะเพื่อเฝ้าระวังการแฮ็ก web3
ติดต่อกับผู้เชี่ยวชาญของเราเพื่อรับคำปรึกษาฟรีภายในเวลาไม่ถึง 10 นาที:
https://t.me/quillaudits_official
15 เข้าชม
- Bitcoin
- blockchain
- การปฏิบัติตามบล็อคเชน
- การประชุม blockchain
- coinbase
- เหรียญอัจฉริยะ
- เอกฉันท์
- การประชุม crypto
- การทำเหมือง crypto
- cryptocurrency
- ซึ่งกระจายอำนาจ
- Defi
- สินทรัพย์ดิจิทัล
- ethereum
- เรียนรู้เครื่อง
- โทเค็นที่ไม่สามารถทำซ้ำได้
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- Platoblockchain
- เพลโตดาต้า
- เพลโตเกม
- รูปหลายเหลี่ยม
- หลักฐานการเดิมพัน
- ควิลแฮช
- การรักษาความปลอดภัยสัญญาอัจฉริยะ
- แนวโน้ม
- W3
- ลมทะเล