阅读时间: 5 分钟
资产的安全性在很大程度上决定了用户从投资中赚到多少钱。 因此,这里有一个安全博客,可让您在 Web3 中保持了解和了解情况。
加密货币以其波动性而闻名。 这表明资产价格对做出投资决策有多大影响。 黑客可以利用价格来欺骗用户以获取收益。
任何一个顽固的加密投资者都会面临这样一种情况,即加密代币价格被操纵以产生悲观或乐观的错觉。 这将促使用户购买它们,然后发现它们已因欺骗而堕落。
那么,什么是欺骗? 如何识别它们并保持警惕,以免看到你的钱凭空消失? 我们将在此博客中涵盖所有内容。
“欺骗”——简而言之
一个广受期待的代币终于推出了,它有着如此多的炒作,用户正在等待购买,带有相同的符号和官方标志。 并且非常兴奋,用户想要购买它们。
但是用户如何确信代币的真实性并继续进行批量购买呢?
用户在区块浏览器上发现与代币转移相关的地址是影响者/知名人士。
这里是黑客操纵的 From 地址 象征,使其看起来像是与知名影响者的地址相关联。 看到这一点,用户很喜欢交易那些认为它们是原始代币的代币。
幕后——黑客是如何做到的?
智能合约中的转账数据可以轻松修改。 因此,通过利用这一点,攻击者可以将发件人地址更改为任何其他地址,尽管他/她是发起交易的人。
让我们看一下 Etherscan 中的代币转移,以便更好地了解欺骗性代币转移。
在此您可以看到 Vitalik 的地址 0xab5801a7d398351b8be11c439e05c5b3259aec9b 已收到 zkSync 令牌。
代币可能会从任何人转移到 Vitalik 的地址,这没什么大不了的。
但是,在这里,您可以看到 Vitalik 发出了代币。 因此,这将诱使用户认为 Vitalik 发送的这些代币将是真正的大奖。
但这不是真的! 让我们来看看前方是什么!
Vitalik 没有发起转账,但发起交易的合约所有者让它看起来像是由 Vitalik 发送的。 这是区块浏览器被欺骗以显示被操纵的交易的地方,因为区块浏览器只能读取事件。
这可以通过查看交易详细信息来找到,该详细信息清楚地显示了发起者地址 (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) 进行的交易操纵它是由 Vitalik 完成的。
仔细观察,您会发现输入数据是由 Vitalik 的地址提供的。 这也可以在合同中进行硬编码。
此外,在反编译时,我们可以找到一个非标准的传递函数,它的输入为 发件人地址 并启动传输事件。 这就是合约所有者输入 Vitalik 地址的地方,以使其看起来像是在进行转账。
代币转移中的事故
以下是用户如何将 From 地址误认为是交易发起者的地址。 该欺骗技巧通过利用 ERC-20 代币的设计标准和 Block explorer 的透明数据显示,成功地对用户发起攻击。
ERC-20 标准的 transfer 和 transferFrom 函数有助于添加任意地址作为代币的发送者,并且从合约的发起者地址更改 From 地址。
像 Etherscan 这样的区块浏览器会显示 From 地址而不是 tx 发起者地址,这会导致用户打包无价值的代币。
最近有任何 Spoof Token Spam 事件吗?
乌克兰最近宣布“空投”奖励用户的加密货币捐赠已发布在 Twitter 句柄上。
不久之后,以太坊的区块浏览器 Etherscan 展示了乌克兰官方钱包,其中包含 7 亿个“和平世界”代币,用于秘密加密空投。
乌克兰官方钱包也有活动向捐赠给乌克兰资金的加密钱包地址发送代币。
但是官方在最初发布后没有关于空投事件的详细信息(如代币类型或要发射的代币数量等)
后来,区块链分析师证实,和平世界(WORLD)代币可能是恶搞,Etherscan 将其标记为“误导性”,并将其标记为垃圾邮件。
这个例子展示了如何 乌克兰的钱包地址被用于发起虚假空投– 令牌欺骗的一个实例。
如何避免购买恶搞代币?
最好的方法是深入交易细节,查看代币转账的From地址和initiator地址是否相同。
尽管并非所有从不同地址发起的代币转移都一定是欺骗,但使用 EtherScan 中列出此类可疑代币的“代币忽略列表”功能,用户可以保持警惕并注意与他们交互的代币。
Web3 安全性中的 QuillAudits
羽毛笔审计 是一家领先的安全公司,通过提供智能合约审计和尽职调查服务来为成熟和成长中的企业提供保护,以保持对 web3 黑客的警惕。
与我们的专家取得联系,在 10 分钟内获得免费咨询:
https://t.me/quillaudits_official
15 观点
