¿A qué debemos prestar atención cuando operamos en la cadena con baches por todas partes?

Título original: Guía esencial anti-pit para operaciones en cadena

La tecnología Blockchain es una de las innovaciones más importantes de la era actual, que hace que la descentralización sea verdaderamente posible. Cualquiera tiene control absoluto sobre sus propios activos en la cadena, y el mundo exterior no puede interferir ni operar.

Este tipo de derecho va acompañado de responsabilidad, lo que significa que los usuarios deben asumir el 100% de la responsabilidad por la seguridad de sus propios activos. Deben prestar especial atención al almacenamiento de claves privadas y operaciones diarias. Una vez que la clave privada o mnemotécnica es robado, todos los activos se perderán en riesgo de robo. Aunque muchas partes del proyecto (como Tether) teóricamente pueden controlar los activos en la cadena a través de contratos inteligentes y recuperar los activos robados, generalmente solo ayudan cuando los piratas informáticos atacan deliberadamente y causan muchas pérdidas. .

Es previsible que más y más actividades comerciales se transfieran a la cadena en el futuro, pero desafortunadamente, las estafas en la cadena siguen apareciendo en grandes cantidades y se han derivado muchas formas nuevas. Muchos lectores han informado al receptor de la cadena que han encontrado fraude en la cadena y las pérdidas de decenas de miles de yuanes han sido irrecuperables. Con el fin de ayudar a más principiantes en la industria del cifrado a comprender el sentido común de la industria y evitar caer en trampas, Chain Catcher resume algunos métodos comunes de estafa en este artículo, de la siguiente manera:

Estafa falsificada

Caso: El proyecto que preocupa a Xiaoming es hacer IDO. En el grupo de Telegram, vi que alguien publicó la dirección del contrato inteligente token. Xiaoming cambiará la dirección y la ingresará en Uniswap y encontrará que ya es negociable y tiene una liquidez por valor de cientos de miles de yuanes, y luego compró 1 ETH, pero después de eso se duplicó con creces y estuvo a punto de venderse, se descubrió que el sistema indicaba que no se podía vender, lo que equivalía a volver a cero .

Análisis: esta situación es una estafa de moneda falsificada. Algunos grupos fraudulentos emitirán monedas en lotes bajo el nombre de la moneda con mucha atención, y establecerán un grupo de comercio de Uniswap, inyectarán cierta cantidad de liquidez, con la intención de engañar a los usuarios como moneda real. , y luego en algunos canales de redes sociales difundió la dirección del contrato inteligente, pero el código del contrato inteligente de este token en realidad ha estipulado que solo el emisor puede vender el token, otros usuarios solo pueden comprar pero no vender, y si el usuario ve la dirección en las redes sociales y cree que es verdad, después de comprar sus tokens, solo puede sentarse y ver cómo aumenta y, finalmente, vuelve a cero.

De acuerdo con la observación del cazador de cadenas, la mayoría de las monedas falsificadas en Uniswap son emitidas por un grupo de fraude específico, y la dirección de cada emisor de fichas se puede asociar a través del registro de transferencia. En los últimos dos meses, al menos 70 monedas falsificadas se han emitido, con al menos Más de 4000 ETH.

En términos de métodos específicos, también transferirán algunas monedas falsificadas a las direcciones marcadas como Binance, V God y 0x-b1 para atraer la atención de los seguidores de estas direcciones, el ciclo de cada actividad de emisión es de aproximadamente 3 a 5 días. agrega cientos de liquidez de ETH, retira toda la liquidez después de unos pocos compradores y luego transfiere todo el ETH a nuevas direcciones para volver a emitir nuevas monedas y transfiere fondos a través de Tornado.cash de vez en cuando.

Aún más engañoso, estos grupos de estafa también crearán la ilusión de que algunas ballenas gigantes están comprando estas monedas. Como se muestra en la figura a continuación, se cree ampliamente que esta dirección es propiedad de Justin Sun y tiene miles de millones de dólares en activos. En más de diez días, Etherscan muestra que su dirección compró varias monedas nuevas de Uniswap. Algunos rastreadores de direcciones de ballenas gigantes vieron estos El registro puede ser "documental", pero si hace clic en el registro de transacción específico, se puede ver que la transacción no la inicia el propietario de la dirección, sino la dirección del emisor de la moneda falsificada que utiliza el contrato inteligente para compra directamente de Uniswap y establece la dirección de Justin Sun como la moneda de recepción debido a la dirección.

Además de la dirección de Sun Yuchen, muchas de las grandes direcciones ETH que muestra Etherscan tienen situaciones similares.

Por lo tanto, cuando opere en Uniswap, debe usar la dirección de contrato anunciada oficialmente, o la moneda en la lista recomendada de Uniswap, y estar atento a la dirección de contrato inteligente que ve en otros canales, de lo contrario, es probable que cause muchas pérdidas.

Estafa de aplicación falsa

Caso 1: Xiao Ni cambió a un nuevo teléfono móvil y vio que un usuario en un grupo de WeChat que se mostraba como un personal de imtoken publicó una imagen de boletín, con un enlace de descarga de la aplicación adjunto. Ocurrió que el imtoken no se había descargado en el nuevo teléfono móvil y luego escaneó el código QR para descargar su aplicación, ingresar la clave privada e importar la billetera, pero pronto descubrió que todos los activos en su dirección fueron transferidos y la pérdida fue de casi 20,000 yuanes.

Caso 2: Según el informe del "Washington Post", cuando dos usuarios buscaron el nombre de la billetera de hardware encriptada Treznor en la App Store de Apple a principios de este mes, apareció una aplicación que usaba un logotipo y un color muy similar al Treznor real. aunque Treznor en ese momento no se lanzó la aplicación móvil, pensaron erróneamente que Treznor lanzó una versión móvil, por lo que descargaron e importaron la clave privada y finalmente robaron 17.1 bitcoins y $ 14,000 en ETH respectivamente.

Análisis: La clave privada y el mnemotécnico significan un control absoluto sobre los activos de la billetera, por lo que muchas estafas intentan obtener la clave privada del usuario, y la aplicación oficial falsa es el método más común. Esta aplicación falsa puede falsificarse como un boletín oficial Inducir a los usuarios a descargar, o pagar para que los motores de búsqueda clasifiquen sitios web falsos en la parte superior, o lanzar aplicaciones falsas con el mismo nombre en la tienda de aplicaciones oficial de Apple/Android. Imitarán en gran medida el sitio web oficial y la información de la imagen. Una vez que el usuario descarga la aplicación y importa el mnemotécnico, los activos de la billetera se transferirán inmediatamente.

Por lo tanto, cuando descargue aplicaciones de billetera e intercambio, recuerde descargar desde los canales oficiales y verifique si el nombre de dominio del sitio web y otra información son correctos.

Estafa de atención al cliente falsa

Caso: Xiao Zhan encontró un problema al usar un determinado producto DApp, por lo que trató de preguntarle al personal oficial en el grupo de Telegram, y luego un usuario conversó con él en privado para preguntarle sobre la situación y le dijo que podía chatear en privado con un personal oficial para resolver el problema y enviar el nombre de la cuenta a Xiao Zhan Zhan, por lo que Xiao Zhan hizo clic directamente en el nombre de la cuenta para ingresar a la interfaz de chat privado. El personal oficial preguntó con entusiasmo qué le sucedió a Xiao Zhan, diciendo que se debía a un problema con la base de datos del proyecto y se estaba resolviendo Realice un reinicio y pregúntele a Xiao Zhan qué billetera usa, luego proporcione un enlace y pídale a Xiao Zhan que ingrese la palabra mnemotécnica para importar la billetera para futuras operaciones, pero Xiao Zhan no continuó al siguiente paso fuera de la vigilancia en este momento para evitar la fuga de la palabra mnemotécnica.

Análisis: Hoy en día, casi todas las comunidades importantes, como WeChat y Telegram, tienen cuentas que se hacen pasar por cuentas oficiales de servicio al cliente. Utilizan varios métodos para defraudar la confianza de los usuarios, intentan llevar temas a las billeteras e inducen a los usuarios a ingresar palabras mnemotécnicas o claves privadas. Una vez que los usuarios ingresan, todos los activos se transferirán pronto.

Por lo tanto, cuando busca ayuda en varias comunidades, debe confirmar la identidad de la otra parte. Si no está seguro de su identidad, puede publicar una captura de pantalla en el grupo y pedir a otros usuarios activos que lo ayuden a identificarlo. Por lo general, oficial El personal no tomará la iniciativa de chatear con los usuarios en privado y pedirá a los usuarios que ingresen información privada, pero permitirá que los usuarios tomen la iniciativa de chatear en privado en el chat grupal.

Estafa de Airdrop

Caso: Xiaoxi vio en el grupo de WeChat que alguien publicó la información de lanzamiento aéreo de un proyecto conocido. Siempre que completara algunas tareas específicas de redes sociales en el grupo de Telegram, podría obtener cientos de dólares en recompensas simbólicas. Xiaoxi siguió el instrucciones del robot de telegramas para completar todo, pero luego el robot recordó que es necesario enviar una pequeña cantidad de tokens a la dirección del contrato antes de recibir los tokens de airdrop. Teniendo en cuenta que el costo no es alto, Xiao Xi pagó los tokens según lo requerido pero no recibió los tokens de lanzamiento aéreo y, en cambio, perdió más de diez dólares en vano.

Análisis: De hecho, hay una gran cantidad de lanzamientos aéreos de tokens basados ​​​​en tareas de redes sociales, por lo que es fácil reducir la vigilancia de los usuarios, pero también es cierto que muchos estafadores usarán la psicología laxa de los usuarios para llevar a cabo estafas y usar. Airdrops para inducir a los usuarios a depositar monedas en contratos inteligentes, aunque la cantidad única no suele ser grande, sigue siendo bastante impresionante reunir una pequeña cantidad en una gran cantidad.

En la actualidad, no existe una actividad real de airdrop que requiera que los usuarios envíen monedas a la dirección de la billetera externa para recibirla. Todos deben ignorar directamente las actividades de airdrop que requieren transferencia de moneda.

Algunas notas

Además de las estafas implementadas deliberadamente mencionadas anteriormente de las que es necesario protegerse, las operaciones en la cadena aún enfrentan muchos riesgos de seguridad causados ​​por posibles errores operativos, principalmente de la siguiente manera:

Primero, evite la autorización excesiva a DApp y limpie la autorización con regularidad. El usuario necesita autorización cuando interactúa con una determinada DApp por primera vez, pero habrá peligros ocultos. Si la DApp es atacada más tarde, podrá usar directamente su autoridad para robar los activos del usuario. El límite superior de la moneda monto de la transferencia.

En segundo lugar, trate de evitar el uso de DApps que no hayan sido auditadas por empresas de seguridad, especialmente las DApps que también afirman tener un APY alto, y sus riesgos de seguridad pueden generar grandes pérdidas de capital.

En tercer lugar, debe enfatizarse nuevamente, preste atención para guardar la clave privada y el mnemotécnico de la dirección, es mejor guardarlo en un hardware o en una computadora portátil que no esté conectada a Internet, y no revele la clave privada y mnemotécnico a cualquier tercero, que es un poco la más importante de todas las medidas de seguridad.

El enorme espacio imaginativo derivado de la tecnología blockchain, así como las aplicaciones a mayor escala, dependen de más usuarios con mayor alfabetización operativa y conocimiento de la cadena, para no convertir la cadena en un lugar extralegal lleno de estafas. los usuarios han sufrido grandes pérdidas sin razón alguna, por lo que la importancia de la divulgación y educación científica antes mencionada es particularmente destacada.

Autor | Gu Yu

Tags：

Mejor intercambio de Bitcoin