宇宙链 宇宙链
Ctrl+D收藏宇宙链

世界杯来袭,欣赏”诸神最后一战“时更要提防风险局

作者:

时间:1900/1/1 0:00:00

作者:GoPlusSecurity

一、与世界杯相关的加密风险层出不穷

2022年卡塔尔世界杯即将到来,本届世界杯极大概率是梅西、C罗、本泽马、莫德里奇、莱万多夫斯基等人的最后一届世界杯。在”诸神最后一战“即将到来的时刻,各种区块链上与世界杯有关的局也层出不穷。

根据GoPlusToken检测引擎的数据统计显示,仅就最近一周出现的名称中存在“FIFA”或者“WorldCup”的有风险Token超过1000个,涉及地址超过16万个,累计流动性更是超过500万美金。

下面列表中包含了一些主要的风险类型:

与此同时,各种与世界杯相关的NFT也不断涌现,其中也包含了大量有严重风险的NFT。因此在世界杯狂欢之余,我们也不能对各类蹭热点的代币/NFT项目掉以轻心,合理运用便利的安全检测工具,保护好自身的加密资产。

二、用户可能遇到的Token风险介绍

Token风险多种多样,在世界杯期间更是可能集中爆发,在这里先介绍几种主要的且非常严重的风险。

Crypto.com成为2022年卡塔尔世界杯官方赞助商:金色财经报道,加密货币交易所 Crypto.com 周二宣布成为 2022年卡塔尔世界杯(The FIFA World Cup – Qatar 2022)的官方赞助商,交易的总金额未披露。Crypto.com 的品牌将出现在2022 年卡塔尔世界杯的体育场内外。作为赞助的一部分,加密货币交易所将为其用户提供参加比赛和赢得官方商品的机会。

Crypto.com 首席营销官 Steven Kalifowitz 在声明中表示:“没有一项运动能像足球那样将世界凝聚在一起,也没有一项体育赛事像 FIFA 世界杯那样将世界凝聚在一起…只有少数品牌有幸以官方身份参加赞助商,我们抓住机会成为这个历史性的活动中第一个代表加密行业的品牌”。(cointelegraph)[2022/3/23 14:12:27]

1.貔貅代币

即合约中包含明确的恶意代码,导致用户无法交易或者资产损失的代币。

例如下面的Token就存在恶意代码。

动态 | 韩国现代在世界杯推出区块链广告:7月7日,英格兰队与瑞典队的比赛每一次中场休息时间中,现代数字资产公司(HDAC)投放了区块链广告。该广告在屏幕文字中提到了三次区块链,在配音中提到了一次。它显示了一个家庭使用区块链技术即时支付,并强调房子本身也在支付范围中。为它提供了智能设备计算仪表读数并自动处理公用事业的付款。据BBC报道,这一四分之一决赛的观众人数达到了1964万,低于观看英格兰对哥伦比亚的2360万观众。[2018/7/9]

如上图所示,该合约代码中所有相关功能都通过外部合约实现,例如所有holder的余额都存储一个外部合约中。这就意味着只要这个外部合约被换成一个新的,所有holder的余额将被直接清零。这就是一个有严重风险的恶意代码。

2.可随时自毁的代币

合约自毁简单来说就是合约可被销毁,销毁后合约也不存在,合约对应的资产也将不复存在。说白了,就是合约没了,合约没了的话那么其对应Token也就没了,用户的相应资产也将直接消失。并且根据监测,合约中包含了自毁功能的代币,最后一般都会启动该功能。

金色独家 食链foodc创始人刘源:应对世界杯“假票门” 区块链可编码防破译:目前世界杯正热,针对近日爆出的门票造假事件,金色财经独家专访了食链foodc创始人刘源。针对门票防伪,区块链技术拥有明显优势。刘源表示:门票的防伪,首先要防范票造假,实际上就是标签防伪,现在主要通过印刷时按照一定的算法印一些花线在上面,类似于身份证花纹防伪技术;另一方面,是防止票编码造假,防止有人反推出票据的生成算法,从而伪造票编码,这个技术就是产品身份识别的技术,防止算法别破译。区块链门票的防伪,主要是应用在票编码防破译这块,使用区块链的加密算法把票编码存储进链,实现票编码算法无法破译。

区块链在实现防伪溯源方面相对于传统防伪手段有哪些优势呢?刘源说,区块链防伪的技术的应用中,使用区块链技术对产品身份进行加密存储,一方面利用共识机制达到不可篡改的效果,另一方面,数据在存储时可使用以太坊的ECDSA算法进行签名加密,会经过约8个步骤,并进行了多次消息摘要算法加密,确保在未来产生量子计算机时也不能被破译,从而做到身份识别的唯一和防伪特性。[2018/6/19]

例如下面的Token就存在自毁功能。

金色财经数据播报 2018世界杯概念板块整体下跌:2018俄罗斯世界杯于昨日晚间开幕,首场比赛吸引了全球球迷的目光,然而令人意外的是,在加密货币市场上,2018世界杯概念板块反而呈现出整体下跌的态势,截止发稿,2018世界杯概念板块整体跌幅达到0.13%,其中热门币种SOC跌幅达到5.03%,WICC跌幅更是达到两位数,为16.49%。[2018/6/15]

如上图所示,其代码中的“kill”function一旦启动,该合约就会自毁,其Token也就会消失。

3.owner可修改余额

即代币合约中有功能可以使owner地址修改其他地址的该代币余额,且不需要经过受害地址的许可。

例如下面的Token就存在该问题,其owner地址可以修改其他地址的余额。

主要有问题的代码如上图所示,其owner地址可以把“adressfrom”的token直接分配给“address”中的地址,并且不需要经过用户的许可。

三、NFT风险介绍

俄罗斯酒店为世界杯游客提供比特币支付选项:在今年俄罗斯的世界杯上,球迷们将可以用比特币支付他们的住宿费用。加里宁格勒(Kaliningrad)的酒店预计将与当地的支付提供商合作,提供这项服务。[2018/3/30]

除了Token以外,NFT也存在各种安全风险。根据相关安全机构的数据统计,众多NFT在合约层面都存在一定的安全隐患:

并且NFT很容易伪造,这就使得关于世界杯NFT局也可能快速增长。

在这里先介绍几种非常严重的NFT合约风险。

1.限制授权对象导致无法交易

一般是指除白名单以外的地址,无法向合约授权。因为去中心化NFT交易平台都需要合约授权,这就意味着用户将无法在去中心化交易所中交易该NFT。

这种局一般是项目方先让白名单中的地址去刷数据,用户会看到在交易平台上该NFT交易数据正常,以为可以交易。但是当用户买入想再卖出时,结果发现就无法交易了。

典型案例

上面的案例中,该NFT合约代码中存在要求,即授权对象不能是合约,而在opensea挂单需要向opensea的合约授权,因此这个nft就无法挂单了

代码如下图所示。

上图中,只有_addressTransferToContract名单里的地址可以授权成功,不在这个名单里的地址给合约授权会失败。

2.不经授权转账

即NFT的owner可以不经授权直接把其他地址的该NFT转移到自己指定的地址上。

这个恶意手段一般有两种使用形式:

卖出NFT后直接转走

如下图所示,该NFT卖出后,直接就被转走。

之所以可以实现这种方式,就是因为其合约代码中设置了一个地址,这个地址有所有该NFT的授权。那么这个地址就可以随时直接把其他地址上的该NFT转走。如下图所示

伪造名人持有并转账过该NFT,使得该NFT获得所谓的名人背书

近期有很多用户反馈,就是有些NFT项目宣传某大V站台,并表明大V交易过,因此咨询我们项目的安全性。其实这就是“不经授权转账”的另一种具体模式。

其主要流程是这样的:

1.先把NFTmint给某公开的大V地址,该NFT合约代码中有不经授权转账的逻辑。

2.之后找到合适时机,把该NFT再从大V的地址转走。那么在链上就表现为大V的地址不仅持有还转账过NFT(特别是转账这一步有很强的迷惑性,普通用户可能会误认为大V真的交易过该NFT)。

3.之后项目方就可以以此宣传获得所谓的“大V背书”,进而用户。

四、作为用户,应该如何防御相关风险

首先,树立防范意识,基于自身情况,建立基本的防范措施

需要明确类似世界杯局一定会越来越多,一定要时刻注意。随着世界杯的进行,相关热度逐步提高,一定会有更多的局出现。除了与世界杯或者FIFA有关以外,还可能会有世界杯上的知名球星或热门事件相关的局。大家一定要时刻注意。

对于感兴趣的Token/NFT要慎重,先通过官网/社群/twitter等了解其基本情况。

对于别人推荐的token或者链接一定要小心,避免上当受。

以上几点注意事项其实并不复杂,但为什么攻击者却能屡屡得手?

一是因为攻击范围大,覆盖用户量大,总有漏网之鱼;二是利用了用户的急躁心态,引发用户恐慌,同时不给用户留出思考时间;三是用户可以缺少快速检测Token/NFT局的工具。

其次,要学会使用安全检测工具

针对Token/NFT中的各种局,需要在买入前提前使用相关检测工具检查,尽可能避免风险。

1.针对Token检测,可以使用GoPlus代币安全检测服务

GoPlus代币安全检测服务是目前覆盖代币数最多、检测项最全、检测结果最准的代币检测服务之一,目前其检测服务已经接入到TokenPocket、AveDex、Mask、Bitkeep等众多知名区块链产品中。

GoPluseco上的代币安全检测介绍页

打开后直接在页面中选择Token对应的公链,并输入地址,即可查看检测结果。

点击检测按钮后,即可出现全面的安全检测结果,包含了合约安全、貔貅风险、持有量与锁仓情况等数十项安全检测内容。

2.针对NFT检测,可以使用GoPlusNFT安全检测服务

GoPlusNFT安全检测服务是目前已经支持各项主要的NFT安全检测。其安全服务也已经被X2Y2等主要平台所使用。

GoPluseco上的GoPlusNFT介绍页

打开后直接在页面中选择NFT对应的公链,并输入地址,即可查看检测结果。

点击检测按钮后,即可出现全面的安全检测结果,包含了合约安全、NFT真伪性、交易信息等数十项安全检测内容。

3.直接在GoPluseco中输入地址进行搜索。

可以直接在GoPluseco中输入地址进行搜索,里面集成了Token与NFT的相关检测。

输入地址后,会检测该地址有无恶意行为,并提供相应的Token/NFT检测入口。

以上内容均来自GoPluseco,GoPluseco通过聚合行业内优质的安全应用或服务,为用户匹配最优的安全解决方案。遇到安全相关的问题时,不妨来GoPluseco问问,这里有问必答。

并且在世界杯期间,GoPluseco将提供世界杯安全主题页,提供能够检测世界杯相关Token、NFT和钓鱼网站的安全服务,保护大家的资产安全。

标签:NFTTOKETOKENTOKNFTPUNK价格UNCC Tokenimtoken钱包被冻结3X Long Ethereum Classic Token

火币网下载官方app热门资讯
对话 Zebec Protocol:向多链生态挺进,并发展更多合作伙伴

作者:了了,ODAILY星球日报作为流支付赛道的代表之一,ZebecProtocol?发展迅猛.

1900/1/1 0:00:00
晚报 | Uniswap 推出 NFT 聚合交易平台;Kraken 裁员 30%

整理:润升,链捕手 “过去24小时都发生了哪些重要事件”?1、NGCVentures已向Web3行业复苏倡议注资1000万美元加密风投机构NGCVentures发推宣布已向币安发起的Web3行业复苏倡议项目注资1000万USDC.

1900/1/1 0:00:00
EigenLayer:将以太坊级别的信任引入中间件

作者:Jiawei,IOSGVentures 引子 在当前的以太坊生态中,存在着许多的中间件。左侧是应用端的视角。一些dApp的运行依赖于中间件:例如DeFi衍生品依赖于预言机喂价;例如资产的跨链转移依赖于跨链桥作为第三方中继.

1900/1/1 0:00:00
Pomerantz 律师事务所对 Silvergate Capital 提起集体诉讼

律师事务所PomerantzLLP宣布已经对加密货币和金融科技银行SilvergateCapitalCorporation(纽约证券交易所市场代码:SI)和部分高管提起集体诉讼.

1900/1/1 0:00:00
Web3 创作者平台 Virtualness 完成超 800 万美元种子轮融资,Blockchange Ventures 领投

据PRNewswire报道,Web3初创公司Virtualness完成超过800万美元种子轮融资,BlockchangeVentures领投.

1900/1/1 0:00:00
Cobo 私享会:FTX 事件标志着中心化交易所黄昏的到来

作者:Cobo 加密行业在今年似乎也面临着黄昏时刻:从Luna的陨落到3AC的暴雷,再到FTX的帝国坍塌,一连串负面事件的出现,让整个行业的发展蒙上了一层阴影.

1900/1/1 0:00:00