链上操作必备防坑指南

本文系链捕手原创文章，作者为谷昱。

区块链技术是当前时代最重要的创新之一，使得去中心化真正成为可能，任何人都对自己的链上资产享有绝对的控制权，外界无法进行任何干涉与操作。

这种权利相伴的则是责任，这意味着用户需要对自己的资产安全负100%的责任，在私钥保存、日常操作方面都需要格外注意，一旦私钥或者助记词失窃，所有资产都会面临被盗风险。尽管许多项目方理论上能通过智能合约控制链上资产并找回被盗资产，但通常只会在黑客故意攻击并造成大量损失时才会给予帮助，个人失误造成的资产损失很难得到项目方的援助。

可以预见，未来越来越多的交易活动将向链上转移，但不巧的是，链上局如今仍在大量出现，并衍生出许多新形式，多名读者曾向链捕手反映遭遇链上并损失数万元，但都已经无法挽回。为了帮助更多加密行业初入门者了解一些行业常识，避免踩坑，链捕手在本文中总结了一些常见的局手法，具体如下：

OXT研究人员通过链上分析验证了灰度的比特币信托持有的BTC数量:金色财经报道，尽管Grayscale未公开，但OXT研究人员Ergo解释称，已经采取措施，根据公共信息和区块链取证来识别可能的GBTC地址和余额。其中发现，持有317,705?BTC的432个地址可能是GBTC托管地址。

此外，在此分析中，使用额外的onchain取证来确认GBTC在Coinbase托管处持有的大约633K?BTC余额。Ergo总结指出，在发现前50%的比特币与Grayscale的BTC相关联后，该团队扫描区块链以寻找符合第1部分中发现的地址的其他地址。[2022/11/25 8:06:40]

一、假币局

案例：小茗关注的项目正在进行IDO，在电报群看到有人发布了代币智能合约地址，小茗将改地址在Uniswap输入后发现已经可以交易，并且有价值大几十万元的流动性，随即购买了1个ETH，但此后上涨1倍多并准备卖出时发现，系统提示无法卖出，相当于归零。

欧科云链：链上天眼已监控BXH相关地址集:10月30日消息，去中心化交易协议 BXH 今日通过 Twitter 发表声明，宣称在币安智能链（BSC）上遭到攻击。BXH官方出于谨慎考虑，已暂停了在Heco，OEC相关存取款服务。天眼团队正在密切关注BXH在Heco&OEC合约部署情况，并将发出预警提示，链上天眼团队根据BSC链上数据已知黑客通过跨链操作将 4000ETH 和 300BTC 转移到了以太坊和比特币链上。天眼团队目前监控了黑客在 BSC 和以太坊上的地址: 0x48c94305bddfd80c6f4076963866d968cac27d79，以及比特币地址 1JwQxqfcHJn3nRgjFv3ZJD2MqUywbKu9oU。

链上天眼团队将持续关注黑客地址动态，并预警交易所和钱包注意加强地址监控，避免相关恶意资金流入平台，并建议用户注意链上资金安全，可通过授权管理工具，检查授权状态，保护自己的链上资金安全。以下是本次事件部分已被监控地址：[2021/10/30 6:21:57]

分析：这种情况属于假币局，某些集团会批量发行币种并以关注度高的币种为名字，并建立Uniswap交易池、注入一定流动性，意图误导用户为真币，然后在一些社交媒体渠道传播智能合约地址。

Inverse Finance发起新链上提案 拟将“治理”升级为GovernorMills:10月10日消息，DeFi稳定币收益协议Inverse Finance发起新链上提案，拟将“治理”升级为GovernorMills。如果该提案通过，xINV质押者将最终能够参与DAO治理。该提案要求将INV治理从GovernorAlpha合约升级为新的自定义GovernorMills。功能包括：xINV质押者可以投票和提案；DAO可以更改法定人数和提案阈值；DAO可以将要提议的地址列入白名单，而无需满足提案阈值；临时监护人可以在紧急情况下取消提案、更新阈值或转移治理。GovernorMills将允许所有DAO成员再次参与决策。[2021/10/10 20:18:31]

但这种代币的智能合约代码中实际上已经规定只允许发行方出售代币，其他用户只能买入不能出售，而用户如果在社交媒体看到地址并信以为真，在买入其代币后就只能坐视其上涨并最终归零。

Galaxy+链上交易平台上线48小时注册量突破40万:据官方消息，花火首个授权节点“Galaxy+”链上交易平台，自8月16日12：00上线以来48小时注册量达到400582。

官方表示：“随着数字货币的发展，数字资产交易平台也越来越受到全球重视，成为助力区块链技术，以及数字货币应用于实体行业的助推器。

本次Galaxy+上线将实现对全球区块链用户的深度覆盖，以区块链+金融的无缝衔接，为区块链交易平台提供更加全面的投资方案策略，也为传统互联网金融打开转型、升级的新时代大门。”[2020/8/18]

据链捕手观察，大部分Uniswap上的假币都是由一个特定集团发行，每个代币发行方地址都能通过转账记录相关联，最近2个月至少发行了70余种假币，获利至少在4000ETH以上。

在具体手法方面，他们还会向被标记为币安、V神与0x-b1的地址转入部分假币，以吸引这些地址关注者的注意；每次发行活动周期大概3-5天，先在Uniswap添加上百个ETH的流动性，待很少有购买用户后撤出全部流动性，然后将所有ETH转入新地址重新发行新币，不定期还会通过Tornado.cash转移资金。

动态 | 以太坊链上出现一笔 0.36枚ETH的转账，手续费却高达 21.14ETH:etherscan.io 数据显示，以太坊今日疑似发生一笔手续费异常交易，0x144 开头的地址向 0xc46 开头的地址转账 0.36 ETH，但交易手续费却高达 21.14 ETH（约 3065 美元）。该笔交易发生的区块高度为：9087416，交易哈希值 0xb473……c337f18。据推测，本次交易可能是用户混淆设置了 Gas Price 和交易金额的数量，但目前尚不知道是何原因导致此失误。[2019/12/11]

更具误导性的是，这些集团还会制造某些巨鲸在购买这些币种的假象。如下图所示，该地址被广泛认为由孙宇晨所有，拥有数十亿美元的资产，而在十余天Etherscan显示其地址从Uniswap购买了数种新币。

某些巨鲸地址跟踪者看到这些记录可能就会「跟单」，但如果点开其具体交易记录，可见交易行为并非由该地址所有人发起，而是假币发行方地址利用智能合约直接从Uniswap购买并将孙宇晨地址设为收币地址所致。

除了孙宇晨地址以外，Etherscan显示的许多ETH大户地址都有类似情况发生。

因此，大家在Uniswap进行交易时务必要使用官方公布的合约地址，或者Uniswap推荐列表中的币种，在其它渠道看到的智能合约地址要保持警惕，否则很可能会造成大量损失。

二、假APP局

案例1：小倪换了新手机，看到某个微信群有显示为imtoken工作人员的用户发布了一张快讯图片，还附有APP下载链接，正好新手机还没有下载imtoken，随即扫码下载其APP，输入私钥并导入钱包，但很快发现其地址的所有资产被转出，损失近2万元。

案例2：据《华盛顿邮报》报道，本月初有两名用户在苹果应用商店搜索加密硬件钱包Treznor的名字时，出现了一款APP使用了与真Treznor极其相似的标志和颜色，尽管当时Treznor并未推出手机端APP，但他们误以为Treznor的确推出了手机版，故而下载并导入私钥，最终分别失窃17.1枚比特币和价值1.4万美元的ETH。

分析：私钥与助记词意味着对钱包资产的绝对控制权，因此很多局都在设法套取用户私钥，假冒官方APP则是其中最常见的手法，这种假APP或伪造为官方快讯诱导用户下载，或为搜索引擎付费将假冒网站排名置前，或在苹果/安卓官方应用商店上线重名的假APP，它们会高度模仿官方网站与图片信息，一旦用户下载APP并导入助记词，钱包资产立即会被转走。

因此，大家在下载钱包、交易所类APP时，切记要从官方渠道下载，并检查网站域名等信息是否正确。

三、假客服局

案例：小詹在使用某DApp产品时遇到了问题，于是到电报群尝试询问官方人员，随后有名用户私聊他询问情况，并告诉他可以私聊一名官方人员解决问题并发送账户名给小詹，于是小詹直接点击账户名进入私聊界面。

这名官方人员很热情地询问小詹遇到了什么情况，表示这是由于项目数据库问题并正在解决，但为了避免错误继续发生，需要对账户进行重置并询问小詹使用什么钱包，随后给出链接并让小詹输入助记词导入钱包以便进一步操作，但小詹此刻出于警惕性未进行下一步操作，避免了助记词泄露。

分析：如今微信、电报等各大社群几乎都存在伪装为官方客服的账户，通过各种方式取用户信任，尽可能将话题引向钱包并诱导用户输入助记词或者私钥，而一旦用户输入，所有资产很快会被转走。

因此，大家在各类社群寻求帮助时，务必要确认对方身份，不确定身份时可以截图发在群里请其他活跃用户帮忙辨认，通常官方工作人员都会不主动私聊用户并让用户输入私钥，而是在群聊中让用户主动私聊。

四、空投局

案例：小曦在微信群看到有人发布某知名项目空投信息，只要在在电报群完成几个特定社交媒体任务，即可获得上百美元的代币奖励，小曦按照电报机器人的提示全部完成，但之后机器人提示需要先发送少量代币到合约地址才能领取空投代币，考虑到成本不高，小曦按照要求打币但之后并没有收到空投代币，反而白白损失十余美元。

分析：基于社交媒体任务的的代币空投的确大量存在，因而容易降低用户的警惕性，但也正是如此，很多子都会利用用户的松懈心理实施局，利用空投来诱导用户向智能合约打币，尽管单笔金额通常不大，但聚少成多仍然相当可观。

目前，还没有任何真实空投活动需要用户向外部钱包地址打币才能领取，大家对于需要转币的空投活动应当直接无视。

五、几点注意事项

除了前述故意实施的局需要防范，链上操作仍然还面临许多由潜在的操作失误造成的安全风险，主要有以下几点：

第一，避免向DApp过度授权，定期清理授权。用户在与某个DApp首次交互时需要进行授权，但其中会存在隐患，如果该DApp此后遭遇攻击，将可以直接利用其权限盗取用户资产，因此大家需要定期清理不常用的DApp权限或者设置代币转移量上限。

第二，尽可能避免使用未经安全公司审计代码的DApp，特别是还声称具有高APY的DApp，其安全风险可能会导致本金的巨大损失。

第三，需要再次强调，注意保存地址私钥与助记词，最好保存在不联网的硬件或者笔记本上，不向任何第三方透露私钥与助记词，这是所有安全措施中最重要的一点。

区块链技术所衍生的巨大想象空间，以及更大规模的应用，都依赖于更多用户拥有更高的链上操作素养与知识，而不至于使链上成为局横生的法外之地，让大量用户无端遭遇巨大损失，因此前述科普与教育的意义也就格外凸显。

标签：APPETHBTCUniswapbitkeep安卓版appCRETH2BBTCuniswap币最新消息

USDT热门资讯