宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > ETH > 正文

揭秘2022年六大加密术

作者:

时间:1900/1/1 0:00:00

本文来自币安安全合作伙伴 HashDit ,原文作者:Sebastian Lim

自去年起,加密案件就屡增不减。据 CNBC 报道, 2021 年,加密损失超过 10 亿美元,其中最常见的类型包括虚假投资和杀猪盘。而到了 2022 年,加密的手法更加让人眼花缭乱。

以下是 2022 年最常见的六种加密局。

网络钓鱼是 Web2 中子常用的一种手法。子创建一个恶意网站,然后大量发送链接给他们的受害者。在这里,我们将主要关注子窃取私钥的方法。

在 Web3 中,子通常通过不同的媒介将他们的钓鱼链接发送到 Web3 社区,如 Discord、Twitter、Telegram,甚至是链上。

钓鱼网站通常与真正的网站非常相似,但使用不同的 URL 名称。网站内容可能是新的 Giveaway 或 NFT 免费铸造,子利用投资者的 FOMO 心理将用户玩弄于股掌之中。

他们可以明目张胆地要求用户提供他们的助记词或私钥。例如,在社交媒体上联系用户,以钱包软件支持服务的身份联系用户,并以交易所支持的身份直接发送信息,窃取用户私钥。

另一种方法是,子会开发类似于 Metamask 等合法插件的 Chrome 扩展。通过模拟真实的应用程序,让用户放松警惕,提供自己的私钥来使用新应用程序。

子会试图让用户认为现有的应用程序有一个新的漏洞,并且有新的软件升级。如子试图让用户以为当前的 Metamask 版本存在漏洞,用户应该升级到新版本。然后在消息中宣称新的升级还没有完成,必须手动进行升级。随后,子会给出一组指令,诱用户提供 Metamask 密码,从而将其私钥暴露给子。

高通孟樸:混合 AI 将助推 AI 规模化扩展:金色财经报道,高通公司中国区董事长孟樸近日在第七届世界智能大会上表示,在 5G 加持下,随着生成式 AI 的飞速普及和计算需求的日益增长,混合处理的重要性空前凸显。他表示,与仅在云端进行处理不同,混合 AI 在云端和边缘终端之间分配并协同处理 AI 工作负载,这样才能实现 AI 的规模化扩展并使其发挥巨大的潜能。混合 AI 架构可以根据模型和查询需要的复杂度等因素,选择不同的方式在云端和终端侧之间分配任务负载,也可以完全在终端侧进行;如果是更复杂的任务,模型则可以跨云端和终端进行运行。混合 AI 将在全球范围内提供成本、能源、性能、隐私、安全和个性化方面的优势。[2023/5/22 15:17:26]

在这种情况下,用户应该继续等待 Metamask 的官方公告,并从官方来源升级他们的 Metamask 版本。

要升级扩展,只需转到 chrome://extensions/,单击更新按钮,如下图。

友情提醒:正常的应用程序升级不需要用户提供登录凭证等敏感信息。

Ice Phishing 是一种用户签署交易的策略,攻击者可以控制用户的代币,但又不获取用户的私钥。这是网络钓鱼技术的新手段。

在某些背景下,当用户使用 DeFi 应用程序(例如 PancakeSwap)并与主代币标准(例如 ERC-20、ERC-721 和 ERC-1155 )交互时,批准方法会显示在他们的 Metamask 窗口中。这是用户向第三方授权以代表该用户对这些代币进行操作的请求。之后,用户可以执行其他操作,如执行交易。

Crypto.com CEO:将发布经过审计的储备金证明:金色财经报道,Crypto.com首席执行官Kris Marszalek发推称,“我们认为,加密平台应该有必要公开分享储备证明,并且Crypto.com将发布我们经过审计的储备金证明。这是整个行业的关键时刻。透明度比以往任何时候都更加重要,用户和资金的安全和保障仍然是优先事项。它需要充分和集体的承诺。恢复人们对加密货币的信任需要时间,但我们有责任向世界发出一个强有力的信息,即存在值得信任的加密货币平台。”

此前消息,Marszalek表示存在FTX的自有资金不到1000万美元,未从事过不负责任的借贷。[2022/11/10 12:43:26]

攻击者会将用户引导到钓鱼网站,诱使他们签署一些他们没有申请的交易。例如,交互的合约可能是攻击者的地址。一旦批准交易完成,攻击者就有权将代币从受害者的钱包中转出。

通常,网站有一种算法来扫描受害者的钱包,目的是检测有价值的资产,如昂贵的 BAYC NFT 或 wBTC/wETH 等加密货币。通常,网站会不断显示 Metamask 窗口,提示用户签署另一笔交易,即使他们可能已经签署了一次。

防止成为 Ice Phishing 受害者的另一种方法是远离签署 eth_sign(空白支票)交易。通常如图所示:

eth_sign 是一种开放式签名方法,允许对任意哈希进行签名,它可以用于对不明确的交易或任何其他数据进行签名,这是一种危险的网络钓鱼类型。

这里的任意哈希意味着对“批准”(approve)或“批准一切”(approve for all)等操作保持警惕还不够,子可以让你签署原生代币转移或合约调用等交易。子几乎可以完全控制你的帐户,而不用持有你的私钥。

本周以太坊全网算力第一大矿池已拒绝将Tornado Cash相关交易打包入块:8月20日,据社区消息,以太坊全网算力第一大矿池Ethermine过去一周已经拒绝将Tornado Cash相关交易打包入块。[2022/8/20 12:37:09]

尽管 MetaMask 在签署 eth_sign 请求时会显示风险警告,但当与其他网络钓鱼技术结合时,没有安全经验的用户仍有可能落入这些陷阱。

Event 手法

Event 是子将随机的 BEP 20 代币转移给用户的策略,并提示用户与之交互。即使子是从 BscScan 等区块链浏览器转移代币,它也会显示资金来源来自一个单独的钱包,例如币安热钱包。然后,用户将被诱与这些新的“免费”代币进行交互,通过在代币名称或代码本身中显示链接,可以将用户引导到钓鱼网站。这是网络钓鱼技术的新手段。

这种方法利用了区块链浏览器显示 Event 的方式。

例如,这张来自 BscScan 的截图显示 CHI 从 Null Address 发送到地址 0x7aa3……

区块链浏览器将盲目地使用 emit event(发送事件)的参数。如果_from 地址被更改为另一个地址,例如 0xhashdit,那么 BscScan 将显示从 0xhashdit发送到接收地址的 CHI。

外媒:与门头沟被盗相关交易平台经营者被引渡至美国:8月5日消息,据CNN报道,BTC-e运营商Alexander Vinnik的法国律师Frederic Belot表示,Vinnik已从希腊引渡到美国。

几周前,美国取消了对Vinnik的引渡请求。然而,如果取消引渡请求,Vinnik可能会被送往希腊,然后再送往美国。

Vinnik被认为是BTC-e的运营商,后者与比特币交易所Mt.Gox的黑客事件有关,该交易所在744,408 BTC被盗后从未恢复,并且于2014年关闭。Vinnik本人一直否认他经营BTC-e,声称他只是在该交易所工作。(CoinDesk)[2022/8/5 12:04:06]

注意:这并不是区块链浏览器特有的 bug,而是更改参数的灵活性,因为 BscScan 不能确定参数是否准确。因此,子可以利用这一点来代币的来源。

NFT Sleep Minting

NFT Sleep Minting 是指子直接在著名创作者的钱包里铸造 NFT,并从创作者的钱包中回收 NFT。a16z 在 3 月的时候发文解释改 NFT 新术。

NFT Sleep Minting 创造了一种假象:

著名的创作者为自己铸造了一个 NFT;

将 NFT 发送给子。

根据“链上”的来源,子可以声称自己拥有由著名创作者铸造的 NFT,并以更高的价格出售,在这个过程中伪造价值。

例如,从 Beeple 的账户中可观察到他的几个 NFT 不是由他铸造的。

庞氏局使用新投资者的钱支付给老投资者。一旦没有更多的新资金来支持这个计划,整个系统就会崩溃。

V神:发送ETH和交换Token的成本需要低于0.05美元才能真正被接受:5月4日消息,以太坊创始人 Vitalik Buterin在社交媒体称发送ETH和交换Token的成本需要低于0.05美元才能真正被接受。不过以太坊网络也取得了很大进步,甚至分片技术EIP-4844也足以过渡一段时间。[2022/5/4 2:48:34]

加密庞氏局有几个标志:

首先,项目方收取税费,这些税费可以让用户在生态系统中停留更长时间。

由于每次存款/复利操作都会产生某种费用,这意味着用户必须复利较长一段时间才能收支平衡。这些费用还用于偿还希望索赔的用户的红利。

第二,无法提取用户的初始投资资金。

一旦用户存入了他们的初始代币,他就没有办法提取他的初始投资资金。用户要拿回任何资金的唯一方法是收回股息。

第三,使用介绍人机制。

该项目鼓励参与者通过推荐人福利积极推广和推荐他人。每当下线执行特定的操作时,上线将获得额外的奖励。此外,为了让用户开始参与协议,他必须有一个上行地址才能开始。这创建了一个系统,每个地址都连接到另一个地址,类似于金字塔奖励方案()。拥有 5 个以上的下线地址也会增加奖金。

常见的方式是一开始就锁定在合约中的资金急剧增加,通常是由团队通过营销进行的初始炒作或团队自己为创造活动而注入的资金推动的。一旦合约余额达到拐点,这意味着没有新的资金流入。这将慢慢导致该计划分崩离析,新投资者恐慌地尽可能多地收回股息。

最终,仅赚取税费的项目方将是此类庞氏局项目的最大受益者。

CHI Gas Token 是 1inch项目的一个方案,其中 CHI Gas Token 是一个 BEP20 代币,用于 1inch 交易所支付交易成本。CHI 与该网络的 gas 价格挂钩。当 gas 价格低时,CHI 价格也低,反之亦然。

子首先会空投一堆随机的 BEP20 代币。当用户批准 PancakeSwap 出售这些代币时,在这些代币的批准(approve)方法中,它将代码写死(hard coded:把数据直接写在代码里,不会根据输入而改),从而消耗大量(例如超过 90% )用户的 gas 限制来铸造 CHI Gas Token,可以用来补贴 gas 费,铸造的 CHI Gas Token 则是子的利润。

建议在某些空投代币中调用 approve 函数之前,注意审批交易中的 gas 费消耗情况。一般来说,不要碰空投给你的随机代币。

MEV 局

子会利用 MEV(最大可提取价值)、套利交易机器人、狙击机器人、抢跑机器人等加密工具,承诺每天能获得几千美元的被动收入,吸引用户参与。这些通常在推特、TikTok 和区块链浏览器等平台上推广。

通常,子会在帖子上附加一个视频链接,将上当的用户引流到 Youtube 和 Vimeo 等视频托管平台。

视频将引导用户使用 Remix IDE 部署他们的恶意代码,子将在视频描述中的 pastebin URL 中提供恶意代码。

当恶意代码部署在链上后,用户将被指示下一步准备一些本地资金来执行“抢跑或套利交易”。视频会提示用户准备更多的原生资金,这样当你执行“抢跑或套利交易”操作时,你就能获得更多的利润,从而用户。一旦用户将资金注入到合约中并“开始抢跑交易”,资金将直接转移到子手中,而不是像子声称的那样赚取利润,

另一种相对较新的方式是子提供 CEX 交易机器人的链接,如下图。

系统会提示用户下载恶意文件并按照提示操作。通常,想要在币安交易所自动交易的用户会有一个 API 私钥。这个视频诱用户使用他们的交易机器人,并要求用户放弃他们的 API 私钥和密码。一旦用户从而入套,子将能够在他们的终端接收用户的凭证,并使用用户的资金进行交易。

虚假名人局

子还利用社交媒体,传播加密交易所或项目等领域知名玩家正在进行 Giveaway 的虚假信息。

用户将被提示进入这个链接,并被指示先“验证”他们的地址。为此,他们必须向指定地址发送一些比特币或 BNB,并将得到 10 倍回报。与此同时,该局网站显示了 Giveaway 记录的交易历史,让用户相信 Giveaway 是真实且有效。然而在现实中,一旦用户发送加密货币,代币就进入子口袋,最终也不会收到任何奖励。

通常情况下,子可能会利用旧视频,甚至采取伪造知名人物的手段,让用户认为这个人是在支持和推广一个新的 Giveaway,但实际上并不存在。

这些案例的一个共同点是,视频的评论区会出现虚假的评论。这是在心理上用户,让他们相信这个交易机器人真的很好用。

如果下图出现在描述中,请打起十二分警惕。

在 Crypto 这样的去中心化环境中,局只会只增不减。因此,对我们每个人来说,对自己的资产安全负责至关重要。

记住黄金法则:如果一件事太完美,那它很可能就有问题(too good to be true)。

Odaily星球日报

媒体专栏

阅读更多

金色早8点

金色财经

去中心化金融社区

CertiK中文社区

虎嗅科技

区块律动BlockBeats

念青

深潮TechFlow

腾讯研究院

标签:NBSBSPNFTGASnbs币最新消息BSPT币1NFTGastream

ETH热门资讯
区块链世界里 谁能创造可信数字资产?

作者:Yan Meng,来源:作者twitter Yan Meng @ Solv Protocol | ERC-3525到底什么能够称为“数字资产”,什么是“电子资产”?2003、2004 年的时候,我旁观过一个电商网站的早期发展.

1900/1/1 0:00:00
金色Web3.0日报 | Chainlink:v0.1质押池将于12月9日开放

DeFi数据 1、DeFi代币总市值:356.37亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量39.

1900/1/1 0:00:00
刍议《非法窃取比特币的刑法定性》

近日,《中国检察官》公众号刊载了一篇北京市检三分院检察官撰写的题为《非法窃取比特币的刑法定性》(以下简称“《定性》一文”)的文章,文章认为,认定非法窃取比特币行为性质,必须先解决比特币能否成为刑法意义上财产的问题.

1900/1/1 0:00:00
一文了解“香港虚拟货币交易所持牌制度”

作者:顾劼宁 上海曼昆律师事务所资深法律顾问香港将于将于 2023 年 6 月 1 日开始实施的虚拟资产服务提供者发牌制度(以下简称“ VASP 发牌制度”)。一场香港乃至大中华地区的行业巨变即将开始.

1900/1/1 0:00:00
NFT版税纷争再生变故:零版税先锋X2Y2突然“反水” “再次”对所有收藏品征收版税

原文:《再次征收NFT版税,零版税先锋X2Y2向Opensea低头》 作者:十文 在头部 NFT 市场 Opensea 决定强制执行版税的一周后,X2Y2  紧随其后,“再次”对所有收藏品征收版税.

1900/1/1 0:00:00
金色早报 | Coinbase推出订阅服务Coinbase One

▌Coinbase推出订阅服务Coinbase One金色财经报道,加密货币交易所Coinbase正在35个国家推出其订阅服务Coinbase One,以在加密熊市中留住用户,并增加其经常性收入来源.

1900/1/1 0:00:00