成都链安：起底加密货币的局，防从源头做起

总的来说，自人类存在以来，局就一直存在。大约在十年前，者似乎就已经找到了另一个可以赚钱的产业——加密货币领域。

不幸的是，尽管比特币和加密货币的确具备各自优势，但正如其他任何技术一样，也总是存在着一些弊端。仅仅由于比特币和加密货币的伪匿名性质，加密货币这个领域就充斥着局；如果者知道自己在做什么，那便意味着他们就几乎能够在巨大的盗窃案中杳无踪迹地脱身。

避免被这些局所困扰的最好方法就是简单地进行自我教育，并对在网上看到的所有内容都保持极为谨慎的态度。

以下列出和描述的是目前在加密货币领域内使用的大多数常见局。

?目录：

?网络钓鱼局

?赠送与双重局

?投资与庞氏局

?Pump&Dump局

?存款局

?空投局

?假挖矿硬件网站

?欺诈性纸钱包生成器

?硬件钱包局

?QR码生成器局

?欺诈性分叉

?勒索软件攻击

?剪贴板劫持攻击

?退款局

?测试网局

?网络钓鱼局

这是迄今为止最有效的局之一，不仅仅是在于加密货币领域，而且也普遍存在于互联网中。

网络钓鱼局是一种企图窃取帐户登录信息、信用卡/借记卡信息、您的比特币或加密钱包密码，或者是恶意行为者主要通过伪造的克隆网站和软件而利用的任何有价值的信息。

?局是如何运作的

者传播网络钓鱼网站的一种简单方法就是通过Google广告平台。您可以执行一个简单的Google搜索查询，输入『Binance』，如果您不使用广告拦截器，那么搜索结果顶部就很可能是广告。

在链接文本框里清楚地显示着『http://www.binance.com/』，但当您实际点击链接并查看浏览器的地址栏时，您刚刚准备打开的网站则很有可能会是诸如『http://binancel.com』，『http://binancesite.co』之类的，又或者不是合法的『http://binance.com』之类的网站。

这其中的一些网站非常难以辨别，因为它们使用的是『bi?a?http://ce.com』之类的域名。您可能都没有立即注意到它，但实际上它中间是一个『?』。

成都链安：Goldfinch项目的SeniorPool合约遭受攻击，项目方累计损失超54万美元:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，Goldfinch项目的SeniorPool合约遭受攻击，攻击者累计获利28523个USDC，项目方累计损失541158个USDC。经成都链安技术团队分析，本次攻击原因是攻击者可以利用Curve的FIDU-USDC池子获取FIDU代币，来获取SeniorPool合约抵押USDC代币的红利。目前Curve中FIDU兑换USDC为1:1.03, 而在SeniorPool中的比例为1:1.07，这就产生了套利空间。[2022/6/28 1:36:11]

不过，Google广告只是传播网络钓鱼网站和软件的一种方式。传播网络钓鱼网站和软件的其他方式还包括：

?社交媒体：一般来说，者会在Facebook、Twitte、Instagram或其他社交媒体网站和社区中创建假帐户，伪装成某些公司。

?入侵您的YouTube帐户：者会选择入侵有大量粉丝的YouTube帐户，并将YouTube频道名称更改为某公司。接着他们会发布带有网络钓鱼网站链接或者欺诈性软件的下载链接的视频，并称他们正在进行『加密货币赠送』或类似活动。

?假客户支持：主要会发生在Reddit和Twitter上，但也可能发生在所有社交媒体网站上。者将通过向对某些服务提问的相关问题的用户发送虚假消息、附有网络钓鱼网站链接或者欺诈性软件的下载链接。

始终擦亮您的眼睛。因为一些黑客和者非常聪明，他们可以创建其他更有信服力的方法来诱人们打开网络钓鱼链接。如果用户始终都在合法的网站上『冲浪』，那么强烈建议多检查一下浏览器上的地址栏。

?欺诈性移动应用程序：

与网络钓鱼网站几乎如出一辙，但其形式为应用程序。尤其是在适用于Android设备的GooglePlayStore上，存在着大量的欺诈性移动应用程序用于窃取您的资金。

?大多数的伪造应用程序包括：

?Coinbase

?MyEtherWallet

?LedgerLive

?Electrum

?等等

?如何保护自己

?请始终在浏览器的地址栏上进行两次或三次的检查，以确认您的确在合法网站上。

?在您的浏览器上安装知名且口碑好的广告拦截器，例如uBlockOrigin，或使用Brave浏览器代替。

?防止点击广告。

?请确保您所下载的是合法的应用程序。

?Twitter上的赠送与双重局

幸运的是，Twitter上的赠送局乱象已逐渐消失了一些，但它们仍会偶尔出现在Twitter上。

Twitter上的赠送局非常简单。者会伪造成名人的假Twitter帐户。随后，者会回复合法用户的推文，类似以下的内容：

成都链安：正在追查Ronin攻击事件的资金去向:据成都链安链必应-区块链安全态势感知平台舆情监测显示，Axie Infinity侧链Ronin遭到攻击，17.36万枚ETH和2550万USDC被盗，总金额约合价值为6.15亿美元。在这里，成都链安对此类跨链桥项目给出以下建议:

1.注意签名服务器的安全性；

2.签名服务在相关业务下线时，应及时更新策略，关闭对应的服务模块，并且可以考虑弃用对应的签名账户地址；

3.多签验证时，多签服务之间应该逻辑隔离，独立对签名内容进行验证，不能出现部分验证者能够直接请求其它验证者进行签名而不用经过验证的情况；

4.项目方应实时监控项目资金异常情况。[2022/3/30 14:25:56]

正如所见，埃隆·马斯克的合法Twitter名称是/img/20230515222950632128/4.jpg "/>

?通常情况下，pump&dump局中代币的走向图表

Pump&Dump局非常容易辨认出来，因为Pump&Dump组织的负责人通常都将它们称作『交易信号组』来宣传，或者有时甚至直接毫不客气地将它们称作『pump组』来打广告。

这种局非常直观：组织的负责人会要求其成员购买市值相当低的某种代币/通证，以便价格更容易操纵，并声称其价格会上涨或『pump』。

问题在于，在组织的负责人宣布要购买哪个代币/通证之前，负责人就早已购买了大量的这种代币/通证，因此负责人就能够以更高的价格来出售它们。紧接着，由于组织的成员购买了大量的代币/通证，这种代币/通证的价格就会『水涨船高』，而后负责人再以较高的价格进行出售；这样就为组织的负责人赚取了可观的利润，有时甚至可高达10倍。

?局是如何运作的

1.您会在社交媒体或某些论坛上看到作为广告的『交易信号』组。

2.您加入了该组织，大多都是在Telegram上。

3.组织的群主购买了一定数量的某种加密货币，并告诉整个组织都去购买；其声称这种加密货币价格会上涨。

4.代币价格的确会因为组织内的人争相购买代币而上涨。

5.在某个时候，组织的群主会出售或『dump』所有代币，在代币刚降价的同时，其就会获得巨额利润。

?如何保护自己

1.不要加入伪装成『交易组』的Pump&Dump组织。

动态 | 成都链安面向联盟链推出“一站式”安全平台:据官方消息，成都链安面向联盟链安全需求推出“一站式”安全解决方案，为联盟链生态提供从安全设计、开发、安全检测到运行时安全监控和管理等全方位的安全服务与支持。

?

“一站式”安全平台主要包括：支持FISCO-BCOS、Fabric、以太坊、EOS等多个平台的“一键式”智能合约自动形式化验证工具Beosin-VaaS；Beosin-IDE智能合约开发工具；Beosin-Eagle Eye安全态势感知系统；Beosin-Firewall防火墙；Beosin-OSINT 威胁情报系统；安全审计与检测；安全顾问等服务。

?

成都链安作为最早专门从事区块链安全的公司之一，核心团队在安全领域深耕18年，申请区块链安全相关软件发明专利和著作权15项。平台推出以来，已为微众银行区块链、布比、云象、益链等多个联盟链平台提供了全套的“一站式”安全解决方案和安全防护。[2019/11/28]

2.有自己的判断。

?ICO局

首次代币发行，或ICO，与众筹非常相似；公司或团队会接受人们的BTC/ETH来交换一定数量的代币/通证，而这都取决于发出多少。

ICO并不是真正的局，因为其中一些是绝对合法的，但很大一部分ICO的确要么是局，要么注定会以失败收场。不幸的是，一些计划完备的ICO局是很难察觉到的，因为者创建了一个合法的并经过深思熟虑的项目，而不只是交付了产品就带着钱跑路了。然而，依然有某些特征能成为足够的证据，帮您远离某些ICO。

?局是如何运作的

1.您在社交媒体或某些论坛上看到有关加密货币ICO的广告。

2.加密货币团队提出了一些反常的宣称，比如『比特币杀手』，『以太坊杀手』，或全世界都将使用这种特定的加密货币。

3.您将资金投入到ICO。

4.项目团队未能兑现承诺。

5.长期来看，代币价格会缓慢下跌，实际就是您亏了钱，大多数时候会超过-95％。

?如何保护自己

1.有自己的判断。

2.对ICO保持警惕。

?/交易所网站存款局

这种局通常是由一些人要求受害者使用某个网站而发生的，他们表示会给受害者一些免费的比特币来开局。如果受害人试图提回资金，网站就会要求受害人存入一定数量的比特币，并声称这笔存款是『取款费』；但实际上，受害者正在将比特币发送到黑客的比特币钱包里。在受害者存款之后，者就会带着存入的比特币跑路。

这种局通常是通过论坛和某些社交媒体网站上的私人消息来进行尝试的。

如果社交媒体上的某人向您发送了诸如类似局的信息，请花几秒钟举报该帐户，以防止其他人被。

?局是如何运作的

1.在论坛或社交媒体上有者向您发送消息。

2.者说其正在通过某个交易所网站给您一些钱。

3.者要求您到这个交易所里注册。

4.者告诉您，其已经在您的帐户上给了您一些代币。

5.为了能够取出资金，交易所会要求您存入一些比特币以作提取费用，而所需的代币大多价值不菲。

6.在您以『取款费』将BTC存入之后，者就带着您的钱跑路了。

声音 | 成都链安：使用链上合约轮询开奖机制可能具有安全风险:今日早晨7点半，成都链安态势感知系统鹰眼对某游戏合约交易发出预警，我们的安全人员对该预警进行分析发现，攻击者正在使用一种新的途径获得随机数种子，并通过合约不断发起延时交易，尝试预先计算或者得到游戏合约的开奖参数，安全团队已通知项目方进行确认，建议具有类似基于线上合约定时开奖模式的项目方及时自查，避免遭到损失。望项目方看到本预警消息能够及时联系我们。[2019/6/12]

?如何保护自己

1.忽略此类消息。

?空投局

当参与到加密货币空投时，有一个很常见的误区就是您不会承担损失。但实际上，在大多数情况下，您会有损失。

?私钥：一些空投局会利用一些人对钱包如何运作的无知，并告诉他们交出钱包的私钥，从而有效地给予者接近其资金的机会。

?电子邮件帐号：这是在空投中所要求的最为普遍的。不过对于更不道德的局而言，他们会收集参与者的电子邮件，要么向他们发送垃圾邮件，要么将他们收集的电子邮件出售给其他公司。

?个人文件：一些空投是需要提交个人身份证明文件的，例如驾照、护照、出生证明等的照片。尽管某些合法的空投出于正当理由会要求提交这些文件，例如通过使用多封电子邮件来表明空投以防止滥用，但大多数空投都会收集个人文件要么出售它们，要么进行身份盗用。

?局是如何运作的

1.您在社交媒体或某些论坛上看到关于加密货币空投的广告。

2.您注册了该空投，并提交了您的个人文件。

3.随后，网站所有者会出售他们所收集的所有个人信息和文件。

4.您的身份就可能已被用于犯罪活动。

?如何保护自己

1.不要向空投网站提交个人详细信息，文件或钱包的私钥。

?假挖矿硬件网站

由于对比特币和加密货币的大肆宣传，比特币挖矿也不时成为热门话题。

者会利用这些大肆宣传，那些在网上试图从诸如Bitmain等制造商那里购买专用集成电路矿机的人。

者创建了一个假网站，列出了一些诸如Bitmain有名的AntminerASIC矿机，并接受了比特币付款，这因为比特币付款是不可逆的。者拿走了钱，但却没有向买方提供任何东西，就有效地窃取了买方的钱。

?者大多通过以下方式传播其假挖矿硬件网站：

?Google广告

?Google搜索结果

?社交媒体

?等等

?局是如何运作的

1.您搜索购买挖矿硬件的网站。

2.您遇到了一个声称出售挖矿硬件的非正当网站。

3.您订购了一台或几台，然后使用比特币付款。

4.网站所有者带着您的代币跑路。

?如何保护自己

1.如果您正在打算购买ASIC矿机，那么强烈建议您从主流渠道购买，例如Bitmain。

?欺诈性纸钱包生成器

纸钱包是您通过开源html页面生成的一种比特币和加密货币钱包，只需打印在一张纸上即可。

者利用此功能的方式是，他们会创建自己的纸钱包生成器版本，而后他们就能够通过其网站访问您生成的每一个纸钱包。

他们只需要等待比特币存入到纸钱包的地址，者要么就立即偷钱，要么有时会等到纸钱包中存有大量比特币之后，再实施窃取。

实际上，尽管因为创建安全的纸钱包具备一定的难度，所以我们通常不使用纸钱包，但请坚持使用诸如http://bitaddress.org之类的合法钱包。

?硬件钱包局

?欺诈性LedgerLive软件

对于硬件钱包的一个普遍误解是，当您使用硬件钱包时，资金就几乎不可能被盗。但实际上，尽管口碑好的硬件钱包是安全的，但者仍可通过某些方式来窃取您的资金。

?假硬件钱包软件：

黑客和者会创建与LedgerLive这样的现有硬件钱包软件几乎完全相同的副本，并创建其自己的方法试图来窃取受害者的资金。

最常见的方式就是要求他们的受害者在其钱包中输入24个单词的助记词，从而有效地获得受害者资金的全部权限。

?被篡改的硬件钱包程序包：

?被篡改的Ledger钱包程序包的受害者

尽管目前尚无证据表明有人设法成功篡改了Ledger硬件钱包，但黑客和者可以通过一些人缺乏钱包如何运作的知识来加以利用。

在这种情况下，以上截图中的受害者，而不是在硬件钱包本身上生成自有的24个单词的助记词的钱包买家，就遵循了者的欺诈性指示。然而，通过包括者预生成的24个单词的列表，其就能够获取到钱包的访问权限。

?QR码生成器局

?http://bitcoinaddresstoqrcode.com，一个假QR码生成器

能够肯定地说，有一些人更倾向于使用QR码而不是钱包地址，仅仅是因为使用手机进行QR码扫描来得更快。

因此，一些人常常会使用『QR码生成器』或『转换器』来将钱包地址转换为可用的QR码。

?局是如何运作的

1.受害者打开了欺诈性比特币地址到QR码的转换器。

2.受害者输入了其钱包地址。

3.给到受害者的并不是其输入钱包地址的QR码，而是者显示的其拥有的不同钱包地址的QR码

4.随后，受害者无意中向者汇了款，受害者还以为其正在将资金汇入到自己的钱包里。

?如何保护自己

1.请始终多次仔细检查您所使用的服务是否的确为您提供了正确且合法的QR码。

?欺诈性比特币分叉

简单来说，比特币分叉即是比特币的不同版本。最有名的就是比特币现金。尽管真正重要的是原始比特币，但人们可以出售其分叉的比特币来潜在地增加其比特币的持有量。

为了能够领取比特币叉，您需要输入比特币钱包的私钥到比特币分叉钱包。尽管有合法的比特币分叉钱包存在，但也有很多欺诈性钱包存在。

?局是如何运作的

1.您已了解到最新的比特币分叉，并正计划以空投的形式来出售它们。

2.您下载了比特币分叉的软件，然后输入了恢复词组。

3.随后，欺诈性比特币分叉获得您钱包的访问权限并拿走您的代币。

?如何保护自己

1.确保您使用的软件是真正安全的，或者根本就不要去筹措比特币分叉，因为这完全不值得去冒险。

?勒索软件攻击

勒索软件是一种恶意软件，一旦您的设备被感染，该恶意软件就会锁定您设备的操作系统，使其无法使用。随后，该恶意软件会要求您使用一定数量的比特币或其他加密货币，才能再次使用您的设备。

如果您的设备已感染了勒索软件，那么您所需要做的就是重新安装操作系统，一切就会迎刃而解。不幸的是，在此过程中会丢失所有文件和数据。

?如何保护自己

1.打开网站和下载软件时请三思。

?剪贴板劫持攻击

剪贴板劫持攻击是指当黑客获得了您设备的剪贴板的访问权限之后，其就能够用任何想要的东西来替换您的剪贴板。

尽管这比『局』更像是『非法入侵』，但黑客就能够通过者所使用的各种方法将恶意软件安装到您的设备上。

?局是如何运作的

1.您通过欺诈性网站下载并安装了恶意软件。

2.然后，恶意软件会等到您将比特币地址复制到剪贴板。

3.一旦您将比特币地址复制到剪贴板，恶意软件就会将您复制的比特币地址替换为黑客的比特币地址。

4.随后，您粘贴了您所复制的的虚拟地址。

5.您汇款时没有仔细检查地址。

6.黑客拿到了您的比特币。

?如何保护自己

1.在打开网站和下载软件时请三思。

2.始终仔细检查将您所要发送代币的地址。

?退款局

退款局是者购买比特币或加密货币，付款后并最终收回其资金的一种方式。

这种局大多是使用PayPal完成的，因为人们能够声称某笔交易并不是由他们进行的，PayPal就很有可能会撤消该交易。

?局是如何运作的

1.您计划着向某人出售一些比特币或加密货币。

2.某人把钱汇给您。

3.您收到钱后，随即把您的代币发出。

4.一旦这个人收到了足够交易份额的代币，其便会尝试着通过退款来取回他的钱。

?如何保护自己

1.只和口碑好的人进行交易。

2.尽可能地避免接受PayPal付款。

?测试网局

无论是用于比特币还是其他任何加密货币的『测试网』，都是一种可替代性的区块链，专门用于测试目的。

由于测试网使用不同的区块链作为特定加密货币的原始区块链，因此原始区块链中的代币无法发送到测试网版本，反之亦然。因此，显而易见的是，测试网代币并不能用于支付商户付款，因为测试网代币几乎毫无价值。

不幸的是，大多使用比特币测试网代币的，几乎都是者利用了不知道什么是测试网代币的人，之后其将这些代币出售给他们，就如同实际上『真的』代币一样。

?局是如何运作的

1.某人为您提供了一些用于购买的比特币，有时甚至会有折扣。

2.您同意了该购价和数量。

3.随后，者说服您下载了一个测试网钱包。

4.者向您发送代币，然后您完成付款。

//最后的一些想法

///

FinalThoughts

虽然我们在本文中涉及了很多，或很有可能大多存在的现有局，但请牢记，黑客和者是非常有创造性的，未来他们还可能会发明出更多人的方法。在此提醒，始终持有怀疑的态度，并养成习惯。

标签：比特币加密货币区块链WIT量子比特币行情加密货币行情哪里看ruff币区块链最新消息WIT价格

BTC热门资讯