ETH:細數歷史上Web3十大騙局或攻擊

作者：W3C DAO

Web3是一個去中心化的網絡，它利用區塊鏈、加密貨幣、NFT和DeFi等技術，為用戶提供更多的自由、隱私和創新。然而，Web3也不是完美的，它也存在著許多的安全風險和騙局，讓不少用戶遭受了損失和傷害。

01 Poly Network黑客攻擊

2022年8月10日，跨鏈協議Poly Network遭到了史上最大規模的黑客攻擊，導致超過6億美元的資金被盜。黑客利用了Poly Network在不同區塊鏈之間轉移資產時的漏洞，從以太坊、波場和幣安智能鏈上分別轉走了2.7億、2.5億和8500萬美元的代幣。

這起事件引起了整個Web3社區的震驚和關注，許多項目方和交易所紛紛表示愿意協助追回被盜資金。令人意外的是，黑客在攻擊后不久就開始與Poly Network進行溝通，并表示愿意歸還部分資金。截至2022年8月23日，黑客已經歸還了超過3.4億美元的資金，并表示剩余的資金將由一個多簽名錢包管理。

為了避免這種騙局，用戶應該謹慎選擇跨鏈協議，并檢查其是否有經過專業的審計和測試。用戶也應該注意跨鏈協議的安全性和可靠性，是否有足夠的保險或賠償機制。此外，用戶應該控制自己的跨鏈轉賬額度，不要將過多的資金放在一個協議上。

02 Squid Game代幣拉盤跑路

去中心化拍賣平臺Bounce發布2023年展望和路線圖，將推出Bounce V3.1:12月29日消息，去中心化拍賣平臺Bounce發布2023年展望和路線圖，將推出Bounce V3.1，其中將包括改進的固定交換功能、加密初創公司的公司簡介、機構投資者和個人簡介、一個用于分享創業想法和籌款的平臺等。

Bounce V3 DeFi創新包括實施并購協議等；Bounce V3微型獨立DeFi單元將推出個人互換、借貸和衍生品功能等。[2022/12/29 22:14:13]

2022年10月25日，一款以Netflix熱播劇《Squid Game》為主題的Web3游戲項目發布了自己的代幣Squid。該項目聲稱將通過智能合約模擬劇中的六個游戲，并讓玩家用Squid代幣參與競爭。該項目迅速吸引了大量關注和投資，Squid代幣在短短幾天內漲幅超過8萬倍，市值一度達到28億美元。

然而，在2022年11月1日，該項目突然暴跌99%，市值縮水至300萬美元。原來，該項目是一個典型的拉盤跑路騙局，項目方在吸引了大量投資者后，將項目中的資金全部提走，并關閉了網站和社交媒體賬號。更糟糕的是，由于Squid代幣設置了一個只能買不能賣的機制，投資者無法及時退出或兌換其他代幣。

為了避免這種騙局，用戶應該對項目進行充分的調查和分析，比如查看項目的代碼是否經過審計、團隊成員是否公開身份、代幣分配是否合理、社區反饋是否積極等。用戶也應該注意項目是否有過度炒作、價格波動異常、鎖倉機制不清晰等風險信號。

BNB Chain鏈上ETH PoW空投已完成:金色財經報道，據 BNB Chian 社交媒體發文，針對 ETH 持有者的 ETH PoW 空投已經完成，BNB Chain 還發布了 BEP-2 和 BEP-20 Token 的相關合約地址。此前 BNB Chain針對以太坊合并提供了 ETH PoW 空投，幫助 BNB 鏈上 ETH 持有者無需將自己的 ETH 橋接回以太坊主網，所有余額大于等于 0.1 ETH 的錢包地址都有資格以 1:1 比例獲得分叉的 ETH PoW 空投代幣。[2022/12/27 22:10:49]

03 Beeple NFT釣魚騙局

2022年3月11日，知名數字藝術家Beeple在佳士得拍賣會上以6930萬美元的價格，創造了NFT（非同質化代幣）的最高成交紀錄。這一事件引發了全球對NFT的熱潮，也讓Beeple成為了一個備受關注的名字。然而，就在這時，一些騙子利用了Beeple的名氣，發起了一場針對NFT愛好者的釣魚騙局。

騙子通過偽造Beeple的推特賬號，宣布將免費贈送一些NFT作品給粉絲，只要他們點擊一個鏈接，并輸入自己的MetaMask錢包密碼。不幸的是，有不少人上當受騙，導致他們的錢包被盜取了所有的資金和代幣。

為了避免這種騙局，用戶應該保護好自己的私鑰、助記詞、密碼等，不要向任何人透露或輸入。用戶也應該仔細檢查網站、郵件、消息或電話的真實性，比如是否有拼寫錯誤、是否有安全證書、是否與官方信息一致等。

信標鏈ETH2合約地址質押數超1475萬枚ETH:金色財經報道，根據Tokenview鏈上數據監測，當前信標鏈ETH 2合約地址質押存款為14,753,943枚ETH。信標鏈活躍驗證者數達459,059，當前待確認驗證者數227。[2022/11/4 12:16:06]

04 Bitconnect龐氏騙局

Bitconnect是一個于2016年推出的Web3平臺，它聲稱可以讓用戶通過借貸和交易其代幣BCC來獲得高達40%的月收益。

該平臺還設立了一個多層次的推薦計劃，來獎勵那些推薦新用戶加入的人。由于Bitconnect承諾了過于美好的回報，它很快吸引了數以萬計的投資者，BCC代幣在2017年年底達到了4.3億美元的市值。

然而，在2018年1月16日，Bitconnect突然宣布關閉其借貸和交易平臺，并停止發行BCC代幣。原來，Bitconnect是一個典型的龐氏騙局，它利用新投資者的資金來支付舊投資者的收益，并沒有真正的商業模式或價值創造。當新投資者不足以支撐舊投資者時，騙局就崩潰了，導致大部分人損失慘重。

為了避免這種騙局，用戶應該警惕那些過于美好的承諾，比如無風險、保本保息、每日分紅等。用戶也應該了解項目的收益來源，是否有真實的商業模式或價值創造。用戶還應該檢查項目的合法性，是否有合規的許可證或監管機構的認可。

Circle首席執行官：眾議院立法是數字美元競爭的“最佳選擇”:金色財經報道，Circle首席執行官Jeremy Allaire在華盛頓特區的一次金融會議上表示，加密行業參與者對立法者明年可以通過新的穩定幣法持樂觀態度，我認為這是美國目前在數字美元貨幣領域競爭的最佳機會，該立法“在確定這種新形式的數字貨幣貨幣方面做得非常好”。?

眾議院金融服務委員會正在討論該立法。該法案將允許私人穩定幣發行人通過金融監管機構進行注冊，前提是他們符合某些標準。該立法還要求美聯儲向國會報告央行數字貨幣的可能性。?[2022/10/12 10:31:42]

05 重入攻擊

2016年6月17日，著名的DAO被攻擊事件發生。以太坊上的一個去中心化自治組織The DAO被黑客攻擊，市值五千萬美元的以太幣被轉移。當日，以太坊價格從19.42美元跌至11.32美元，跌幅41%。黑客利用了The DAO智能合約中一個名為splitDAO的函數的漏洞，該函數允許用戶退出The DAO并獲得相應的以太坊代幣。黑客在退出The DAO的同時，多次調用了splitDAO函數，從而在合約更新自己的余額之前，多次提取了以太坊代幣。

而后，以太坊社區發起了一項是否支持硬分叉的投票，近 97% 的 ETH 持有者投出了贊成票，只有少數人不同意分叉，最終硬分叉方案一致通過，硬分叉的結果就是--以太經典ETC。

Avalanche子網Swimmer Network與LayerZero Labs達成合作關系:5月16日消息，Avalanche 子網 Swimmer Network 與 LayerZero Labs 達成橋接合作伙伴關系，鏈游 Crabada（CRA）、Treasure Under Sea（TUS）和 Crabada Amulets（CRAM）上受 Layer Zero 支持的 ERC-20 資產和 NFT 將能整合到 Swimmer Network。

此外，Avalanche 首席執行官 Emin Gun Sirer 表示，該子網上線后，Avalanche C-Chain 費用降至 25.1 nAVAX，創下歷史新低。[2022/5/16 3:18:20]

重入攻擊是指一種利用智能合約在執行過程中可以被多次調用的特性，來重復執行某些操作，從而竊取或操縱資金的方式。重入攻擊通常發生在智能合約在轉移資金之前沒有更新自己的狀態或余額，導致黑客可以利用同一個交易來多次請求轉賬。

06 閃電貸攻擊

2022年2月，有一個叫做PancakeBunny的DeFi平臺遭到了一次閃電貸攻擊，導致其代幣BUNNY的價格暴跌了95%。黑客利用了PancakeBunny的流動性挖礦池的設計缺陷，通過閃電貸借入大量的BNB代幣，并用它們來換取BUNNY代幣。然后，黑客又將BUNNY代幣兌換成BNB代幣，并還清了閃電貸。這樣一來，黑客就獲得了大量的BNB代幣，而PancakeBunny的流動性池和市場則被嚴重擾亂。

閃電貸是指一種利用智能合約在一個區塊內完成借貸和還款的操作，不需要任何抵押或信用的方式。閃電貸可以為用戶提供一些有趣和創新的金融策略，比如套利、杠桿、流動性挖礦等。然而，閃電貸也可以被用來發動攻擊，利用一些去中心化金融（DeFi）平臺的漏洞或缺陷，來竊取或操縱資金。

07 BadgerDAO黑客攻擊

這是一起發生在2022年12月2日的去中心化金融（DeFi）項目BadgerDAO遭到黑客攻擊的事件，導致超過1.19億美元的資金被盜。

黑客利用了BadgerDAO的網站和DNS服務器的漏洞，將其劫持并重定向到一個偽造的網站。在這個網站上，黑客誘騙用戶連接自己的MetaMask錢包，并授權一個惡意的智能合約來轉移用戶的資金。這是一種比較傳統的網絡釣魚攻擊，但卻對BadgerDAO造成了巨大的損失。

08 Meerkat Finance跑路

2022年3月4日，基于幣安智能鏈（BSC）的DeFi項目Meerkat Finance發起的跑路騙局，導致大約3100萬美元的用戶資金被盜。

Meerkat Finance是一個提供流動性挖礦和收益優化服務的項目，它聲稱可以讓用戶通過存入或借出代幣來獲得高額收益。然而，在項目上線不到一天后，Meerkat Finance就宣布遭到了黑客攻擊，并將其網站和社交媒體賬號全部刪除。

事實上，這是一個精心策劃的騙局，Meerkat Finance的開發者利用自己對合約代碼的控制權，修改了合約中存儲私鑰的變量，并將用戶存入的代幣轉移走。這是BSC上最大規模的騙局之一，也引發了對BSC安全性和可靠性的質疑。

09 RugZombie騙局

2022年10月31日，基于BSC的NFT項目RugZombie發起的跑路騙局，導致大約1000萬美元的用戶資金被盜。

RugZombie是一個聲稱可以讓用戶通過購買和鑄造NFT來復活被“拉毯”的代幣項目的平臺。然而，在項目方宣布將在10月31日發布一個新的NFT系列之前，他們突然將流動性池中的所有資金轉走，并刪除了所有的社交媒體賬號和網站。這導致RugZombie代幣的價格暴跌，許多投資者無法出售自己的代幣，損失慘重。

10 穩定幣攻擊

2022年4月5日，去中心化借貸平臺Liquity被攻擊，導致大約1100萬美元的用戶資金被盜。

Liquity是一個基于以太坊的借貸平臺，它聲稱可以讓用戶通過抵押ETH來借出其自有穩定幣LUSD，并獲得其治理代幣LQTY作為獎勵。

然而，在項目上線后不久，就有人發現了一個漏洞，可以讓用戶通過利用Liquity合約中的一個函數來創建無限量的LUSD，并將它們兌換成其他代幣。

這導致了LUSD代幣的價格暴跌，以及Liquity合約中存儲的ETH被大量轉移走。項目方聲稱是由于合約代碼中存在一個錯誤導致的漏洞，并承諾將盡快修復并賠償受影響的用戶。然而，有分析顯示，項目方在漏洞發生前就已經將部分資金轉移走了。

總結

Web3是一種新興的技術和金融領域，它們有著巨大的潛力和創新，但也伴隨著很多的風險和挑戰。

在這篇文章中，分別介紹了十個Web3安全事件，這些事件涉及了不同的平臺、項目、通證和合約，但都反映了一些共同的問題，比如代碼質量、審計機制、用戶教育、監管缺失等。通過分析這些事件的原因、過程和后果，給出了一些防范和應對的建議，比如謹慎選擇項目、保護好私鑰、檢查網站真實性、警惕過度承諾等。這篇文章對于Web3的愛好者和投資者來說，是一份很有價值的參考資料，可以幫助他們提高自己的安全意識和能力。

W3C DAO

個人專欄

閱讀更多

金色財經

金色薦讀

區塊鏈騎士

金色財經 善歐巴

Block unicorn

Foresight News

深潮TechFlow

Tags：ETHDAOANCNCEETHABlackHoleDAOMoonFarm FinanceSlope Finance

Gateio