比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > SOL > Info

ETH:小心那些利用Etherscan招搖撞騙的人

Author:

Time:1900/1/1 0:00:00

區塊鏈索引服務依賴于合約事件來幫助歸檔數據,并在一個漂亮的用戶界面中給我們提供交易記錄,其通常被稱為“區塊瀏覽器”,比如Etherscan。但惡意合約可以表現得無比“正常”,卻會污染這些事件,從而欺騙區塊瀏覽器,向毫無戒備的用戶提供關于代幣來源的誤導性信息。

例如,惡意用戶可以部署一個簡單ERC20合約和“空投”代幣給一群用戶,在自動做市商上創建一個看起來健康的流動資金池,等待用戶根據錯誤的宣傳購買或出售代幣,認為此代幣是已知開發人員/實體的一部分。

分解

ERC20代幣(它是代幣接口的通用標準)是合約的屬性、函數、輸入、輸出和事件的集合。只要我們的合約具有正確的函數特征,我們就可以在這些函數中使用自定義邏輯——即使是提供不正確數據的函數。

例如,如果合約部署者發送一個代幣,我們可以讓一些/所有區塊瀏覽器向最終用戶顯示不同的地址。假設如下;

合約部署者是有惡意的,想要為他們的代幣制造一些炒作。

代幣在AMM中有一些流動性(如Uniswap)供用戶購買/出售,主要的流動性提供者頭寸屬于代幣背后的團隊。

Jim Cramer:狗狗幣或被監管認定為證券,投資者需小心:金色財經報道,1 月21 日,CNBC知名主持人Jim Cramer發推表示,投資者應該非常小心狗狗幣(DOGE),因為它會被認定為證券并受到監管,監管將會了解市場上有多少流通的DOGE,每天有多少DOGE被創造出來并進行交易。

不過,Jim Cramer這一言論遭到DOGE創始人的Billy Markus的質疑,他表示Jim Cramer最好先了解一下區塊鏈的工作原理,每天有多少DOGE被創造出來,其實都寫在公鏈代碼里,所有人都可以查看。在“證券”問題上,Billy Markus稱DOGE是一種工作量證明加密貨幣,原理和比特幣一樣,而且DOGE99.5% 的代碼與比特幣相同。[2022/1/21 9:03:25]

許多用戶都知道發送者,而不是某個隨機的地址。

這不僅僅是ERC20的問題……受污染的數據可以被插入到任何代幣標準事件中,如NFT(ERC721,ERC1155),以迷惑用戶和潛在投資者,讓他們認為項目有特定的利益方/影響者,而實際上并沒有。

這個問題并不“新鮮”,但我們寫這篇文章是為了強調正在發生的事情,以及用戶在“模仿”“看起來合法”的項目之前應該做些什么。

聲音 | 外媒:許多比特幣投機性購買行為由論壇觀點建議導致,買家必須小心:許多比特幣投機性的購買行為是由Reddit論壇提供建議和觀點導致的。非理性的購買導致了2017年的大規模拋售,加密貨幣新來者的“恐慌”導致大量投資者在峰值時買進,結果被套在高位。與股票類似,數字貨幣的價值往往會大幅飆升,但隨后就會貶值。這些投機曲線通常被稱為“拉高出貨(pump and dump)”計劃,給投資者帶來了巨大損失。目前雖然比特幣市場似乎已經找到了穩定,但潛在的牛市往往是投機性的,買家必須小心。(Beincrypto)[2020/2/24]

當區塊瀏覽器看到交易發出的事件時,他們將其記錄在他們的鏈下數據庫中,并與其他數據建立關系,這樣他們就可以建立一個很好的交易關系圖,在他們的UI中顯示給終端用戶。

概念驗證

我們將部署一個概念驗證合約,使用一個老版本的Solidity,同時也要證明它與任何Solidity版本或以太坊中的任何東西都沒有問題,其是一個來自鏈下應用程序信任合約的信任問題。一般來說,對事件的繼承信任是“正確”的,它是一種合約將可用數據提供給鏈下程序進行索引的方式。

動態 | 日本國民生活中心對傳銷發出警告 小心以年輕人為中心的加密貨幣等投資的邀請:據Coinpost消息,日本國民生活中心今日發表名為《即使是朋友也該拒絕,小心向年輕人廣泛傳播的傳銷》的警告,其中也列舉出應該注意的加密貨幣投資案例。[2019/7/29]

在上面的合約(位于0x3afe99bd92b1aed3237196b26743681766d4940e)中,我們修改了邏輯,將Transfer事件中的發送者地址更改為流行區塊瀏覽器上標記為“OpenSea:Wallet”的地址,前提是我們發送代幣。

它所做的是,當區塊瀏覽器索引該事件時,它從Transfer事件中看到地址為0x5b32…1073發送了代幣,而不是實際的發起者0x11b6…04C9,這可能導致該方法被不良行為者利用,誘使用戶認為;

一個受歡迎的人物在代幣上有既得利益

一個受歡迎的人物正在“卸載”大量的代幣

聲音 | 慢霧安全團隊:門羅幣不小心創造了一個網絡和平世界:據火訊財經報道,慢霧安全團隊表示:“門羅幣不小心創造了一個網絡和平世界,因為其CPU/GPU算力友好,對抗職業礦機(比如ASIC芯片),且門羅是最早的一批,算是匿名幣的龍頭,地下黑客入侵大量服務器,以前是勒索、竊取機密,現在大規模做CPU挖礦,所發布的典型蠕蟲病修補了相關漏洞入口,殺掉了蠕蟲對手,安全加固了相關機制,然后它僅挖礦,不少企業入侵事件的發現不是因為發現蠕蟲,而是發現服務器或主機卡了,這些蠕蟲挖的主要就是門羅。”[2018/7/3]

代幣是合法的,因為在區塊瀏覽器上,它顯示了已知的實體與代幣合約“交互”

讓我們從合約部署者地址調用transfer(),看看區塊瀏覽器索引了什么。我們只是將代幣從我的地址(0x11b6…04C9)移動到一個目標地址(0x4bbe…1520)。

“OpenSea:Wallet”ERC20活動視圖顯示它似乎已經發送了一個名為OpenSeaRevenueShare的代幣到目的地。

不列顛哥倫比亞省證券委員會發布投資者小心名單 用以保護投資者:不列顛哥倫比亞省證券委員會(BCSC)稱ICO或初始令牌發行(ITO)的數字貨幣數量有所增加。BCSC通過發布投資小心名單來幫助保護投資者,該名單列出了在不列顛哥倫比亞省推廣的未注冊ICO項目。[2018/5/18]

交易表明(在“tokenTransferred”中)“OpenSea:Wallet”將代幣發送到目標地址。

目標地址顯示“OpenSea:Wallet”給他們轉移了10個代幣。

尋找什么?

大多數這樣的以利用用戶的惡意合約都沒有被“驗證”,又因為我們只能接觸到區塊瀏覽器上的字節碼,如果事件被污染了不良數據,再基于某些條件,都很難讓用戶進行驗證,就像我們的概念驗證一樣。如果合約沒有被驗證,比如我們無法看到Solidity/Vyper/...代碼,并且只暴露于字節碼,那么在與合約交互之前,我們應該采取預防措施。

如果一個代幣被“空投”給我們或其他實體,我們應該謹慎,特別是當我們試圖在DEX上清算代幣時,因為過去有一些事件是利用人為制造價格的方法從竊取的。

一種快速的方法是檢查事件參數是否與交易發起者匹配,這并非萬無一失,因為空投者有多發送方合約。例如,如果交易“From”字段與事件不匹配,請謹慎處理。

用不良數據污染事件的方法正在主網上進行。一個已知的問題。例如,如果我們在GoogleBigQuery上運行以下查詢,我們就可以了解合約發生了什么,它們在發出事件來欺騙索引者,讓他們認為VitalikButerin正在使用他們的代幣。

例子

ElonPlaid(0x907f3040e13bd57f3b00f89bb8ee19424a95b065)

在構造函數上發出一個被VitalikButerins地址污染的Transfer()事件,用于整個代幣供應。

使用代幣開始交易時,發出一個被VitalikButerin地址污染的Transfer()事件。

合約創造者向DEX(4ETH價值)提供流動性

三天后,移除6ETH的流動性,有2ETH的利潤

KenshaInu(0x3a7eaa257181719965f8ebe64bb7c13ffbbca36b)

在構造函數上發出一個被VitalikButerins地址污染的Transfer()事件,用于整個代幣供應。

合約創造者向DEX(5ETH價值)提供流動性

三天后,撤掉6.9ETH的流動性,1.9ETH的利潤

IronDoge(0xf6072df56114e1a1c76fe04fb310d468c9ba8c38)

在構造函數上發出一個被VitalikButerins地址污染的Transfer()事件,用于整個代幣供應。

合約創造者向DEX(4ETH價值)提供流動性

一天后,移除5.8ETH的流動性,使項目獲得1.8ETH的利潤

這只是許多例子中的三個。不法分子正利用污染事件來欺騙用戶,他們的目標不僅是VitalikButerin的已知地址。

總結

盡管區塊瀏覽器在可視化區塊鏈數據方面非常有用,但它們的邏輯可能被濫用來顯示誤導性/不正確的數據。區塊鏈的古老格言“不要信任,要驗證”似乎是合適的,特別是當我們都相信區塊瀏覽器可以提供絕對準確的數據,而不考慮它們如何解釋數據時。

這是一個已知且潛在的難以解決的問題,我希望這篇文章能夠幫助人們在“模仿”一個項目之前少一些FOMO,多一些小心,因為它看起來像是有人投資了,而實際上他們并沒有。

Tags:ETHRANDOGFERYFTetherFrankenstein FinancePXDOGE價格REFER幣

SOL
DEFI:訪問DeFi的5種MetaMask替代方案:Frame、Rabby、XDEFI、Web3Auth、Wallet 3

在本文中,我們將介紹5個MetaMask替代品,它們可以用于跨以太坊和其他區塊鏈的DeFi。MetaMask在全球擁有數百萬用戶,是以太坊和其他區塊鏈上與dapp交互的最受歡迎的Web3錢包.

1900/1/1 0:00:00
比特幣:比特幣“挖礦”案新進展 四川省發改委采納法院司法建議排查、清理多座“礦場”

記者今天從北京市朝陽區人民法院獲悉,日前,四川省發改委回函該院,稱已于2022年初組織相關市開展針對重點地區和企業虛擬貨幣“挖礦”活動的清理排查工作,拆除多座虛擬貨幣“礦場”.

1900/1/1 0:00:00
WEB:Web3 互聯網個人隱私和數據所有權保衛戰

Web3是什么? Web3,因為2021年12月9日,一場美國聽證會,以及一句「確保Web3革命發生在美國」口號而火爆出圈.

1900/1/1 0:00:00
區塊鏈:金色觀察 | 想在元宇宙擁有一個籃球隊?看懂Fast Break Labs

擁有一支運動隊是數百萬球迷的大夢想,但對于大多數人來說,它的成本高得令人望而卻步。基于區塊鏈的游戲和運動,如AxieInfinity和ZedRun,開始展示元宇宙如何使獲得團隊和球員所有權的機會.

1900/1/1 0:00:00
加密貨幣:金色早報 | 北京通州擬成立元宇宙產業基金

頭條 ▌北京通州擬成立元宇宙產業基金3月5日消息,北京市通州區金融辦官方公眾號顯示,近日,通州區政府近日印發了《關于加快北京城市副中心元宇宙創新引領發展的若干措施》.

1900/1/1 0:00:00
區塊鏈:國內涌現70余家數字藏品平臺:合規、流量與利潤在博弈

近期,不少公司和機構紛紛發布數字藏品,希望能趕上這波新潮,甚至新華社、央視網等央媒也推出了自己的數字藏品.

1900/1/1 0:00:00
ads