链上运营必备反诈骗指南
imToken 是一款全球领先的区块链数字资产管理工具[ZB],帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产,同时支持去中心化币币兑换功能 ...
区块链技术是当今时代最重要的创新之一,它使去中心化真正成为可能。任何人都可以绝对控制自己的链上资产,不受任何外界干扰或操纵。
这种权利伴随的是责任,这意味着用户需要 100% 地对自己资产的安全负责,需要特别注意私钥的保管和日常操作。一旦私钥或助记词被盗,所有资产将面临被盗的风险。虽然很多项目方(例如)理论上可以通过智能合约控制链上资产并追回被盗资产,但通常只有在黑客故意攻击造成较大损失时才会提供帮助。对于个人失误造成的资产损失,项目方很难提供帮助。
可以预见imtoken地址锁了有用吗,未来会有越来越多的交易活动转移到链上,但遗憾的是,链上骗局仍在大量出现,并催生出许多新形式。不少读者向链捕手反映,自己遭遇过链上骗局,损失了数万元,但都是无法挽回的。为了帮助更多加密行业初学者了解一些行业常识,避免踩坑,链捕手在本文中总结了一些常见的骗局手法,如下:
作者 | 谷雨
1. 假币诈骗
案例:小明关注的项目正在进行IDO,小明在群里看到有人公布代币智能合约地址,小明输入地址后发现已经可以交易,而且有价值几十万元的流动性,于是买入1个ETH,但是当涨幅超过100%准备卖出时,却发现系统提示无法卖出,相当于归零了。
分析:这是一种假币骗局,一些诈骗团伙会批量发行货币,冒用热门货币名称,并建立交易池,注入一定流动性,试图让用户误以为这些货币是真实的,然后将智能合约地址散播到一些社交媒体渠道上。
但该类代币的智能合约代码其实规定了只有发行方才可以卖出代币,其他用户只能买不能卖。如果用户在社交媒体上看到该地址并信以为真,那么购买代币后就只能眼睁睁地看着代币不断上涨,最终归零。
据链捕手观察,网络上的假币大多由特定诈骗团伙发行,通过转账记录可以关联到各个代币发行方地址,近两个月内至少发行了70种假币,获利至少。
具体手法上,他们还会将一些假币转移到标有、、0x-b1等地址,以吸引这些地址粉丝的关注;每次发币活动周期大概在3-5天左右,先增加几百ETH的流动性,等到购买用户很少时再将所有流动性撤出,然后将所有ETH转移到新地址,重新发币,还会不时通过.cash进行资金转移。
更加具有误导性的是,这些诈骗团伙还会制造一些鲸鱼在购买这些货币的假象。如下图所示,该地址被广泛认为是孙宇晨所有,拥有数十亿美元的资产,并且显示其地址在十多天内购买了数个新货币。
一些巨额地址追踪者看到这些记录可能会“跟单”,但点开具体的交易记录就能看到,这笔交易并非由地址所有者发起,而是由假币发行方的地址通过智能合约直接购买,并设置孙宇晨的地址为收款地址。
除了孙宇晨的地址外,很多显示的ETH大额地址也出现了类似的情况。
所以,大家在进行交易的时候,一定要使用官方公布的合约地址,或者推荐列表中的币种,对在其他渠道看到的智能合约地址保持警惕,否则很可能造成巨大的损失。
2. 假冒APP诈骗
案例一:小妮买了新手机,在微信群里看到一个自称是工作人员的用户发了一张带有APP下载链接的闪图。恰巧新手机还没下载APP,于是就扫码下载APP,输入私钥导入钱包,却很快发现地址里的资产全部被转出,损失近2万元。
案例二:据《华盛顿邮报》报道,本月初,两名用户在苹果应用商店搜索加密硬件钱包名称时,出现了一款使用与正品极其相似的logo和配色的APP。虽然当时手机APP尚未上线,但他们误以为已经上线了移动版,于是下载并导入私钥,最终分别损失了17.1个比特币和价值1.4万美元的ETH。
分析:私钥和助记词意味着对钱包资产的绝对控制,因此很多骗子都在试图获取用户私钥,而假冒官方应用是最常见的手段。此类假冒应用或伪装成官方新闻诱导用户下载,或向搜索引擎付费让假冒网站排名靠前,或在苹果/安卓官方应用商店推出同名假冒应用。他们会高度模仿官方网站和图片信息。一旦用户下载应用并导入助记词,钱包资产就会被立即转走。
因此,在下载钱包和交易所APP的时候,一定要记得从官方渠道下载,并检查网站域名等信息是否正确。
3. 虚假客户服务诈骗
案例:肖战在使用一款DApp产品时遇到了问题,于是进入群尝试询问官方人员。随后有用户私聊询问了情况并告知可以私聊官方人员解决问题,并将账号名发给了肖战。肖战随后直接点击账号名进入私聊界面。
官方热情询问肖战发生了什么,称是由于项目数据库出现问题,正在解决,但为了防止再次出错,需要重置账户,并询问肖战用的是什么钱包。随后给了一个链接,让肖战输入助记词导入钱包进行下一步操作。不过肖战此时出于谨慎并没有采取下一步行动,从而避免了助记词的泄露。
分析:如今微信、等各大社交网络几乎都存在伪装成官方客服的账号,这些账号以各种方式欺骗用户的信任,试图将话题引向钱包,诱导用户输入助记词或私钥,一旦用户输入信息,所有资产就会被迅速转走。
因此,大家在各个社区求助时,一定要确认对方身份,如果不确定身份,可以截图发在群里,让其他活跃用户帮忙辨认。通常官方人员不会主动私聊用户,要求用户输入私钥,而是会让用户主动在群聊中私聊。
4.空投骗局
案例:小西在微信群里看到有人发布某知名项目的空投信息,只要在 群里完成几个特定的社交任务,就能获得数百美金的代币奖励。小西按照 机器人的提示完成了全部任务,但随后机器人提示需要先向合约地址发送少量代币,才可以收到空投代币。考虑到成本不高,小西按要求充币,但之后并没有收到空投代币,反而白白损失了十几美金。
分析:基于社交媒体任务的代币空投确实存在大量,这很容易降低用户的警惕性。但这也是许多骗子利用用户懈怠进行诈骗的原因,利用空投诱导用户将币存入智能合约。虽然单笔金额通常不大,但少量金额积累起来仍然相当可观。
目前并没有真正出现需要用户将币存入外部钱包地址才能领取的空投活动,大家可以忽略那些需要转账的空投活动。
5. 注意事项
除了前述需要警惕的故意诈骗行为之外,链上操作还面临诸多由潜在操作失误导致的安全风险,主要有以下几点:
第一,避免对DApp过度授权,定期清理授权。用户首次与DApp交互时需要授权,但授权存在隐患,如果后续DApp受到攻击,可以利用其权限盗取用户资产。因此需要定期清理不常用的DApp权限,或者对Token转账金额进行限制。
第二,尽量避免使用没有经过安全公司代码审计的DApp,尤其是那些号称APY很高的DApp,其安全隐患可能导致巨额本金损失。
第三imToken钱包,需要再次强调的是,大家要注意保存地址私钥和助记词,最好保存在不联网的硬件或者笔记本上,不要把私钥和助记词泄露给任何第三方,这是所有安全措施中最重要的一点。
区块链技术所衍生的巨大想象空间和更大规模的应用,都依赖于更多用户拥有更高的链上操作素养和知识,使得链上不至于成为骗局横行、法外之地,让大量用户无端遭受巨大损失。因此,前述科普教育的意义就显得尤为突出。
原文链接:
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。