Khi giá ORDI vượt qua mức cao lịch sử, với vốn hóa thị trường hơn 1 tỷ USD và mức tăng tối đa hàng chục nghìn lần, hệ sinh thái Bitcoin và các dòng chữ BRC20 khác nhau đã bước vào một thị trường tăng giá điên cuồng. GoPlus, công ty đi đầu về bảo mật người dùng, đã phát hiện ra vô số trò lừa đảo khai thác dòng chữ đang nổi lên. Chúng tôi đã tổng hợp bốn trường hợp tấn công dòng chữ điển hình (trang web lừa đảo, dòng chữ thật và giả, thông tin Mint, gian lận thông tin nguy hiểm của Mint) và các biện pháp đối phó tương ứng. Hãy chú ý khi thực hiện giao dịch để tránh tổn thất tài chính.

Loại thứ nhất: Trang web lừa đảo

Vụ việc: Nhóm lừa đảo tạo website (unisats.io) nó cực kỳ giống với nền tảng ví Unisat chính thức và thu hút người dùng truy cập nó bằng cách mua từ khóa tìm kiếm của Google. Điều này dẫn đến việc nhiều người dùng chuyển nhầm tài sản của họ sang trang web lừa đảo, dẫn đến mất Ethereum và Bitcoin.

Biện pháp đối phó:

1. Trước khi truy cập bất kỳ nền tảng nào, hãy đảm bảo xác minh liên kết thông qua Twitter chính thức hoặc các kênh cộng đồng để tránh truy cập các trang web giả mạo.
2. Nên sử dụng một số plugin duyệt web an toàn như Scamsniffer để phát hiện bảo mật trang web.

Loại thứ hai: Chữ viết thật hoặc giả

Trường hợp: Trên nền tảng giao dịch chữ khắc, người dùng phải đối mặt với thách thức trong việc phân biệt chữ khắc thật và giả. Các nền tảng này thường hiển thị nhiều dòng chữ có cùng tên, khiến người dùng khó phân biệt các giao thức cụ thể của chúng. Những kẻ lừa đảo lợi dụng điều này bằng cách thêm các trường không hợp lệ để giả mạo dòng chữ. Các vấn đề tương tự cũng tồn tại trên thị trường NFT, nơi những kẻ lừa đảo tạo ra NFT giả bằng cách khắc các hình ảnh giống hệt nhau, với điểm khác biệt duy nhất là ở số sê-ri.

Ví dụ: https://evm.ink/tokens chứng tỏ rằng các dòng chữ DOGI có thể trông hoàn toàn giống nhau nhưng trên thực tế, chúng khác nhau đáng kể.

Vì nền tảng chỉ ghi lại các trường cụ thể để hiển thị ở giao diện người dùng nên những kẻ lừa đảo có thể sử dụng các phương pháp sau để giả mạo dòng chữ.

Chữ khắc của NFT cũng có những vấn đề liên quan. Ở thị trường ban đầu, người ta thường gặp những NFT có cùng thuộc tính nhưng số thứ tự khác nhau. Lấy NFT ghi BTC làm ví dụ, chuỗi Bộ sưu tập sẽ chỉ bao gồm NFT của các số thứ tự cụ thể. Nếu nó không thuộc tập số thứ tự đó thì không thuộc dãy. Do đó, những kẻ lừa đảo thường giả mạo một NFT nhất định từ cùng một chuỗi để đánh lừa các giao dịch. Đối với người dùng, rất khó để phân biệt số thứ tự có thuộc dãy hay không.

Biện pháp đối phó:

1. Bạn nên chọn các nền tảng giao dịch trưởng thành để giao dịch chữ khắc, vì chúng cung cấp bảo mật tốt hơn và có thể phân biệt hiệu quả giữa chữ khắc thật và giả trên giao diện người dùng.
2. Trước khi tiến hành giao dịch, điều quan trọng là phải xác nhận và so sánh nhiều lần xem định dạng dòng chữ và giao thức có khớp với giao dịch mong muốn hay không (trong loại bẫy dòng chữ thứ tư, sẽ được giải thích cách xem dữ liệu dòng chữ trên trình khám phá blockchain để so sánh).

Loại thứ ba: Bẫy bạc hà

Trường hợp: Trên một số chuỗi công khai, các nhóm lừa đảo lợi dụng tâm lý sợ bỏ lỡ (FOMO) của người dùng đối với các dòng chữ mới và tạo ra các hợp đồng Mint lừa đảo. Những hợp đồng này khiến người dùng tương tác, khiến họ lầm tưởng rằng họ đã có được chữ khắc. Tuy nhiên, trên thực tế, người dùng nhận được NFT không có giá trị và cuối cùng phải trả thuế mua hàng cao trong quá trình tương tác. Trong một trường hợp trên chuỗi Sui, một người dùng đã khắc những gì có vẻ là một dòng chữ hợp pháp nhưng thực tế đã nhận được NFT giả và trả mã thông báo SUI cho kẻ lừa đảo. Trong một thời gian ngắn, kẻ lừa đảo đã thu thập được hơn 5000 mã thông báo SUI.

如何应对:

1. Trước khi tham gia bất kỳ hoạt động nào của Mint, việc nghiên cứu và xác minh kỹ lưỡng tính pháp lý của hợp đồng là điều cần thiết.
2. Khi tham gia vào các dự án Mint chưa được xác minh, hãy đặc biệt chú ý xem hợp đồng có cấu trúc phí không hợp lý hay không.
3. Phân tích cẩn thận thông tin giao dịch của các giao dịch đã hoàn thành trong trình khám phá blockchain tương ứng để xác định các cạm bẫy bảo mật tiềm ẩn.

Loại thứ tư: Lừa đảo thông tin Mint nguy hiểm

Trường hợp: GoPlus đã quan sát thấy việc lưu hành thông tin Mint nguy hiểm trong cộng đồng người dùng. Sau khi những thông tin này được công bố, nhiều người dùng sẽ háo hức sử dụng công cụ tập lệnh khắc để sao chép và dán khóa riêng cũng như thông tin giao dịch cho các hoạt động hàng loạt. Những hoạt động này có thể dẫn đến trộm cắp tài sản. Các nhóm lừa đảo xúi giục người dùng thực hiện các thao tác ghi bằng cách xây dựng các trường JSON đặc biệt và mã hóa chúng dưới dạng hex, có khả năng dẫn đến việc chuyển giao tài sản của người dùng. Ngoài ra, họ có thể thiết lập các hợp đồng Mint lừa đảo, khiến người dùng nhận được mã thông báo giả mạo vô giá trị sau khi phải chịu phí gas cao.

Lấy hình ảnh này làm ví dụ: Việc đúc các dòng chữ dựa trên mã thông báo chung thường được thực hiện bằng cách tự xoay địa chỉ và một chuỗi nội dung JSON cho giao thức mã thông báo được thêm vào dữ liệu Đầu vào để đạt được quy trình ghi. Nhiều người dùng, khi thực hiện các thao tác, sử dụng Hex tùy chỉnh tích hợp của ví để thoát nội dung JSON của giao thức mã thông báo và nhập nó dưới dạng thập lục phân. Đối với người dùng, họ thường dán trực tiếp chuỗi thập lục phân từ nguồn thông báo, nhưng chuỗi này có thể là chuỗi độc hại thoát khỏi định dạng JSON khác.

Biện pháp đối phó:

1. Đối với bất kỳ thông tin Mint nào được đăng trong cộng đồng, phải tiến hành xác minh kỹ lưỡng. Tránh sử dụng trực tiếp các công cụ tập lệnh chưa được xác minh, đặc biệt khi nó liên quan đến các hoạt động với khóa riêng tư và thông tin giao dịch quan trọng.
2. Luôn lấy thông tin từ những nguồn đáng tin cậy.
3. Bạn có thể tìm kiếm các giao dịch thành công trong trình khám phá chuỗi khối và kiểm tra xem hệ thập lục phân có khớp với nội dung tin nhắn hay không.

Lấy dòng chữ của Ton làm ví dụ, hãy bắt đầu bằng cách kiểm tra các địa chỉ có cổ phần cao (đại diện cho những người tham gia sớm) tại https://tonano.io/ton20/ton.

Nhấp vào một trong các địa chỉ, sao chép và dán vào giao diện trình duyệt tại https://tonscan.org/address và kiểm tra thông tin giao dịch liên quan cho địa chỉ đó.

Truy vấn trình duyệt tương tự áp dụng cho các chuỗi khối như Ethereum/Solana.

Kiểm tra dữ liệu dòng chữ đầu vào có trong gói “Tin nhắn” để xem nó có khớp với dữ liệu dòng chữ do chính bạn nhập hay không.

Cảm ơn bạn đã quan tâm tới loạt bài viết về bảo mật của GoPlus. Trong thế giới tiền điện tử đang thay đổi nhanh chóng này, bảo mật là một trong những vấn đề quan trọng nhất cần cân nhắc. GoPlus cam kết liên tục theo dõi các xu hướng của ngành và cung cấp sự bảo vệ toàn diện cho tài sản kỹ thuật số của bạn. Bằng cách theo dõi chúng tôi, bạn có thể cập nhật các bản cập nhật bảo mật, cảnh báo và phương pháp hay nhất mới nhất để giúp bạn điều hướng lĩnh vực cơ hội và thách thức này một cách an toàn.。

Giới thiệu về Bảo mật GoPlus

GoPlus là nhà cung cấp dịch vụ dữ liệu bảo mật khách hàng đầu tiên, hỗ trợ công cụ phát hiện rủi ro với tối đa hơn 30 triệu cuộc gọi mỗi ngày. GoPlus có tiêu chuẩn phân loại rủi ro hợp đồng tài sản nguồn mở đầu tiên và thư viện mẫu tấn công hợp đồng lớn nhất thế giới, đồng thời đã trở thành dịch vụ giám sát bảo mật mã thông báo và NFT với độ chính xác phát hiện cao nhất và khả năng dịch vụ mạnh nhất trong thế giới web3. GoPlus đã cung cấp dịch vụ dữ liệu bảo mật người dùng bền vững cho hơn 200 đối tác bao gồm CoinmarketCap, Coingecko, Dextool, DexScreener, Ave, trình duyệt Opera Crypto, Safepal, Ví Bitgit, Token Pocket, MetaMask Snaps và các đối tác khác.

Tuyên bố từ chối trách nhiệm:

1. Bài viết này được in lại từ [Medium]. Mọi bản quyền đều thuộc về tác giả gốc [GoPlus Security]. Nếu có ý kiến phản đối việc tái bản này, vui lòng liên hệ với nhóm Gate Learn , họ sẽ xử lý kịp thời.
2. Tuyên bố miễn trừ trách nhiệm pháp lý: Các quan điểm và ý kiến trình bày trong bài viết này chỉ là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Việc dịch bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết đã dịch đều bị cấm.