de acordo com relatórios da cointelegraph, a fraude mais uma vez se tornou um grande impulsionador do crime de criptomoeda, causando perdas diretas de 4,6 bilhões de dólares no ano passado (2023).

de acordo com um relatório de dados certik, houve 223 incidentes significativos de segurança on-chain no setor de criptomoedas apenas no primeiro trimestre de 2024, resultando em perdas totais de 500 milhões de dólares. além disso, um recente relatório da slowmist destacou que houve mais de 31 incidentes de segurança notáveis no mês passado (maio), causando perdas de 124 milhões de dólares devido a hacking, golpes de phishing, roubo de contas e rug pulls. isso representa um aumento de cerca de 52,5% em comparação com abril.

Além disso, o incidente amplamente discutido envolvendo o roubo de grandes quantidades de fundos de usuários da OKX supostamente não só esgotou fundos substanciais de alguns usuários, mas também levou à retirada de 630 milhões de dólares dos fundos dos usuários da bolsa neste mês.

esses incidentes são apenas aqueles que conhecemos. muitos golpes, como esquemas de "abate de porcos" voltados para recém-chegados ao campo, são difíceis de quantificar.

É por isso que sempre enfatizo dois princípios fundamentais para os iniciantes nesse campo: primeiro, proteja seu capital inicial e segundo, evite coisas que você não entende. Em resumo, sempre priorize a conscientização da segurança. Já resumimos alguns pontos sobre segurança em artigos anteriores. Hoje, continuaremos essa discussão destacando algumas questões comuns de segurança:

1. vulnerabilidades do protocolo defi

vulnerabilidades comuns no defi incluem ataques de empréstimos instantâneos e manipulação de oráculos, ambos dos quais podem drenar os recursos de um protocolo defi.

flash loans são um produto inovador de defi que permite aos usuários emprestar qualquer quantia de ativos criptográficos de um pool de protocolo sem necessidade de garantia, desde que o principal e o juros sejam pagos na mesma transação (um bloco). A vantagem dos flash loans é que eles permitem que os usuários explorem oportunidades de arbitragem de mercado, realizando operações de baixo custo e alta recompensa. O risco é que, se o usuário não puder pagar dentro do prazo especificado, a transação é cancelada, resultando em perda de taxas de transação e juros.

os ataques de empréstimos relâmpago funcionam executando rapidamente várias operações de empréstimo e negociação na mesma rede blockchain, causando erros em contratos inteligentes e permitindo que os atacantes obtenham benefícios indevidos. Por exemplo, em 14 de maio, o protocolo de empréstimo nativo do otimismo, Sonne Finance, baseado no Compound, sofreu um ataque de empréstimo relâmpago, perdendo mais de 20 milhões de dólares.

oráculos são aplicações que obtêm, verificam e transmitem informações externas (dados off-chain) para contratos inteligentes na blockchain. Além de puxar dados off-chain e transmiti-los no ethereum, os oráculos também podem enviar informações da blockchain para sistemas externos. Por exemplo, uma fechadura inteligente pode ser destravada assim que um usuário enviar uma taxa por meio de uma transação ethereum. Sem oráculos, os contratos inteligentes estariam limitados a usar apenas dados on-chain.

manipulação do oráculo pode resultar em oráculos reportando dados incorretos sobre eventos externos ou condições do mundo real. por exemplo, considere um ativo criptográfico negociado em cinco exchanges, onde 85% do volume de negociação ocorre em duas delas. se o oráculo cobre apenas as outras três exchanges com menor liquidez, sua cobertura é insuficiente. um atacante poderia manipular os preços nessas três exchanges de baixa liquidez, fazendo com que o oráculo reporte preços que se desviam dos preços de mercado reais, criando assim um risco de manipulação.

por exemplo, em 10 de junho, a plataforma de empréstimos uwu lend foi atacada, resultando em uma perda de aproximadamente 19,3 milhões de dólares. O cerne deste ataque envolveu o atacante manipulando o oráculo de preços fazendo grandes negociações na pool curvefinance, o que afetou o preço do token susde. O atacante então explorou o preço manipulado para retirar outros ativos da pool.

portanto, ao usar protocolos defi, é importante diversificar seus investimentos e evitar o uso de protocolos que não foram auditados ou possuem pools de liquidez baixa.

2. vários sites de phishing

muitos usuários provavelmente encontraram sites de phishing. Os golpistas criam sites falsos oficiais que parecem legítimos e os espalham amplamente por meio de mídias sociais, e-mails, grupos de discussão e outros canais. Se um usuário visita um site falso e, tentado por alguns benefícios, conecta sua carteira e concede autorização, os ativos em sua carteira podem ser automaticamente roubados.

para evitar isso, sempre verifique duas vezes o domínio do dapp (url) ao visitar sites, especialmente aqueles que exigem autorização da carteira, como plataformas dex. é melhor marcar os sites oficiais que você usa com frequência em vez de procurá-los no twitter ou no google toda vez, pois os resultados da pesquisa às vezes podem ser enganosos. além disso, evite clicar em anúncios de projetos em vários sites, pois os golpistas costumam colocar anúncios falsos.

evite clicar em links enviados por estranhos. por exemplo, um golpe comum no discord envolve golpistas enviando mensagens com links para páginas falsas ou postagens no twitter (o link da postagem no twitter pode estar correto, mas contém um link fraudulento).

se você precisar instalar plug-ins do navegador, instale apenas aqueles com os quais está familiarizado. Recentemente, em 3 de junho, um usuário relatou ter perdido um milhão de dólares após instalar uma extensão maliciosa do Chrome chamada aggr.

portanto, ao lidar com plugins do navegador (usando o chrome como exemplo), certifique-se de instalar apenas plugins conhecidos da chrome web store para evitar extensões desconhecidas. você também pode considerar o uso de plugins de verificação de segurança como scamsniffer para uma navegação mais segura.

Se você estiver especialmente preocupado com a segurança, considere criar um perfil de usuário separado no Chrome especificamente para interações com dapp que exigem acesso à carteira. Não instale nenhum plugin neste perfil e certifique-se de sair imediatamente após concluir suas transações.

3. verifique sua carteira regularmente

Além de verificar a segurança e confiabilidade dos protocolos ao autorizar vários dapps, é aconselhável verificar regularmente o histórico de autorizações da sua carteira e revogar quaisquer autorizações que possam ser arriscadas ou pouco claras, mesmo que já tenha desconectado a sua carteira.

existem várias ferramentas disponíveis para verificar autorizações de carteira, sendo o revokecash um dos mais comumente usados, como ilustrado na imagem abaixo.

Além disso, algumas carteiras oferecem recursos para gerenciar autorizações históricas. Por exemplo, a carteira rabby, que é uma carteira de criptomoedas sob debank, suporta essa funcionalidade, como mostrado na imagem abaixo.

quanto ao uso da carteira, se você tiver uma quantidade significativa de ativos, é aconselhável não manter todos os seus fundos em carteiras quentes como metamask ou phantom. você pode manter uma parte de seus fundos frequentemente usados em carteiras quentes (distribuídos entre várias carteiras quentes), e outra parte em exchanges (distribuídos entre diferentes exchanges, mas apenas use as principais). os fundos restantes devem ser armazenados em carteiras frias.

Além disso, as cold wallets não precisam ser carteiras de hardware como Ledger, Trezor ou Ellipal. Pessoalmente, eu uso dois iPhones da Apple separados, offline, como cold wallets. Para transações diárias, eu uso um iPhone da Apple separado como uma hot wallet (não recomendo o uso de telefones Android), que também é separado do meu telefone do dia a dia.

4. evitar airdrops falsos

muitas pessoas, especialmente os novatos, pensam nos airdrops como tokens ou nfts gratuitos que podem reivindicar. Os golpistas se aproveitam disso usando airdrops falsos para enganar as pessoas a revelar suas chaves privadas da carteira ou levá-las a sites de phishing onde autorizam suas carteiras.

por exemplo, você pode receber inesperadamente um NFT (uma pequena imagem) em sua carteira com um URL nele, tentando-o a visitar o site. Se você visitar o site e autorizar sua carteira, seus ativos podem ser drenados instantaneamente.

quando você vê endereços de reivindicação de token grátis ou links de airdrop para projetos populares nas redes sociais, sempre verifique sua autenticidade através do site oficial do projeto. nunca compartilhe sua frase-semente ou chave privada para reivindicar qualquer airdrop. sua frase-semente equivale a todos os seus ativos—nunca a divulgue para ninguém.

listamos apenas algumas questões comuns de segurança e dicas de prevenção aqui. O espaço cripto está repleto de métodos de golpes em constante evolução. Os golpistas continuam pensando em novas maneiras de enganar, destacando o ponto que mencionamos anteriormente: quando alguém se concentra em uma área específica e continua pesquisando, eles podem se adiantar. Os golpistas estão sempre aperfeiçoando suas táticas, tornando cada vez mais difícil para a maioria das pessoas se proteger.

Para finalizar, vamos dar uma olhada em algumas das notícias quentes mais recentes dos últimos dias:

• em 17 de junho, a binance listou zksync (zk) às 16:00 hora de Pequim e abriu pares de negociação spot relacionados.
• em 17 de junho, o airdrop da zk nation ficou disponível às 15:00 hora de Pequim.
• em 16 de junho, dados da plataforma geniidata mostraram que o rune cook•the•mempool foi totalmente cunhado, com um total de 4.309.311 cunhagens, tornando-o o rune mais cunhado no momento, com 28.435 endereços de detenção.
• Em 15 de junho, a conta do Twitter da LayerZero Foundation postou uma mensagem com a imagem '06.20.2024'. As pessoas especulam que a LayerZero pode anunciar informações sobre a distribuição de tokens no dia 20.
• em 15 de junho, o preço da ton atingiu uma alta histórica. projetos de jogos no ecossistema da ton, como pixelverse, momoai, hamster kombat e catizen, estão ganhando mais atenção. apesar da queda geral do mercado, o toncoin se tornou recentemente um ponto brilhante raro no mercado.
• Em 14 de junho, a AO (uma camada 1 construída na plataforma de armazenamento de dados Arweave) anunciou sua tokenomia, com 36% alocados para os detentores de AR e 64% para os usuários de várias cadeias.
• em 14 de junho, houve relatos de que um etf eth poderia ser lançado em 2 de julho.
• Em 14 de junho, um artigo da revista Forbes afirmou que CZ, atualmente preso nos EUA, é a 24ª pessoa mais rica do mundo, tornando-o a pessoa mais rica a ser encarcerada, com uma fortuna de 61 bilhões de dólares. A riqueza de CZ vem principalmente de sua participação de 90% na Binance e sua posse de 94 milhões de BNB, que representam 64% do fornecimento circulante.

disclaimer：

1. este artigo é reproduzido a partir de [话李话外], todos os direitos autorais pertencem ao autor original [话李话外]. se houver objeções a esta reimpressão, entre em contato com o Gate aprenderequipe, e eles vão lidar com isso prontamente.
2. aviso de responsabilidade: as opiniões expressas neste artigo são exclusivamente do autor e não constituem nenhum conselho de investimento.
3. as traduções do artigo para outros idiomas são feitas pela equipe de aprendizado da Gate.io. a menos que seja mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.