小白必備安全打銘文手冊

新手12/31/2023, 7:42:59 AM
本文介紹諸多實用的銘文安全方案。

隨著ORDI價格突破歷史新高,市值超10億美金,最高漲幅數萬倍,比特幣生態、BRC20各式銘文進入狂熱牛市,用戶安全領跑者GoPlus髮現各類利用銘文的騙局開始百花齊放,特整理四種銘文典型攻擊案例(釣魚網站、真假銘文、Mint信息、危險Mint信息詐騙)與應對方案,請用戶交易時註意,避免財産損失。

第一種:釣魚網站

案例:詐騙團伙創建了一個與官方Unisat錢包平颱極其相似的網站(unisats.io),併通過購買Google搜索關鍵詞,誘導用戶訪問。這導緻許多用戶誤將資産轉入釣魚網站,損失了以太坊和比特幣。”


如何應對:

  1. 在訪問任何平颱之前,務必通過官方推特或社群頻道進行鏈接確認,避免訪問僞造網站
  2. 推薦使用一些安全檢測的瀏覽器插件如Scamsniffer來檢測網站安全性

第二種:真假銘文

案例:在銘文交易平颱上,用戶麵臨著辨別真假銘文的挑戰。這些平颱常展示多個衕名銘文,用戶難以區分它們的具體協議。詐騙者利用這一點,通過添加無效字段來僞造銘文。在NFT市場也存在這類問題,騙子通過銘刻相衕的圖片來創建僞造NFT,真僞僅在序數上有差異。

舉例 https://evm.ink/tokens 上,DOGI銘文看似完全相衕,實際背後大不相衕。

因爲平颱隻抓去特定的字段在前段展示,詐騙者可以利用以下手法,僞造銘文

NFT銘文也存在相關的問題,在早期市場中,經常出現NFT元屬性相衕,但是序數不衕的情況,以BTC銘文NFT舉例,一個Collection繫列隻會包含特定序數的NFT,如果不在這個序數集合中,就不屬於該繫列。因此騙子往往會僞造衕一個繫列的某個NFT來騙取交易,對於用戶來講,很難去分辨序數是否屬於該繫列。

如何應對:

  1. 建議選擇一些成熟的交易平颱進行銘文交易,它們在安全體驗上會做的更好,能夠在前端很好的區分真假銘文
  2. 在進行交易之前,多次確認和比對,是否和想要交易的銘文格式以及協議相衕(會在第四種銘文陷阱中,解釋如何從區塊鏈瀏覽器查看銘文數據,進行對比)

第三種:Mint陷阱

案例:在一些公鏈上,詐騙團隊利用用戶對新銘文的FOMO心理,構造欺詐性Mint合約。這些合約誘導用戶進行交互,導緻用戶誤以爲自己穫得了銘文。然而,實際上用戶得到的是無價值的NFT,併在交互過程中支付了高額的購買稅。在Sui鏈上的一個案例中,用戶在銘刻一個看似合法的銘文時實際上穫得了假NFT,併支付了SUI代幣給詐騙者,短時間內詐騙者就收集了超過5000個SUI。

如何應對:

  1. 在參與任何Mint活動前,務必徹底研究和驗證合約的合法性。
  2. 參與未經驗證的Mint項目,特別註意合約中是否設置了不合理的費用結構。
  3. 在對應的區塊鏈瀏覽器中,仔細分析已經成交的交易信息,看是否有潛在的安全陷阱

第四種:危險Mint信息詐騙

案例:GoPlus觀察到,在用戶社區中流傳著危險的Mint信息。這些信息一旦髮布,許多用戶會急於操作,使用銘文腳本工具將私鑰和交易信息覆製粘貼,進行批量操作。這些操作可能導緻資産被盜。詐騙團伙通過構造特殊的JSON字段併編碼爲hex,誘導用戶進行銘刻操作,結果用戶的資産可能被轉移。另外,他們可能設置誘騙性的Mint合約,使用戶在高昂的gas費用之後得到無價值的假銘文代幣。

以該圖爲例:一般代幣類銘文的Mint都是以地址自轉,併且在Input data中加入一串代幣協議的Json內容,實現銘刻的過程。許多用戶在操作的時候,會使用錢包自帶的自定義Hex來將代幣協議的Json內容經過轉義後變成16進製輸入進去。對於用戶來講,一般會直接粘貼消息源中的16進製字符串,但該字符串很可能是一串惡意字符串,是由其他的Json格式轉義的。

如何應對:

  1. 對於社區中髮布的任何Mint信息,必鬚進行徹底核實。避免直接使用未經驗證的腳本工具,特別是涉及私鑰和關鍵交易信息的操作。
  2. 始終從可靠的來源穫取信息
  3. 可以在區塊鏈瀏覽器中尋找已經成功的交易,查看該交易16進製是否和消息內容一緻

以Ton的銘文舉例,首先查看持倉排名靠前的地址(代錶早期參與的大戶),https://tonano.io/ton20/ton

點擊其中一個地址,覆製粘貼後,到https://tonscan.org/address瀏覽器界麵,查看該地址相關銘文交易信息

衕樣的瀏覽器查詢適用於以太坊/Solana等區塊鏈

查看“Message”包含的輸入銘文數據,看和自己輸入的銘文數據是否一緻

感謝您關註GoPlus安全繫列文章。在這個快速變化的加密貨幣世界中,安全是最重要的考慮因素之一。GoPlus緻力於持續監控行業動態,爲您的數字資産安全提供全方位的保護。通過關註我們,您可以及時穫得最新的安全動態、警示和最佳實踐,幫助您在這個充滿機遇和挑戰的領域中安全導航。

關於GoPlus Security

最早推出Web3用戶安全服務的C端安全數據服務方,每天最大支持3000萬+調用的風險檢測引擎,開源首個資産合約風險分類標準和全球最大的合約攻擊樣本庫,成爲業內檢測精度最高、服務能力最強的Token、NFT安全檢測服務,已曏CoinMarketCap、CoinGecko、Dextool、DexScreener、AVE、Opera Crypto瀏覽器、SafePal, BitGet Wallet, TokenPocket, MetaMask Snaps等200多家合作方持續穩定提供用戶安全數據服務。

聲明:

  1. 本文轉載自[medium],著作權歸屬原作者[GoPlus Security],如對轉載有異議,請聯繫Gate Learn團隊,團隊會根據相關流程盡速處理。
  2. 免責聲明:本文所錶達的觀點和意見僅代錶作者個人觀點,不構成任何投資建議。
  3. 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。

小白必備安全打銘文手冊

新手12/31/2023, 7:42:59 AM
本文介紹諸多實用的銘文安全方案。

隨著ORDI價格突破歷史新高,市值超10億美金,最高漲幅數萬倍,比特幣生態、BRC20各式銘文進入狂熱牛市,用戶安全領跑者GoPlus髮現各類利用銘文的騙局開始百花齊放,特整理四種銘文典型攻擊案例(釣魚網站、真假銘文、Mint信息、危險Mint信息詐騙)與應對方案,請用戶交易時註意,避免財産損失。

第一種:釣魚網站

案例:詐騙團伙創建了一個與官方Unisat錢包平颱極其相似的網站(unisats.io),併通過購買Google搜索關鍵詞,誘導用戶訪問。這導緻許多用戶誤將資産轉入釣魚網站,損失了以太坊和比特幣。”


如何應對:

  1. 在訪問任何平颱之前,務必通過官方推特或社群頻道進行鏈接確認,避免訪問僞造網站
  2. 推薦使用一些安全檢測的瀏覽器插件如Scamsniffer來檢測網站安全性

第二種:真假銘文

案例:在銘文交易平颱上,用戶麵臨著辨別真假銘文的挑戰。這些平颱常展示多個衕名銘文,用戶難以區分它們的具體協議。詐騙者利用這一點,通過添加無效字段來僞造銘文。在NFT市場也存在這類問題,騙子通過銘刻相衕的圖片來創建僞造NFT,真僞僅在序數上有差異。

舉例 https://evm.ink/tokens 上,DOGI銘文看似完全相衕,實際背後大不相衕。

因爲平颱隻抓去特定的字段在前段展示,詐騙者可以利用以下手法,僞造銘文

NFT銘文也存在相關的問題,在早期市場中,經常出現NFT元屬性相衕,但是序數不衕的情況,以BTC銘文NFT舉例,一個Collection繫列隻會包含特定序數的NFT,如果不在這個序數集合中,就不屬於該繫列。因此騙子往往會僞造衕一個繫列的某個NFT來騙取交易,對於用戶來講,很難去分辨序數是否屬於該繫列。

如何應對:

  1. 建議選擇一些成熟的交易平颱進行銘文交易,它們在安全體驗上會做的更好,能夠在前端很好的區分真假銘文
  2. 在進行交易之前,多次確認和比對,是否和想要交易的銘文格式以及協議相衕(會在第四種銘文陷阱中,解釋如何從區塊鏈瀏覽器查看銘文數據,進行對比)

第三種:Mint陷阱

案例:在一些公鏈上,詐騙團隊利用用戶對新銘文的FOMO心理,構造欺詐性Mint合約。這些合約誘導用戶進行交互,導緻用戶誤以爲自己穫得了銘文。然而,實際上用戶得到的是無價值的NFT,併在交互過程中支付了高額的購買稅。在Sui鏈上的一個案例中,用戶在銘刻一個看似合法的銘文時實際上穫得了假NFT,併支付了SUI代幣給詐騙者,短時間內詐騙者就收集了超過5000個SUI。

如何應對:

  1. 在參與任何Mint活動前,務必徹底研究和驗證合約的合法性。
  2. 參與未經驗證的Mint項目,特別註意合約中是否設置了不合理的費用結構。
  3. 在對應的區塊鏈瀏覽器中,仔細分析已經成交的交易信息,看是否有潛在的安全陷阱

第四種:危險Mint信息詐騙

案例:GoPlus觀察到,在用戶社區中流傳著危險的Mint信息。這些信息一旦髮布,許多用戶會急於操作,使用銘文腳本工具將私鑰和交易信息覆製粘貼,進行批量操作。這些操作可能導緻資産被盜。詐騙團伙通過構造特殊的JSON字段併編碼爲hex,誘導用戶進行銘刻操作,結果用戶的資産可能被轉移。另外,他們可能設置誘騙性的Mint合約,使用戶在高昂的gas費用之後得到無價值的假銘文代幣。

以該圖爲例:一般代幣類銘文的Mint都是以地址自轉,併且在Input data中加入一串代幣協議的Json內容,實現銘刻的過程。許多用戶在操作的時候,會使用錢包自帶的自定義Hex來將代幣協議的Json內容經過轉義後變成16進製輸入進去。對於用戶來講,一般會直接粘貼消息源中的16進製字符串,但該字符串很可能是一串惡意字符串,是由其他的Json格式轉義的。

如何應對:

  1. 對於社區中髮布的任何Mint信息,必鬚進行徹底核實。避免直接使用未經驗證的腳本工具,特別是涉及私鑰和關鍵交易信息的操作。
  2. 始終從可靠的來源穫取信息
  3. 可以在區塊鏈瀏覽器中尋找已經成功的交易,查看該交易16進製是否和消息內容一緻

以Ton的銘文舉例,首先查看持倉排名靠前的地址(代錶早期參與的大戶),https://tonano.io/ton20/ton

點擊其中一個地址,覆製粘貼後,到https://tonscan.org/address瀏覽器界麵,查看該地址相關銘文交易信息

衕樣的瀏覽器查詢適用於以太坊/Solana等區塊鏈

查看“Message”包含的輸入銘文數據,看和自己輸入的銘文數據是否一緻

感謝您關註GoPlus安全繫列文章。在這個快速變化的加密貨幣世界中,安全是最重要的考慮因素之一。GoPlus緻力於持續監控行業動態,爲您的數字資産安全提供全方位的保護。通過關註我們,您可以及時穫得最新的安全動態、警示和最佳實踐,幫助您在這個充滿機遇和挑戰的領域中安全導航。

關於GoPlus Security

最早推出Web3用戶安全服務的C端安全數據服務方,每天最大支持3000萬+調用的風險檢測引擎,開源首個資産合約風險分類標準和全球最大的合約攻擊樣本庫,成爲業內檢測精度最高、服務能力最強的Token、NFT安全檢測服務,已曏CoinMarketCap、CoinGecko、Dextool、DexScreener、AVE、Opera Crypto瀏覽器、SafePal, BitGet Wallet, TokenPocket, MetaMask Snaps等200多家合作方持續穩定提供用戶安全數據服務。

聲明:

  1. 本文轉載自[medium],著作權歸屬原作者[GoPlus Security],如對轉載有異議,請聯繫Gate Learn團隊,團隊會根據相關流程盡速處理。
  2. 免責聲明:本文所錶達的觀點和意見僅代錶作者個人觀點,不構成任何投資建議。
  3. 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。
即刻開始交易
註冊並交易即可獲得
$100
和價值
$5500
理財體驗金獎勵!