Оскільки ціна токенів ORDI досягає історичних максимумів, перевищуючи ринкову вартість в 1 мільярд доларів США з максимальним зростанням у десятки тисяч разів, екосистема біткойн і написи BRC20 входять у шалену активність. Лідер із безпеки користувачів, GoPlus, виявив різні види шахрайства з використанням написів і організував чотири типові випадки атак (фішингові веб-сайти, справжні та підроблені написи, інформація Mint і небезпечне шахрайство з інформацією Mint), а також відповідні контрзаходи для запобігання фінансовим втратам під час транзакцій.

Тип 1: Фішингові веб-сайти

Кейс: шахраї створили веб-сайт (unisats.io) надзвичайно схожий на офіційну платформу гаманця Unisat і залучав користувачів за допомогою куплених ключових слів пошуку Google. Багато користувачів помилково перевели активи на цей фішинговий сайт, втративши Ethereum і Bitcoin.

Контрзаходи:

1. Перш ніж отримати доступ до будь-якої платформи, переконайтеся, що підтвердили посилання через офіційний Twitter або канали спільноти, щоб уникнути доступу до підроблених веб-сайтів.

2. Рекомендується використовувати деякі плагіни браузера для виявлення безпеки, такі як Scamsniffer, щоб визначити безпеку веб-сайту.

Тип 2: Істинні та хибні написи

Випадок: на платформі торгівлі написами користувачі стикаються з проблемою розрізнення справжніх написів від підроблених. Ці платформи часто відображають кілька написів з однаковою назвою, що ускладнює користувачам розрізнення їхніх конкретних протоколів. Цим користуються шахраї, додаючи недійсні поля для підробки написів. Цей тип проблеми також існує на ринку NFT, де шахраї створюють підроблені NFT, вигравіювавши те саме зображення, лише з різницею в серійному номері, щоб відрізнити справжні від підроблених.

Наприклад, на https://evm.ink/tokens, написи DOGI можуть здатися ідентичними, але насправді вони дуже різні.

Оскільки платформа фіксує лише певні поля для відображення на інтерфейсі, шахраї можуть використовувати такі методи для підробки написів.

Написи NFT також мають пов’язані проблеми. На ранньому ринку було звичайно мати NFT з однаковими мета-властивостями, але різними порядковими номерами. Взявши як приклад NFT із написом BTC, серія Collection міститиме лише NFT із певними порядковими номерами. Якщо його немає в цьому наборі порядкових номерів, він не належить до серії. Тому шахраї часто підробляють певний NFT з тієї ж серії, щоб обдурити транзакції. Користувачам важко розрізнити, чи належить порядковий номер до серії.

Контрзаходи:

1. Вибирайте розвинені торгові платформи, які краще розрізняють справжні та підроблені написи.

2. Перед торгівлею неодноразово перевіряйте та порівнюйте, щоб переконатися, що формат напису та протокол відповідають запланованій транзакції. (Пояснено в Типі 4 про те, як перевірити дані напису за допомогою блокчейн-провідників).

Тип 3: Пастки для м'ятних монет

Випадок: у деяких публічних мережах групи шахраїв використовують психологію користувачів FOMO для нових написів, щоб створити шахрайські контракти Mint. Ці контракти спонукають користувачів до взаємодії, змушуючи користувачів помилково вважати, що вони отримали написи. Однак насправді користувачі отримують нікчемні NFT і платять високі податки на покупку під час процесу взаємодії. У випадку з ланцюжком Sui користувачі фактично отримували підроблені NFT і платили шахраям токени SUI, гравіруючи те, що здавалося законним написом, і за короткий проміжок часу шахраї зібрали понад 5000 токенів SUI.

Контрзаходи:

1. Перш ніж брати участь у будь-якій діяльності Mint, обов’язково ретельно вивчіть і перевірте законність контракту.

2. Беріть участь у неперевірених проектах Mint, звертаючи особливу увагу на те, чи в контракті встановлено необґрунтовані структури комісії.

3. Ретельно проаналізуйте інформацію про транзакцію, яка вже була завершена у відповідному браузері блокчейну, щоб побачити, чи існують потенційні ризики для безпеки.

Тип 4: небезпечне шахрайство з монетним двором

Випадок: GoPlus помітила, що в спільноті користувачів поширюється небезпечна інформація Mint. Після оприлюднення цієї інформації багато користувачів можуть захотіти працювати та використовувати інструмент сценарію запису для копіювання та вставлення закритих ключів та інформації про транзакції для пакетних операцій. Ці операції можуть призвести до крадіжки активів. Шахраї спонукають користувачів до гравіювання, створюючи спеціальні поля JSON і кодуючи їх у шістнадцятковому вигляді, і в результаті активи користувачів можуть бути передані. Крім того, вони можуть встановлювати оманливі контракти Mint, які дають користувачам нікчемні підроблені токени після сплати високих зборів за газ.

Візьмемо цю діаграму як приклад: Монетний двір загального напису токенів зазвичай автоматично обертається за адресою, а вміст Json протоколу токенів додається до вхідних даних для здійснення процесу напису. Багато користувачів використовуватимуть вбудований спеціальний Hex гаманця, щоб уникнути вмісту Json протоколу маркера та вводити його як шістнадцяткове під час роботи. Для користувачів вони зазвичай безпосередньо вставляють шістнадцятковий рядок у джерело повідомлення, але цей рядок, імовірно, є зловмисним рядком, який екранується з інших форматів Json.

Контрзаходи:

1. Для будь-якої інформації Mint, опублікованої в спільноті, необхідно провести ретельну перевірку. Уникайте безпосереднього використання неперевірених інструментів сценаріїв, особливо коли ви маєте справу з закритими ключами та критичною інформацією про транзакції.

2. Завжди отримуйте інформацію з надійних джерел.

3. Ви можете шукати успішні транзакції в блокчейн-браузері та перевіряти, чи відповідає шістнадцяткове число транзакції вмісту повідомлення.

Використовуючи напис Ton як приклад, спочатку перевірте адреси з високими позиціями в рейтингу холдингу (що представляють ранніх учасників і великих власників), https://tonano.io/ton20/ton.

Натисніть одну з адрес, скопіюйте та вставте її та перейдіть на сторінку https://tonscan.org/address інтерфейс браузера, щоб переглянути відповідну інформацію про трансакцію напису для цієї адреси.

Перевірте, чи дані транзакції напису відповідають вмісту 「Message」

Відмова від відповідальності:

1. Цю статтю передруковано з [GoPlus Security]. Усі авторські права належать оригінальному автору [GoPlus Security]. Якщо є заперечення щодо цього передруку, будь ласка, зв’яжіться з командою Gate Learn , і вони негайно розглянуть це.
2. Відмова від відповідальності: погляди та думки, висловлені в цій статті, належать виключно автору та не є жодною інвестиційною порадою.
3. Переклади статті на інші мови виконує команда Gate Learn. Якщо не зазначено вище, копіювання, розповсюдження або плагіат перекладених статей заборонено.