干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

春困秋乏夏打盹,睡不醒的冬三月。

自打重新设置了工作日闹钟,小伙伴们的心情想必都像自家猪丢了一样。

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

2 月 18 日,A 股市场迎来牛年首个交易日。紧接着,“基金”猝不及防登上热搜。

说好的开门红呢?

就这?

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

然而近日,手机推送立即再次带来一记猛击。

“比特币大跌”登上新浪微博热搜第 4 名。

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

K 线震荡,万点回调。

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

正摩拳擦掌的币圈投资人们当场傻眼。

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

本以为有马斯克、比尔·盖茨强势带货在前,行情一片大好,却不想现实总让人猝不及防。

新的一年,如何判定一个项目究竟是你咸鱼翻身的大财神,还是设好陷阱的巨坑?

造成行情震荡的原因多重且复杂,这样的震荡尚且在“韭菜们”的接受范围之内。

而那些由安全攻击事件导致的一跌到底行情,才使得大部分“韭菜们”作为受害者的同时,真正失去了重启的希望。

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

在区块链上链项目井喷的 2020 年,除却黑客的“辛勤耕耘”外,巨坑也离不开项目方欺诈的“倾情奉献”。

项目方欺诈——简而言之就是项目方设计一个项目,而这个项目其中已被设置有利于项目方的漏洞,一旦吸引到韭菜们,项目方就将开启一顿疯狂乱割。

CertiK 安全技术团队将为你带来并分析避免项目方欺诈的十条硬核准则

敲重点

👇

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

CertiK 将详细分析以上十条硬核准则,助你鉴别潜在的项目方欺诈项目,极大减少遭受项目方欺诈的几率。

首先,我们可以先回顾一下过往的此类型事件。

发生在近期,且数额最大的典型事件非 Compounder.Finance 莫属。

Compounder 攻击事件回顾

北京时间 12 月 1 日下午 3 点,CertiK 安全技术团队通过 Skynet 发现 Compounder.Finance 项目位于 0x0b283b107f70d23250f882fbfe7216c38abbd7ca 地址处智能合约发生数笔大量代币的交易。

经过技术人员研究,发现这些交易是 Compounder.Finance 项目拥有者内部操作,将大量数额代币转移到自己的账户中。

经过统计,最终 共损失价值约 8000 万人民币的代币

详情链接:https://www.jinse.com/news/blockchain/931157.html

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

在当前 DeFi 市场火热的背景下,潜藏着各式各样的安全漏洞以及隐患,其中项目方欺诈可以算是技术含量最低,门槛最低的一类攻击方式

学习如何防范项目方欺诈攻击的方法并不需要像了解其他那些复杂的基于数学模型的攻击方法那般耗费心力。

Dark Matte r 项目分析

首先,根据项目发布者的历史交易记录来判断项目发布者是否有恶意欺诈历史,是判断新发布项目是否存在欺诈风险的重要依据。

下面以 Dark Matter $DARKM 项目为例,详细分析——如何查看项目发布者是否有恶意欺诈历史。

Dark Matter 项目是一个基于 ERC20 的发币项目,代码中项目方拥有绝对权限,可以任意将任意数目的代币发送到项目方拥有的地址中。

因此是一个非常明显的项目方欺诈项目

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

项目方可以将任意数目代币发送到任意地址中

查看项目发布者是否有恶意欺诈历史需要根据区块链上历史进行查询。

区块链的优势之一是任意交易历史都是公开、可溯源的。

利用此特点,首先可以依靠 Dark Matter 项目的区块链地址,查询项目的发布者地址。

本文以 Etherscan 工具进行介绍,查询结果如下图中右下角所示,_0x71323c_开头的地址即为 Dark Matter 项目发布者地址。

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

第二步,对已知项目发布者地址进行查询。

目标是查询该地址发布的所有交易历史记录的哈希值。

通过查询,Dark Matter 项目发布者地址所有交易历史记录如下图所示:

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

区块链用户的交易历史记录中包括所有的从该账户地址发起与被该账户接收的交易。

每一条交易都有不同的目的和逻辑。

为了查询项目发布者是否有恶意欺诈历史,需要从该账户所有的交易历史记录中查询是否存在创建以恶意欺诈为目标的智能合约的交易。

通过查询可以发现该项目方除 Dark Matter 项目智能合约之外,还创建了另外两个智能合约,它们的地址为:

  1. 0x852B1106ce359ED128451dC753EA4c3289eefadD

  2. 0xAdEeE1bcb63F3477c45400249E78Bc4f565A59e0

根据准则第一条,项目发布者是否有恶意欺诈历史,这两个智能合约也存在极大的欺诈风险。

经过对这两个智能合约的源代码验证情况以及源代码进行分析,第 2 个地址 0xAdEeE1bcb63F3477c45400249E78Bc4f565A59e0 是名为 Rift 项目的智能合约地址,并且该项目源代码中存在与 Dark Matter 完全一致的安全漏洞。

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

以上是查询项目发布者是否有恶意欺诈历史的步骤。

总结

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

项目发布者是否有恶意欺诈历史的查验过程相对容易理解,难点在于——查询所有的交易记录中创建智能合约的交易,以及后续确认这些智能合约中是否真正存在漏洞。

这些工作需要专业的区块链智能合约审计知识与丰富的经验。

看到这篇文章的读者中,大概并非 100% 拥有这样的专业知识。如果你有,欢迎你加入 CertiK 的团队!

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

当然,仅仅一文无法将十条准则详尽讲解。请持续关注 CertiK,学习更多预防项目方欺诈所需遵循的准则以及准则的应用。

目前,CertiK 已将这十条准则的大部分安全验证功能集成到了 CertiK Skynet 天网扫描系统当中。这是一个能够帮用户在恶意漏洞发生之前识别并且标记漏洞的动态扫描系统。

简单概括:Skynet 天网 = 快速扫描 = 即刻的安全分析

它可以结合 CertiK 开发的安全预言机,通过实时的安全检测为智能合约提供实时的链上安全评估。所有用户能够在与协议进行交互之前评估交互方可能存在的任何潜在风险,从而最大程度地降低安全隐患。

更重要的是,Skynet 天网作为 CertiK 独立开发的最新工具,也可用于评估智能合约的安全性并提高安全预言机建议的可靠性与可信度。

想知道一次扫描,需要花多长时间吗?

大概是你起身去接杯水的功夫,短短 112 秒左右,你还没有来得及泡杯茶,bug (如果有)就已经被检测到了。

并且它可以在 20-30 分钟内,为用户出具一个安全情报和评分,每时每刻为你提供链上交易的实时防护。

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

Skynet 天网打分测评系统

复制以下链接,查看 Skynet 天网的打分吧!

https://certik.org/

灵活运用安全工具及硬核准则,相信下一个币圈大佬就是你!

干货分享 | 避免项目方欺诈?10 条硬核准则,拿走不谢!

往期回顾

CertiK 与火币生态链 Heco 达成战略合作,助力区块链生态安全

重磅 | CertiK 中国区总部落户苏州,并作为重大科技项目签约苏州工业园区!

Yearn.Finance 惊爆漏洞,DeFi 再遭打击,一文带你探明事件始末!

继蛋壳崩坏,难道自如也要走上这一步?Stacktical 携手 CertiK,共同保卫 DeFi 生态安全

Base Protocol 与 CertiK 达成战略合作,助力端到端安全解决方案

Harmony 联合 CertiK 安全预言机,为安全 DeFi 生态系统赋能

AMA 回顾 | 区块链安全何去何从?CertiK 为你在线答疑!

年度最受社区欢迎区块链项目 | CertiK Chain 荣获 2020 年星球日报「FAT」区块链胖榜单年度大奖

一键查询安全排行榜——DeFi 的安全洞察数据库

CertiK DeepSEA 编译器现已全面支持 Conflux 生态系统!

请点击“阅读原文”访问 CertiK 官方网站