加密世界的探索者必備的防騙指南。

原文標題:《鏈上操作必備防坑指南 | 鏈捕手》
撰文:谷昱

區塊鏈技術是當前時代最重要的創新之一,使得去中心化真正成爲可能,任何人都對自己的鏈上資產享有絕對的控制權,外界無法進行任何干涉與操作。

這種權利相伴的則是責任,這意味着用戶需要對自己的資產安全負 100% 的責任,在私鑰保存、日常操作方面都需要格外注意,一旦私鑰或者助記詞失竊,所有資產都會面臨被盜風險。儘管許多項目方(例如 Tether)理論上能通過智能合約控制鏈上資產並找回被盜資產,但通常只會在黑客故意攻擊並造成大量損失時纔會給予幫助,個人失誤造成的資產損失很難得到項目方的援助。

可以預見,未來越來越多的交易活動將向鏈上轉移,但不巧的是,鏈上騙局如今仍在大量出現,並衍生出許多新形式,多名讀者曾向鏈捕手反映遭遇鏈上詐騙並損失數萬元,但都已經無法挽回。爲了幫助更多加密行業初入門者瞭解一些行業常識,避免踩坑,鏈捕手在本文中總結了一些常見的騙局手法,具體如下:

鏈上操作必備防坑指南 | 鏈捕手

假幣騙局

案例:小茗關注的項目正在進行 IDO,在電報羣看到有人發佈了代幣智能合約地址,小茗將改地址在 Uniswap 輸入後發現已經可以交易,並且有價值大幾十萬元的流動性,隨即購買了 1 個 ETH,但此後上漲 1 倍多並準備賣出時發現,系統提示無法賣出,相當於歸零。

分析:這種情況屬於假幣騙局,某些詐騙集團會批量發行幣種並以關注度高的幣種爲名字,並建立 Uniswap 交易池、注入一定流動性,意圖誤導用戶爲真幣,然後在一些社交媒體渠道傳播智能合約地址,但這種代幣的智能合約代碼中實際上已經規定只允許發行方出售代幣,其他用戶只能買入不能出售,而用戶如果在社交媒體看到地址並信以爲真,在買入其代幣後就只能坐視其上漲並最終歸零。

據鏈捕手觀察,大部分 Uniswap 上的假幣都是由一個特定詐騙集團發行,每個代幣發行方地址都能通過轉賬記錄相關聯, 最近 2 個月至少發行了 70 餘種假幣,獲利至少在 4000 ETH 以上。

在具體手法方面,他們還會向被標記爲幣安、V 神與 0x-b1 的地址轉入部分假幣,以吸引這些地址關注者的注意;每次發行活動週期大概 3-5 天,先在 Uniswap 添加上百個 ETH 的流動性,待很少有購買用戶後撤出全部流動性,然後將所有 ETH 轉入新地址重新發行新幣,不定期還會通過 Tornado.cash 轉移資金。

更具誤導性的是,這些詐騙集團還會製造某些巨鯨在購買這些幣種的假象。如下圖所示,該地址被廣泛認爲由孫宇晨所有,擁有數十億美元的資產,而在十餘天 Etherscan 顯示其地址從 Uniswap 購買了數種新幣,某些巨鯨地址跟蹤者看到這些記錄可能就會「跟單」,但如果點開其具體交易記錄,可見交易行爲並非由該地址所有人發起,而是假幣發行方地址利用智能合約直接從 Uniswap 購買並將孫宇晨地址設爲收幣地址所致。

鏈上操作必備防坑指南 | 鏈捕手

鏈上操作必備防坑指南 | 鏈捕手

除了孫宇晨地址以外,Etherscan 顯示的許多 ETH 大戶地址都有類似情況發生。

因此,大家在 Uniswap 進行交易時務必要使用官方公佈的合約地址,或者 Uniswap 推薦列表中的幣種,在其它渠道看到的智能合約地址要保持警惕,否則很可能會造成大量損失。

假 APP 騙局

案例 1:小倪換了新手機,看到某個微信羣有顯示爲 imtoken 工作人員的用戶發佈了一張快訊圖片,還附有 APP 下載鏈接,正好新手機還沒有下載 imtoken,隨即掃碼下載其 APP,輸入私鑰並導入錢包,但很快發現其地址的所有資產被轉出,損失近 2 萬元。

案例 2:據《華盛頓郵報》報道,本月初有兩名用戶在蘋果應用商店搜索加密硬件錢包 Treznor 的名字時,出現了一款 APP 使用了與真 Treznor 極其相似的標誌和顏色,儘管當時 Treznor 並未推出手機端 APP,但他們誤以爲 Treznor 的確推出了手機版,故而下載並導入私鑰,最終分別失竊 17.1 枚比特幣和價值 1.4 萬美元的 ETH。

分析:私鑰與助記詞意味着對錢包資產的絕對控制權,因此很多騙局都在設法套取用戶私鑰,假冒官方 APP 則是其中最常見的手法,這種假 APP 或僞造爲官方快訊誘導用戶下載,或爲搜索引擎付費將假冒網站排名置前,或在蘋果 / 安卓官方應用商店上線重名的假 APP,它們會高度模仿官方網站與圖片信息,一旦用戶下載 APP 並導入助記詞,錢包資產立即會被轉走。

因此,大家在下載錢包、交易所類 APP 時,切記要從官方渠道下載,並檢查網站域名等信息是否正確。

假客服騙局

案例:小詹在使用某 DApp 產品時遇到了問題,於是到電報羣嘗試詢問官方人員,隨後有名用戶私聊他詢問情況,並告訴他可以私聊一名官方人員解決問題併發送賬戶名給小詹,於是小詹直接點擊賬戶名進入私聊界面,這名官方人員很熱情地詢問小詹遇到了什麼情況,表示這是由於項目數據庫問題並正在解決,但爲了避免錯誤繼續發生,需要對賬戶進行重置並詢問小詹使用什麼錢包,隨後給出鏈接並讓小詹輸入助記詞導入錢包以便進一步操作,但小詹此刻出於警惕性未進行下一步操作,避免了助記詞泄露。

鏈上操作必備防坑指南 | 鏈捕手

分析:如今微信、電報等各大社羣幾乎都存在僞裝爲官方客服的賬戶,通過各種方式騙取用戶信任,儘可能將話題引向錢包並誘導用戶輸入助記詞或者私鑰,而一旦用戶輸入,所有資產很快會被轉走。

因此,大家在各類社羣尋求幫助時,務必要確認對方身份,不確定身份時可以截圖發在羣裏請其他活躍用戶幫忙辨認,通常官方工作人員都會不主動私聊用戶並讓用戶輸入私鑰,而是在羣聊中讓用戶主動私聊。

空投騙局

案例:小曦在微信羣看到有人發佈某知名項目空投信息,只要在在電報羣完成幾個特定社交媒體任務,即可獲得上百美元的代幣獎勵,小曦按照電報機器人的提示全部完成,但之後機器人提示需要先發送少量代幣到合約地址才能領取空投代幣,考慮到成本不高,小曦按照要求打幣但之後並沒有收到空投代幣,反而白白損失十餘美元。

分析:基於社交媒體任務的的代幣空投的確大量存在,因而容易降低用戶的警惕性,但也正是如此,很多騙子都會利用用戶的鬆懈心理實施騙局,利用空投來誘導用戶向智能合約打幣,儘管單筆金額通常不大,但聚少成多仍然相當可觀。

目前,還沒有任何真實空投活動需要用戶向外部錢包地址打幣才能領取,大家對於需要轉幣的空投活動應當直接無視。

幾點注意事項

除了前述故意實施的騙局需要防範,鏈上操作仍然還面臨許多由潛在的操作失誤造成的安全風險,主要有以下幾點:

第一,避免向 DApp 過度授權,定期清 理授權。用戶在與某個 DApp 首次交互時需要進行授權,但其中會存在隱患,如果該 DApp 此後遭遇攻擊,將可以直接利用其權限盜取用戶資產,因此大家需要定期清理不常用的 DApp 權限或者設置代幣轉移量上限。

第二,儘可能避免使用未經安全公司審計代碼的 DApp,特別是還聲稱具有高 APY 的 DApp,其安全風險可能會導致本金的巨大損失。

第三,需要再次強調,注意保存地址私鑰與助記詞,最好保存在不聯網的硬件或者筆記本上,不向任何第三方透露私鑰與助記詞,這是所有安全措施中最重要的一點。

區塊鏈技術所衍生的巨大想象空間,以及更大規模的應用,都依賴於更多用戶擁有更高的鏈上操作素養與知識,而不至於使鏈上成爲騙局橫生的法外之地,讓大量用戶無端遭遇巨大損失,因此前述科普與教育的意義也就格外凸顯。