小白必备安全打铭文手册
随着ORDI价格突破历史新高,市值超10亿美金,最高涨幅数万倍,比特币生态、BRC20各式铭文进入狂热牛市,用户安全领跑者GoPlus发现各类利用铭文的骗局开始百花齐放,特整理四种铭文典型攻击案例(钓鱼网站、真假铭文、Mint信息、危险Mint信息诈骗)与应对方案,请用户交易时注意,避免财产损失。
第一种:钓鱼网站
案例:诈骗团伙创建了一个与官方Unisat钱包平台极其相似的网站(unisats.io),并通过购买Google搜索关键词,诱导用户访问。这导致许多用户误将资产转入钓鱼网站,损失了以太坊和比特币。”
如何应对:
- 在访问任何平台之前,务必通过官方推特或社群频道进行链接确认,避免访问伪造网站
- 推荐使用一些安全检测的浏览器插件如Scamsniffer来检测网站安全性
第二种:真假铭文
案例:在铭文交易平台上,用户面临着辨别真假铭文的挑战。这些平台常展示多个同名铭文,用户难以区分它们的具体协议。诈骗者利用这一点,通过添加无效字段来伪造铭文。在NFT市场也存在这类问题,骗子通过铭刻相同的图片来创建伪造NFT,真伪仅在序数上有差异。
举例https://evm.ink/tokens上,DOGI铭文看似完全相同,实际背后大不相同。
因为平台只抓去特定的字段在前段展示,诈骗者可以利用以下手法,伪造铭文
NFT铭文也存在相关的问题,在早期市场中,经常出现NFT元属性相同,但是序数不同的情况,以BTC铭文NFT举例,一个Collection系列只会包含特定序数的NFT,如果不在这个序数集合中,就不属于该系列。因此骗子往往会伪造同一个系列的某个NFT来骗取交易,对于用户来讲,很难去分辨序数是否属于该系列。
如何应对:
- 建议选择一些成熟的交易平台进行铭文交易,它们在安全体验上会做的更好,能够在前端很好的区分真假铭文
- 在进行交易之前,多次确认和比对,是否和想要交易的铭文格式以及协议相同(会在第四种铭文陷阱中,解释如何从区块链浏览器查看铭文数据,进行对比)
第三种:Mint陷阱
案例:在一些公链上,诈骗团队利用用户对新铭文的FOMO心理,构造欺诈性Mint合约。这些合约诱导用户进行交互,导致用户误以为自己获得了铭文。然而,实际上用户得到的是无价值的NFT,并在交互过程中支付了高额的购买税。在Sui链上的一个案例中,用户在铭刻一个看似合法的铭文时实际上获得了假NFT,并支付了SUI代币给诈骗者,短时间内诈骗者就收集了超过5000个SUI。
如何应对:
- 在参与任何Mint活动前,务必彻底研究和验证合约的合法性。
- 参与未经验证的Mint项目,特别注意合约中是否设置了不合理的费用结构。
- 在对应的区块链浏览器中,仔细分析已经成交的交易信息,看是否有潜在的安全陷阱
第四种:危险Mint信息诈骗
案例:GoPlus观察到,在用户社区中流传着危险的Mint信息。这些信息一旦发布,许多用户会急于操作,使用铭文脚本工具将私钥和交易信息复制粘贴,进行批量操作。这些操作可能导致资产被盗。诈骗团伙通过构造特殊的JSON字段并编码为hex,诱导用户进行铭刻操作,结果用户的资产可能被转移。另外,他们可能设置诱骗性的Mint合约,使用户在高昂的gas费用之后得到无价值的假铭文代币。
以该图为例:一般代币类铭文的Mint都是以地址自转,并且在Input data中加入一串代币协议的Json内容,实现铭刻的过程。许多用户在操作的时候,会使用钱包自带的自定义Hex来将代币协议的Json内容经过转义后变成16进制输入进去。对于用户来讲,一般会直接粘贴消息源中的16进制字符串,但该字符串很可能是一串恶意字符串,是由其他的Json格式转义的。
如何应对:
- 对于社区中发布的任何Mint信息,必须进行彻底核实。避免直接使用未经验证的脚本工具,特别是涉及私钥和关键交易信息的操作。
- 始终从可靠的来源获取信息
- 可以在区块链浏览器中寻找已经成功的交易,查看该交易16进制是否和消息内容一致
以Ton的铭文举例,首先查看持仓排名靠前的地址(代表早期参与的大户),https://tonano.io/ton20/ton
点击其中一个地址,复制粘贴后,到https://tonscan.org/address浏览器界面,查看该地址相关铭文交易信息
同样的浏览器查询适用于以太坊/Solana等区块链
查看“Message”包含的输入铭文数据,看和自己输入的铭文数据是否一致
感谢您关注GoPlus安全系列文章。在这个快速变化的加密货币世界中,安全是最重要的考虑因素之一。GoPlus致力于持续监控行业动态,为您的数字资产安全提供全方位的保护。通过关注我们,您可以及时获得最新的安全动态、警示和最佳实践,帮助您在这个充满机遇和挑战的领域中安全导航。
关于GoPlus Security
最早推出Web3用户安全服务的C端安全数据服务方,每天最大支持3000万+调用的风险检测引擎,开源首个资产合约风险分类标准和全球最大的合约攻击样本库,成为业内检测精度最高、服务能力最强的Token、NFT安全检测服务,已向CoinMarketCap、CoinGecko、Dextool、DexScreener、AVE、Opera Crypto浏览器、SafePal, BitGet Wallet, TokenPocket, MetaMask Snaps等200多家合作方持续稳定提供用户安全数据服务。
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表本站的观点或立场
您可能感兴趣
-
TechFlowhttps://www.techflowpost.com
BNB:年轻的泵 一条公链如何在去中心化世界里定义创新与包容,是衡量造血能力的关键。撰文:Bright,Foresight News笔者穿着从香港 Web3 Festival 捎回来的 BNB Chain 文化衫走在学
-
火币HTX今晚20时直播热议特朗普加密晚宴:解析Trump币的合规与风险
深潮 TechFlow 消息,4 月 30 日,据官方社媒消息,火币HTX将于今日20时举办“特朗普加密晚宴:真福利还是假炒作?聊一聊Trump币的合规与风险”主题直播。届时,Tony Fu、数据炼金
-
深度对话:加密 VC 生死考验,出局还是出圈?
VC 机构仍在牌桌上,后天很美好,但关键要撑过最为艰难的明天。撰文:Wenser,Odaily 星球日报在此前的《ABCDE 停止募资,加密资本亟待「版本更新」》一文中,基于 ABCDE 停止募资一事
-
以太坊的十字路口:Vitalik 的新提案能救它免于崩溃吗?
EVM 将升级为 RSIV,效率提升能否赶超?撰文:Alertforalpha编译:白话区块链以太坊持有者对剧烈的市场波动并不陌生。但这一轮周期?感觉像是过山车一直在往下走。当比特币创下新高时,以太坊
-
美股跌 5% vs 比特币涨 5.6%:特朗普时代的第一个资产轮转信号已出现
特朗普执政百日内的地缘政治紧张和市场焦虑,意外成为比特币的顺风。撰文:Drop Gorn编译:Daisy, 火星财经比特币飙升至 95,490 美元,市场正屏息等待特朗普的百日执政演讲。过去一周投资者
-
对话贝莱德首席投资官:比特币终将更像黄金,市值前 50 代币中 8 成让我感到没信心
“我认为做市商之间存在一些不透明的操作,这与股票市场的前 50 名公司完全不同。”整理 & 编译:深潮TechFlow要点总结嘉宾:Samara Cohen,贝莱德 ETF & 指数首席投资官主持人:
-
SEC 推迟 5 只 Crypto ETF,分析师预计 10 月将做出最终裁决
根据彭博 ETF 分析师编制的 ETF 批准日历,许多被推迟的产品仍需在第三季度和第四季度之间迎来最终截止日期。作者:cryptoslate编译:区块链骑士4 月 29 日,SEC 推迟了对五项 Cr
-
okx web3钱包怎么领符文空投呢?
欧意Web3钱包用户若想领取符文空投,需先下载登录钱包并保障余额充足以支付Gas费,随后关注官方公告或社交媒体获取空投信息,按要求完成任务并提交钱包地址,最后耐心等待项目方审核与发放,在钱包中查看是否到账,未显示则手动添加合约地址。
- 成交量排行
- 币种热搜榜
