小白必备安全打铭文手册

新手12/31/2023, 7:49:01 AM
本文介绍诸多实用的铭文安全方案。

随着ORDI价格突破历史新高,市值超10亿美金,最高涨幅数万倍,比特币生态、BRC20各式铭文进入狂热牛市,用户安全领跑者GoPlus发现各类利用铭文的骗局开始百花齐放,特整理四种铭文典型攻击案例(钓鱼网站、真假铭文、Mint信息、危险Mint信息诈骗)与应对方案,请用户交易时注意,避免财产损失。

第一种:钓鱼网站

案例:诈骗团伙创建了一个与官方Unisat钱包平台极其相似的网站(unisats.io),并通过购买Google搜索关键词,诱导用户访问。这导致许多用户误将资产转入钓鱼网站,损失了以太坊和比特币。”


如何应对:

  1. 在访问任何平台之前,务必通过官方推特或社群频道进行链接确认,避免访问伪造网站
  2. 推荐使用一些安全检测的浏览器插件如Scamsniffer来检测网站安全性

第二种:真假铭文

案例:在铭文交易平台上,用户面临着辨别真假铭文的挑战。这些平台常展示多个同名铭文,用户难以区分它们的具体协议。诈骗者利用这一点,通过添加无效字段来伪造铭文。在NFT市场也存在这类问题,骗子通过铭刻相同的图片来创建伪造NFT,真伪仅在序数上有差异。

举例 https://evm.ink/tokens 上,DOGI铭文看似完全相同,实际背后大不相同。

因为平台只抓去特定的字段在前段展示,诈骗者可以利用以下手法,伪造铭文

NFT铭文也存在相关的问题,在早期市场中,经常出现NFT元属性相同,但是序数不同的情况,以BTC铭文NFT举例,一个Collection系列只会包含特定序数的NFT,如果不在这个序数集合中,就不属于该系列。因此骗子往往会伪造同一个系列的某个NFT来骗取交易,对于用户来讲,很难去分辨序数是否属于该系列。

如何应对:

  1. 建议选择一些成熟的交易平台进行铭文交易,它们在安全体验上会做的更好,能够在前端很好的区分真假铭文
  2. 在进行交易之前,多次确认和比对,是否和想要交易的铭文格式以及协议相同(会在第四种铭文陷阱中,解释如何从区块链浏览器查看铭文数据,进行对比)

第三种:Mint陷阱

案例:在一些公链上,诈骗团队利用用户对新铭文的FOMO心理,构造欺诈性Mint合约。这些合约诱导用户进行交互,导致用户误以为自己获得了铭文。然而,实际上用户得到的是无价值的NFT,并在交互过程中支付了高额的购买税。在Sui链上的一个案例中,用户在铭刻一个看似合法的铭文时实际上获得了假NFT,并支付了SUI代币给诈骗者,短时间内诈骗者就收集了超过5000个SUI。

如何应对:

  1. 在参与任何Mint活动前,务必彻底研究和验证合约的合法性。
  2. 参与未经验证的Mint项目,特别注意合约中是否设置了不合理的费用结构。
  3. 在对应的区块链浏览器中,仔细分析已经成交的交易信息,看是否有潜在的安全陷阱

第四种:危险Mint信息诈骗

案例:GoPlus观察到,在用户社区中流传着危险的Mint信息。这些信息一旦发布,许多用户会急于操作,使用铭文脚本工具将私钥和交易信息复制粘贴,进行批量操作。这些操作可能导致资产被盗。诈骗团伙通过构造特殊的JSON字段并编码为hex,诱导用户进行铭刻操作,结果用户的资产可能被转移。另外,他们可能设置诱骗性的Mint合约,使用户在高昂的gas费用之后得到无价值的假铭文代币。

以该图为例:一般代币类铭文的Mint都是以地址自转,并且在Input data中加入一串代币协议的Json内容,实现铭刻的过程。许多用户在操作的时候,会使用钱包自带的自定义Hex来将代币协议的Json内容经过转义后变成16进制输入进去。对于用户来讲,一般会直接粘贴消息源中的16进制字符串,但该字符串很可能是一串恶意字符串,是由其他的Json格式转义的。

如何应对:

  1. 对于社区中发布的任何Mint信息,必须进行彻底核实。避免直接使用未经验证的脚本工具,特别是涉及私钥和关键交易信息的操作。
  2. 始终从可靠的来源获取信息
  3. 可以在区块链浏览器中寻找已经成功的交易,查看该交易16进制是否和消息内容一致

以Ton的铭文举例,首先查看持仓排名靠前的地址(代表早期参与的大户),https://tonano.io/ton20/ton

点击其中一个地址,复制粘贴后,到https://tonscan.org/address浏览器界面,查看该地址相关铭文交易信息

同样的浏览器查询适用于以太坊/Solana等区块链

查看“Message”包含的输入铭文数据,看和自己输入的铭文数据是否一致

感谢您关注GoPlus安全系列文章。在这个快速变化的加密货币世界中,安全是最重要的考虑因素之一。GoPlus致力于持续监控行业动态,为您的数字资产安全提供全方位的保护。通过关注我们,您可以及时获得最新的安全动态、警示和最佳实践,帮助您在这个充满机遇和挑战的领域中安全导航。

关于GoPlus Security

最早推出Web3用户安全服务的C端安全数据服务方,每天最大支持3000万+调用的风险检测引擎,开源首个资产合约风险分类标准和全球最大的合约攻击样本库,成为业内检测精度最高、服务能力最强的Token、NFT安全检测服务,已向CoinMarketCap、CoinGecko、Dextool、DexScreener、AVE、Opera Crypto浏览器、SafePal, BitGet Wallet, TokenPocket, MetaMask Snaps等200多家合作方持续稳定提供用户安全数据服务。

声明:

  1. 本文转载自[medium],著作权归属原作者[GoPlus Security],如对转载有异议,请联系Gate Learn团队,团队会根据相关流程尽速处理。
  2. 免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
  3. 文章其他语言版本由Gate Learn团队翻译, 在未提及Gate.io的情况下不得复制、传播或抄袭经翻译文章。

小白必备安全打铭文手册

新手12/31/2023, 7:49:01 AM
本文介绍诸多实用的铭文安全方案。

随着ORDI价格突破历史新高,市值超10亿美金,最高涨幅数万倍,比特币生态、BRC20各式铭文进入狂热牛市,用户安全领跑者GoPlus发现各类利用铭文的骗局开始百花齐放,特整理四种铭文典型攻击案例(钓鱼网站、真假铭文、Mint信息、危险Mint信息诈骗)与应对方案,请用户交易时注意,避免财产损失。

第一种:钓鱼网站

案例:诈骗团伙创建了一个与官方Unisat钱包平台极其相似的网站(unisats.io),并通过购买Google搜索关键词,诱导用户访问。这导致许多用户误将资产转入钓鱼网站,损失了以太坊和比特币。”


如何应对:

  1. 在访问任何平台之前,务必通过官方推特或社群频道进行链接确认,避免访问伪造网站
  2. 推荐使用一些安全检测的浏览器插件如Scamsniffer来检测网站安全性

第二种:真假铭文

案例:在铭文交易平台上,用户面临着辨别真假铭文的挑战。这些平台常展示多个同名铭文,用户难以区分它们的具体协议。诈骗者利用这一点,通过添加无效字段来伪造铭文。在NFT市场也存在这类问题,骗子通过铭刻相同的图片来创建伪造NFT,真伪仅在序数上有差异。

举例 https://evm.ink/tokens 上,DOGI铭文看似完全相同,实际背后大不相同。

因为平台只抓去特定的字段在前段展示,诈骗者可以利用以下手法,伪造铭文

NFT铭文也存在相关的问题,在早期市场中,经常出现NFT元属性相同,但是序数不同的情况,以BTC铭文NFT举例,一个Collection系列只会包含特定序数的NFT,如果不在这个序数集合中,就不属于该系列。因此骗子往往会伪造同一个系列的某个NFT来骗取交易,对于用户来讲,很难去分辨序数是否属于该系列。

如何应对:

  1. 建议选择一些成熟的交易平台进行铭文交易,它们在安全体验上会做的更好,能够在前端很好的区分真假铭文
  2. 在进行交易之前,多次确认和比对,是否和想要交易的铭文格式以及协议相同(会在第四种铭文陷阱中,解释如何从区块链浏览器查看铭文数据,进行对比)

第三种:Mint陷阱

案例:在一些公链上,诈骗团队利用用户对新铭文的FOMO心理,构造欺诈性Mint合约。这些合约诱导用户进行交互,导致用户误以为自己获得了铭文。然而,实际上用户得到的是无价值的NFT,并在交互过程中支付了高额的购买税。在Sui链上的一个案例中,用户在铭刻一个看似合法的铭文时实际上获得了假NFT,并支付了SUI代币给诈骗者,短时间内诈骗者就收集了超过5000个SUI。

如何应对:

  1. 在参与任何Mint活动前,务必彻底研究和验证合约的合法性。
  2. 参与未经验证的Mint项目,特别注意合约中是否设置了不合理的费用结构。
  3. 在对应的区块链浏览器中,仔细分析已经成交的交易信息,看是否有潜在的安全陷阱

第四种:危险Mint信息诈骗

案例:GoPlus观察到,在用户社区中流传着危险的Mint信息。这些信息一旦发布,许多用户会急于操作,使用铭文脚本工具将私钥和交易信息复制粘贴,进行批量操作。这些操作可能导致资产被盗。诈骗团伙通过构造特殊的JSON字段并编码为hex,诱导用户进行铭刻操作,结果用户的资产可能被转移。另外,他们可能设置诱骗性的Mint合约,使用户在高昂的gas费用之后得到无价值的假铭文代币。

以该图为例:一般代币类铭文的Mint都是以地址自转,并且在Input data中加入一串代币协议的Json内容,实现铭刻的过程。许多用户在操作的时候,会使用钱包自带的自定义Hex来将代币协议的Json内容经过转义后变成16进制输入进去。对于用户来讲,一般会直接粘贴消息源中的16进制字符串,但该字符串很可能是一串恶意字符串,是由其他的Json格式转义的。

如何应对:

  1. 对于社区中发布的任何Mint信息,必须进行彻底核实。避免直接使用未经验证的脚本工具,特别是涉及私钥和关键交易信息的操作。
  2. 始终从可靠的来源获取信息
  3. 可以在区块链浏览器中寻找已经成功的交易,查看该交易16进制是否和消息内容一致

以Ton的铭文举例,首先查看持仓排名靠前的地址(代表早期参与的大户),https://tonano.io/ton20/ton

点击其中一个地址,复制粘贴后,到https://tonscan.org/address浏览器界面,查看该地址相关铭文交易信息

同样的浏览器查询适用于以太坊/Solana等区块链

查看“Message”包含的输入铭文数据,看和自己输入的铭文数据是否一致

感谢您关注GoPlus安全系列文章。在这个快速变化的加密货币世界中,安全是最重要的考虑因素之一。GoPlus致力于持续监控行业动态,为您的数字资产安全提供全方位的保护。通过关注我们,您可以及时获得最新的安全动态、警示和最佳实践,帮助您在这个充满机遇和挑战的领域中安全导航。

关于GoPlus Security

最早推出Web3用户安全服务的C端安全数据服务方,每天最大支持3000万+调用的风险检测引擎,开源首个资产合约风险分类标准和全球最大的合约攻击样本库,成为业内检测精度最高、服务能力最强的Token、NFT安全检测服务,已向CoinMarketCap、CoinGecko、Dextool、DexScreener、AVE、Opera Crypto浏览器、SafePal, BitGet Wallet, TokenPocket, MetaMask Snaps等200多家合作方持续稳定提供用户安全数据服务。

声明:

  1. 本文转载自[medium],著作权归属原作者[GoPlus Security],如对转载有异议,请联系Gate Learn团队,团队会根据相关流程尽速处理。
  2. 免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
  3. 文章其他语言版本由Gate Learn团队翻译, 在未提及Gate.io的情况下不得复制、传播或抄袭经翻译文章。
Lancez-vous
Inscrivez-vous et obtenez un bon de
100$
!
It seems that you are attempting to access our services from a Restricted Location where Gate is unable to provide services. We apologize for any inconvenience this may cause. Currently, the Restricted Locations include but not limited to: the United States of America, Canada, Cambodia, Thailand, Cuba, Iran, North Korea and so on. For more information regarding the Restricted Locations, please refer to the User Agreement. Should you have any other questions, please contact our Customer Support Team.