世界盃來襲,欣賞”諸神最後一戰“時更要提防風險騙局

GoPlusSecurity
2022-11-21 18:34:40
收藏
在世界盃狂歡之餘,我們也不能對各類蹭熱點的代幣/NFT項目掉以輕心,合理運用便利的安全檢測工具,保護好自身的加密資產。

作者:GoPlus Security

一、與世界盃相關的加密風險層出不窮

2022年卡塔爾世界盃即將到來,本屆世界盃極大概率是梅西、C羅、本澤馬、莫德里奇、萊萬多夫斯基等人的最後一屆世界盃。在"諸神最後一戰"即將到來的時刻,各種區塊鏈上與世界盃有關的騙局也層出不窮。

根據GoPlus Token檢測引擎的數據統計顯示,僅就最近一周出現的名稱中存在"FIFA"或者"World Cup"的有風險Token超過1000個,涉及地址超過16萬個,累計流動性更是超過500萬美金。

下面列表中包含了一些主要的風險類型:

與此同時,各種與世界盃相關的NFT也不斷湧現,其中也包含了大量有嚴重風險的NFT。因此在世界盃狂歡之餘,我們也不能對各類蹭熱點的代幣/NFT項目掉以輕心,合理運用便利的安全檢測工具,保護好自身的加密資產。

二、用戶可能遇到的Token風險介紹

Token風險多種多樣,在世界盃期間更是可能集中爆發,在這裡先介紹幾種主要的且非常嚴重的風險。

1.貔貅代幣

即合約中包含明確的惡意代碼,導致用戶無法交易或者資產損失的代幣。

例如下面的Token(BSC鏈,0xaf25a7336f4984976febc5c0bca62caeb57b4a97)就存在惡意代碼。

如上圖所示,該合約代碼中所有相關功能都通過外部合約實現,例如所有holder的餘額都存儲在一個外部合約中。這就意味著只要這個外部合約被換成一個新的,所有holder的餘額將被直接清零。這就是一個有嚴重風險的惡意代碼。

2.可隨時自毀的代幣

合約自毀簡單來說就是合約可被銷毀,銷毀後合約也不存在,合約對應的資產也將不復存在。說白了,就是合約沒了,合約沒了的話那麼其對應Token也就沒了,用戶的相應資產也將直接消失。並且根據監測,合約中包含了自毀功能的代幣,最後一般都會啟動該功能。

例如下面的Token(以太坊,0xc1f5ba8bab3ca299f9817876a6715627f9e2b11a)就存在自毀功能。

如上圖所示,其代碼中的"kill"function一旦啟動,該合約就會自毀,其Token也就會消失。

3.owner可修改餘額

即代幣合約中有功能可以使owner地址修改其他地址的該代幣餘額,且不需要經過受害地址的許可。

例如下面的Token(BSC鏈,0xf3f064ed4848345dd7505915c3d43c238831f1a2)就存在該問題,其owner地址可以修改其他地址的餘額。

主要有問題的代碼如上圖所示,其owner地址可以把"adress from"的token直接分配給"address[]"中的地址,並且不需要經過用戶的許可。

三、NFT風險介紹

除了Token以外,NFT也存在各種安全風險。根據相關安全機構的數據統計,眾多NFT在合約層面都存在一定的安全隱患(列表中列了幾種常見的且較嚴重的NFT風險):

並且NFT很容易偽造,這就使得關於世界盃NFT騙局也可能快速增長。

在這裡先介紹幾種非常嚴重的NFT合約風險。

1.限制授權對象導致無法交易

一般是指除白名單以外的地址,無法向合約授權。因為去中心化NFT交易平台都需要合約授權,這就意味著用戶將無法在去中心化交易所中交易該NFT。

這種騙局一般是項目方先讓白名單中的地址去刷數據,用戶會看到在交易平台上該NFT交易數據正常,以為可以交易。但是當用戶買入想再賣出時,結果發現就無法交易了。

典型案例

上面的案例中,該NFT合約代碼中存在要求,即授權對象不能是合約,而在opensea掛單需要向opensea的合約授權,因此這個nft就無法掛單了

代碼如下圖所示。

上圖中,只有_addressTransferToContract 名單裡的地址可以授權成功(即只要白名單裡的地址才能授權),不在這個名單裡的地址給合約授權會失敗。

2.不經授權轉賬

即NFT的owner可以不經授權直接把其他地址的該NFT轉移到自己指定的地址上。

這個惡意手段一般有兩種使用形式:

(1)賣出NFT後直接轉走

如下圖所示,該NFT(以太坊,0xa9bcd4bd5b851479307fe71398ce2352c281e0c1)賣出後,直接就被轉走。

之所以可以實現這種詐騙方式,就是因為其合約代碼中設置了一個地址,這個地址有所有該NFT的授權。那么這個地址就可以隨時直接把其他地址上的該NFT轉走。如下圖所示

(2)偽造名人持有並轉賬過該NFT,使得該NFT獲得所謂的名人背書

近期有很多用戶反饋,就是有些NFT項目宣傳某大V站台,並表明大V交易過,因此諮詢我們項目的安全性。其實這就是"不經授權轉賬"的另一種具體模式。

其主要流程是這樣的:

1.先把NFT mint給某公開的大V地址,該NFT合約代碼中有不經授權轉賬的邏輯。

2.之後找到合適時機,把該NFT再從大V的地址轉走。那么在鏈上就表現為大V的地址不僅持有還轉賬過NFT(特別是轉賬這一步有很強的迷惑性,普通用戶可能會誤認為大V真的交易過該NFT)。

3.之後項目方就可以以此宣傳獲得所謂的"大V背書",進而詐騙用戶。

四、作為用戶,應該如何防禦相關風險

首先,樹立防範意識,基於自身情況,建立基本的防範措施

(1)需要明確類似世界盃騙局一定會越來越多,一定要時刻注意。隨著世界盃的進行,相關熱度逐步提高,一定會有更多的騙局出現。除了與世界盃或者FIFA有關以外,還可能會有世界盃上的知名球星(例如會出現"梅西幣""C羅幣")或熱門事件相關的騙局。大家一定要時刻注意。

(2)對於感興趣的Token/NFT要慎重,先通過官網/社群/twitter等了解其基本情況。

(3)對於別人推薦的token或者鏈接一定要小心,避免上當受騙。

以上幾點注意事項其實並不複雜,但為什麼攻擊者卻能屢屢得手?

一是因為攻擊範圍大,覆蓋用戶量大,總有漏網之魚;二是利用了用戶的急躁心態,引發用戶恐慌,同時不給用戶留出思考時間;三是用戶可以缺少快速檢測Token/NFT騙局的工具。

其次,要學會使用安全檢測工具

針對Token/NFT中的各種騙局,需要在買入前提前使用相關檢測工具檢查,盡可能避免風險。

1.針對Token檢測,可以使用GoPlus代幣安全檢測服務

GoPlus代幣安全檢測服務是目前覆蓋代幣數最多、檢測項最全、檢測結果最准的代幣檢測服務之一,目前其檢測服務已經接入到TokenPocket、AveDex、Mask、Bitkeep等眾多知名區塊鏈產品中。

GoPluseco上的代幣安全檢測介紹頁(https://gopluseco.io/detail/49)

打開後直接在頁面中選擇Token對應的公鏈,並輸入地址,即可查看檢測結果。

點擊檢測按鈕後,即可出現全面的安全檢測結果,包含了合約安全、貔貅風險、持有量與鎖倉情況等數十項安全檢測內容。

2.針對NFT檢測,可以使用GoPlus NFT安全檢測服務

GoPlus NFT安全檢測服務是目前已經支持各項主要的NFT安全檢測。其安全服務也已經被X2Y2等主要平台所使用。

GoPluseco上的GoPlus NFT介紹頁(https://gopluseco.io/detail/75)

打開後直接在頁面中選擇NFT對應的公鏈,並輸入地址,即可查看檢測結果。

點擊檢測按鈕後,即可出現全面的安全檢測結果,包含了合約安全、NFT真偽性、交易信息等數十項安全檢測內容。

3.直接在 GoPluseco中輸入地址進行搜索。

可以直接在GoPluseco中輸入地址進行搜索,裡面集成了Token與NFT的相關檢測。

輸入地址後,會檢測該地址有無惡意行為,並提供相應的Token/NFT檢測入口。

以上內容均來自GoPluseco(https://gopluseco.io/),GoPluseco通過聚合行業內優質的安全應用或服務,為用戶匹配最優的安全解決方案。遇到安全相關的問題時,不妨來GoPluseco問問,這裡有問必答。

並且在世界盃期間,GoPluseco(https://gopluseco.io/)將提供世界盃安全主題頁,提供能夠檢測世界盃相關Token、NFT和釣魚網站的安全服務,保護大家的資產安全。

鏈捕手ChainCatcher提醒,請廣大讀者理性看待區塊鏈,切實提高風險意識,警惕各類虛擬代幣發行與炒作,站內所有內容僅係市場信息或相關方觀點,不構成任何形式投資建議。如發現站內內容含敏感信息,可點擊“舉報”,我們會及時處理。
banner
ChainCatcher 與創新者共建Web3世界