隨著 ORDI 價格突破歷史新高,市值超 10 億美金,最高漲幅數萬倍,比特幣生態、BRC20 各式銘文進入狂熱牛市,用戶安全領跑者 GoPlus 髮現各類利用銘文的騙局開始百花齊放,特整理四種銘文典型攻擊案例(釣魚網站、真假銘文、Mint 信息、危險 Mint 信息詐騙)與應對方案,請用戶交易時註意,避免財産損失。
第一種:釣魚網站
案例:詐騙團伙創建了一個與官方 Unisat 錢包平颱極其相似的網站(unisats.io),併通過購買 Google 搜索關鍵詞,誘導用戶訪問。這導緻許多用戶誤將資産轉入釣魚網站,損失了以太坊和比特幣。
如何應對:
1.在訪問任何平颱之前,務必通過官方推特或社群頻道進行鏈接確認,避免訪問僞造網站
2.推薦使用一些安全檢測的瀏覽器插件如Scamsniffer來檢測網站安全性
第二種:真假銘文
案例:在銘文交易平颱上,用戶麵臨著辨別真假銘文的挑戰。這些平颱常展示多個衕名銘文,用戶難以區分它們的具體協議。詐騙者利用這一點,通過添加無效字段來僞造銘文。在 NFT 市場也存在這類問題,騙子通過銘刻相衕的圖片來創建僞造 NFT,真僞僅在序數上有差異。
舉例 https://evm.ink/tokens 上,DOGI 銘文看似完全相衕,實際背後大不相衕。
因爲平颱隻抓去特定的字段在前段展示,詐騙者可以利用以下手法,僞造銘文
NFT 銘文也存在相關的問題,在早期市場中,經常出現 NFT 元屬性相衕,但是序數不衕的情況,以 BTC 銘文 NFT 舉例,一個 Collection 繫列隻會包含特定序數的 NFT,如果不在這個序數集合中,就不屬於該繫列。因此騙子往往會僞造衕一個繫列的某個 NFT 來騙取交易,對於用戶來講,很難去分辨序數是否屬於該繫列。
如何應對:
1.建議選擇一些成熟的交易平颱進行銘文交易,它們在安全體驗上會做的更好,能夠在前端很好的區分真假銘文
2.在進行交易之前,多次確認和比對,是否和想要交易的銘文格式以及協議相衕(會在第四種銘文陷阱中,解釋如何從區塊鏈瀏覽器查看銘文數據,進行對比)
第三種:Mint 陷阱
案例:在一些公鏈上,詐騙團隊利用用戶對新銘文的 FOMO 心理,構造欺詐性 Mint 合約。這些合約誘導用戶進行交互,導緻用戶誤以爲自己穫得了銘文。然而,實際上用戶得到的是無價值的 NFT,併在交互過程中支付了高額的購買稅。在 Sui 鏈上的一個案例中,用戶在銘刻一個看似合法的銘文時實際上穫得了假 NFT,併支付了 SUI 代幣給詐騙者,短時間內詐騙者就收集了超過 5000 個 SUI。
如何應對:
1.在參與任何 Mint 活動前,務必徹底研究和驗證合約的合法性。
2.參與未經驗證的 Mint 項目,特別註意合約中是否設置了不合理的費用結構。
3.在對應的區塊鏈瀏覽器中,仔細分析已經成交的交易信息,看是否有潛在的安全陷阱
第四種:危險 Mint 信息詐騙
案例:GoPlus 觀察到,在用戶社區中流傳著危險的 Mint 信息。這些信息一旦髮布,許多用戶會急於操作,使用銘文腳本工具將私鑰和交易信息覆製粘貼,進行批量操作。這些操作可能導緻資産被盜。詐騙團伙通過構造特殊的 JSON 字段併編碼爲 hex,誘導用戶進行銘刻操作,結果用戶的資産可能被轉移。另外,他們可能設置誘騙性的 Mint 合約,使用戶在高昂的 gas 費用之後得到無價值的假銘文代幣。
以該圖爲例:一般代幣類銘文的 Mint 都是以地址自轉,併且在 Input data 中加入一串代幣協議的 Json 內容,實現銘刻的過程。許多用戶在操作的時候,會使用錢包自帶的自定義 Hex 來將代幣協議的 Json 內容經過轉義後變成 16 進製輸入進去。對於用戶來講,一般會直接粘貼消息源中的 16 進製字符串,但該字符串很可能是一串惡意字符串,是由其他的 Json 格式轉義的。
如何應對:
1.對於社區中髮布的任何 Mint 信息,必鬚進行徹底核實。避免直接使用未經驗證的腳本工具,特別是涉及私鑰和關鍵交易信息的操作。
2.始終從可靠的來源穫取信息
3.可以在區塊鏈瀏覽器中尋找已經成功的交易,查看該交易 16 進製是否和消息內容一緻
以 Ton 的銘文舉例,首先查看持倉排名靠前的地址(代錶早期參與的大戶),https://tonano.io/ton20/ton
點擊其中一個地址,覆製粘貼後,到 https://tonscan.org/address 瀏覽器界麵,查看該地址相關銘文交易信息
衕樣的瀏覽器查詢適用於以太坊/Solana 等區塊鏈
查看「Message」包含的輸入銘文數據,看和自己輸入的銘文數據是否一緻
聲明:
- 本文轉載自[GoPlus Security],著作權歸屬原作者[GoPlus Security],如對轉載有異議,請聯繫Gate Learn團隊,團隊會根據相關流程盡速處理。
- 免責聲明:本文所錶達的觀點和意見僅代錶作者個人觀點,不構成任何投資建議。
- 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。
相關文章
從資産髮行看BTC擴容的演化與挑戰
銘文內容上鏈:BTC的文藝覆興
隨著 ORDI 價格突破歷史新高,市值超 10 億美金,最高漲幅數萬倍,比特幣生態、BRC20 各式銘文進入狂熱牛市,用戶安全領跑者 GoPlus 髮現各類利用銘文的騙局開始百花齊放,特整理四種銘文典型攻擊案例(釣魚網站、真假銘文、Mint 信息、危險 Mint 信息詐騙)與應對方案,請用戶交易時註意,避免財産損失。
第一種:釣魚網站
案例:詐騙團伙創建了一個與官方 Unisat 錢包平颱極其相似的網站(unisats.io),併通過購買 Google 搜索關鍵詞,誘導用戶訪問。這導緻許多用戶誤將資産轉入釣魚網站,損失了以太坊和比特幣。
如何應對:
1.在訪問任何平颱之前,務必通過官方推特或社群頻道進行鏈接確認,避免訪問僞造網站
2.推薦使用一些安全檢測的瀏覽器插件如Scamsniffer來檢測網站安全性
第二種:真假銘文
案例:在銘文交易平颱上,用戶麵臨著辨別真假銘文的挑戰。這些平颱常展示多個衕名銘文,用戶難以區分它們的具體協議。詐騙者利用這一點,通過添加無效字段來僞造銘文。在 NFT 市場也存在這類問題,騙子通過銘刻相衕的圖片來創建僞造 NFT,真僞僅在序數上有差異。
舉例 https://evm.ink/tokens 上,DOGI 銘文看似完全相衕,實際背後大不相衕。
因爲平颱隻抓去特定的字段在前段展示,詐騙者可以利用以下手法,僞造銘文
NFT 銘文也存在相關的問題,在早期市場中,經常出現 NFT 元屬性相衕,但是序數不衕的情況,以 BTC 銘文 NFT 舉例,一個 Collection 繫列隻會包含特定序數的 NFT,如果不在這個序數集合中,就不屬於該繫列。因此騙子往往會僞造衕一個繫列的某個 NFT 來騙取交易,對於用戶來講,很難去分辨序數是否屬於該繫列。
如何應對:
1.建議選擇一些成熟的交易平颱進行銘文交易,它們在安全體驗上會做的更好,能夠在前端很好的區分真假銘文
2.在進行交易之前,多次確認和比對,是否和想要交易的銘文格式以及協議相衕(會在第四種銘文陷阱中,解釋如何從區塊鏈瀏覽器查看銘文數據,進行對比)
第三種:Mint 陷阱
案例:在一些公鏈上,詐騙團隊利用用戶對新銘文的 FOMO 心理,構造欺詐性 Mint 合約。這些合約誘導用戶進行交互,導緻用戶誤以爲自己穫得了銘文。然而,實際上用戶得到的是無價值的 NFT,併在交互過程中支付了高額的購買稅。在 Sui 鏈上的一個案例中,用戶在銘刻一個看似合法的銘文時實際上穫得了假 NFT,併支付了 SUI 代幣給詐騙者,短時間內詐騙者就收集了超過 5000 個 SUI。
如何應對:
1.在參與任何 Mint 活動前,務必徹底研究和驗證合約的合法性。
2.參與未經驗證的 Mint 項目,特別註意合約中是否設置了不合理的費用結構。
3.在對應的區塊鏈瀏覽器中,仔細分析已經成交的交易信息,看是否有潛在的安全陷阱
第四種:危險 Mint 信息詐騙
案例:GoPlus 觀察到,在用戶社區中流傳著危險的 Mint 信息。這些信息一旦髮布,許多用戶會急於操作,使用銘文腳本工具將私鑰和交易信息覆製粘貼,進行批量操作。這些操作可能導緻資産被盜。詐騙團伙通過構造特殊的 JSON 字段併編碼爲 hex,誘導用戶進行銘刻操作,結果用戶的資産可能被轉移。另外,他們可能設置誘騙性的 Mint 合約,使用戶在高昂的 gas 費用之後得到無價值的假銘文代幣。
以該圖爲例:一般代幣類銘文的 Mint 都是以地址自轉,併且在 Input data 中加入一串代幣協議的 Json 內容,實現銘刻的過程。許多用戶在操作的時候,會使用錢包自帶的自定義 Hex 來將代幣協議的 Json 內容經過轉義後變成 16 進製輸入進去。對於用戶來講,一般會直接粘貼消息源中的 16 進製字符串,但該字符串很可能是一串惡意字符串,是由其他的 Json 格式轉義的。
如何應對:
1.對於社區中髮布的任何 Mint 信息,必鬚進行徹底核實。避免直接使用未經驗證的腳本工具,特別是涉及私鑰和關鍵交易信息的操作。
2.始終從可靠的來源穫取信息
3.可以在區塊鏈瀏覽器中尋找已經成功的交易,查看該交易 16 進製是否和消息內容一緻
以 Ton 的銘文舉例,首先查看持倉排名靠前的地址(代錶早期參與的大戶),https://tonano.io/ton20/ton
點擊其中一個地址,覆製粘貼後,到 https://tonscan.org/address 瀏覽器界麵,查看該地址相關銘文交易信息
衕樣的瀏覽器查詢適用於以太坊/Solana 等區塊鏈
查看「Message」包含的輸入銘文數據,看和自己輸入的銘文數據是否一緻
聲明:
- 本文轉載自[GoPlus Security],著作權歸屬原作者[GoPlus Security],如對轉載有異議,請聯繫Gate Learn團隊,團隊會根據相關流程盡速處理。
- 免責聲明:本文所錶達的觀點和意見僅代錶作者個人觀點,不構成任何投資建議。
- 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。
相關文章
從資産髮行看BTC擴容的演化與挑戰