詐騙分子創建新式欺詐加密代幣
並利用智能合約中的錯誤配置盜取資金
要點
- Check Point Research檢測到黑客正在創建新式欺詐代幣,誘騙受害者購買,然後將智能合約中的資產一掃而空
- 黑客利用智能合約函數中的錯誤配置盜取資金
- 建議加密錢包的用戶僅使用自己熟悉的交易平台、購買認可的代幣並注意加密貨幣市場的網址
2021年,與加密貨幣相關的犯罪活動創下歷史新高,詐騙分子盜取了價值140億美元的加密貨幣。欺詐與詐騙活動的增加與全球加密貨幣活動激增息息相關。在最新一份報告中,Check Point Research (CPR) 詳細闡述詐騙分子目前用來從用戶那裡「拉錢」的方法,並提供了利用智能合約錯誤配置而有可能虧空資金的示例。這些發現建立在CPR之前的加密貨幣研究之上 – 去年 10 月,CPR發現全球最大的 NFT 市場 OpenSea 上的加密錢包被盜;到11月,CPR透露,黑客利用搜索引擎網絡釣魚活動在幾天內竊取了50萬美元。
在此報告中,CPR揭示黑客構建欺詐代幣盜竊的整個過程,並提供了識別這些騙局的方法。
甚麼情況會出現欺詐代幣﹖
- 一些代幣的購買費用高達 99%,在購買階段就偷走了你所有的錢。
- 一些代幣不允許買家轉售(比如魷魚幣),只有持有人可以出售。
- 一些代幣的出售費用高達 99%,在銷售階段偷走了你所有的錢。
- 一些代幣允許持有人在自己的錢包中創建更多幣並進行出售。
- 一些代幣雖不是惡意的,但其合約原始程式碼存在安全漏洞,而黑客可利用這些漏洞盜取資產。
盜取方法:錯誤配置智能合約
為了創建欺詐代幣,黑客錯誤地配置智能合約。智能合約是儲存在區塊鏈上的程序,在滿足預定條件時運行。CPR概述了黑客利用智能合約的步驟:
- 利用詐騙服務。黑客通常使用詐騙服務為他們創建合約,或者他們複製已知的詐騙合約並修改代幣名稱和符號,若過份複雜的話,則修改一些功能名稱。
- 操作函數。然後他們將通過匯款操縱這些功能,阻止用戶出售,或增加費用等。大多數操縱將是資金轉移的地方。
- 通過社交媒體進行炒作。然後他們會開啟社交渠道,例如 Twitter/discord/telegram,不透露他們的身份或使用其他人的假身份,開始炒作該項目,讓用戶開始購買。
- 「拉」和「扯」錢。當他們達到想要的金額後,他們會從合同中提取所有的錢,並刪除所有的社交媒體渠道。
- 跳過時間鎖。你通常不會看到那些代幣在合約池中鎖定大量資金,甚至不會在合約中添加時間鎖。時間鎖主要用於延遲行政動作,通常被認為是項目合法的有力指標。
Check Point Research (CPR) 警告稱,詐騙分子創建詐騙代幣和駭取合約的手法層出不窮。消費者在購買代幣時務必謹慎。
對加密貨幣用戶的建議:
加密貨幣是一種有望改變世界的新興事物,如果價格持續上漲,持有人將有機會從中賺大錢,因而,大家對加密貨幣趨之若鶩。然而,加密貨幣市場動盪不定,詐騙分子總能找到新方法通過加密貨幣盜取金錢。新式加密貨幣形式不斷湧現。美國聯邦貿易委員會(FTC)的資料顯示,從2020年10月到2021年3月,美國消費者因加密貨幣詐騙損失了超過8000萬美元。如果你已經投資或者未來計畫投資加密貨幣,那麼請務必只使用自己熟悉的交易平台,購買有交易記錄且比較有名的代幣。
慎防惡意市場:
由於加密貨幣在全球許多國家和地區不受監管,消費者錢包成為網絡犯罪分子眼中的肥肉。大家必須提防針對比特幣市場的網絡釣魚攻擊,它們可能會冒充比特幣網站,誘使用戶輸入登錄資訊,然後進行盜竊。消費者必須要對使用的比特幣市場的網址保持謹慎,以防掉入網絡犯罪分子設下的圈套。
Check Point 產品漏洞研究部門總管 Oded Vanunu表示:「Check Point Research正在投入大量資源來研究加密貨幣和安全性的交接點。去年,我們發現全球最大的NFT市場OpenSea上的加密錢包被盜。去年,我們還提醒加密錢包用戶注意大規模的搜索引擎網絡釣魚活動,該活動導致在幾天內至少被盜了50萬美元。在我們的最新報告中,展示了在現實中智能合約的欺詐情況,並揭露了在外的真正代幣欺詐:1) 隱藏100%的費用功能,然後2) 隱藏後門功能。這意味著加密用戶將繼續落入這些陷阱,並將失去他們的金錢。我們發佈此報告的目的是提醒加密社區,詐騙者確實在製造欺詐代幣來盜取資金。為提防詐騙代幣,我建議加密用戶分散他們的錢包,忽略廣告,並測試他們的交易。」
發表迴響