安全投資從這裡開始：DeFi質押詐欺防範指南

哈希（ SHA1 ）本文： 14f211363c25423b3eb2472ade8865dc95a14513

代碼：PandaLY反詐騙指南No.001

相信關注漣源科技的朋友一定對 DeFi 有一定的了解。確實，在某些情況下，參與 DeFi 平台的質押，尤其是常見的 USDT 質押，確實可以帶來豐厚的回報。然而，伴隨著機會而來的是各種騙局。許多不法分子利用投資人對區塊鏈技術和專案細節缺乏了解，設計了一系列陷阱。常見的做法是打著比某某平台收益更高的旗號，吸引你在不知名的 DeFi 平台質押投資，而這些平台往往以遠超傳統 DeFi 平台或交易所的回報率作為誘餌。當他們騙了足夠的資金後，他們就會捲款而逃，讓投資者一無所有。

為了幫助大家避免此類詐騙，今天我們就結合近期發生的一個典型的 DeFi 詐騙案例來深度剖析其套路和操作方法。同時，我們也將為您提供一些實用的防範技巧，幫助您在參與 DeFi 專案時更好地識別潛在風險，並保護您的資產。

什麼是 DeFi 質押？

DeFi 質押是去中心化金融（DeFi）領域常見的方式，使用者可以將自己的加密資產鎖定在智能合約中，參與網路維運或提供流動性，並獲得相應的回報。這個過程類似於銀行定期存款，用戶暫時鎖定其資產以換取利息或其他獎勵。

DeFi 質押通常採取以下形式：

• 權益證明（PoS）：在一些基於PoS機制的區塊鏈網路中，用戶可以質押一定數量的加密貨幣來參與區塊驗證和網路維護。質押金金額越多，獲得驗證的機會就越大，用戶還可以獲得一定比例的區塊獎勵。

• 流動性挖礦：使用者將加密資產存入去中心化交易所或流動性池，以提供流動性並促進交易順利進行。作為回報，用戶可以獲得一定比例的手續費收入或平台原生代幣獎勵。

• 借貸與質押：使用者可以將加密資產質押到去中心化借貸平台，將其作為抵押物借入另一種資產，並透過質押賺取利息。在此過程中，用戶質押的資產仍會產生收入，但可以將借入的資金用於其他操作。

目前流動性挖礦是最常見的 DeFi 項目，所以今天我們主要來講一下流動性挖礦。

流動性挖礦騙局

最近，我們遇到一位熱心用戶向我們舉報了一個名為 ve.finance 的 DeFi 網站。檢舉用戶原文如下：

我是 ve.finance 騙局的受害者。 VE的合約地址為

https://etherscan.io/address/0xdaef06a5fbf22cc67e521f937ab2a8e687558d74#code 並成功標記為詐騙。但我發現他們開了一個新網站：

https://ethnano.com/，合約網址為：

https://etherscan.io/address/0xb53653f74c9ba313f764e7404bfeffab3500d25c.

他們的網站設計、使用的API、合約的CODE都是一模一樣的。我還沒有看到任何詐騙標籤。我希望這能減少加入詐騙的受害者數量。

簡單來說，就是用戶遇到了打著折扣質押名義的詐騙網站。該網站並沒有透過各種授權進行釣魚，而是透過質押中使用的智能合約來誘騙用戶。另外，網頁經常更換域名，受害者被騙後可能無法找到先前的網站。

當我們根據用戶給出的URL打開頁面時，MetaMask直接阻止我們打開該網站，並彈出警告該網站是高風險網站，但我們是誰？我們是無情的人，無視風險，繼續安裝。點擊繼續造訪網站，我們來到如下圖的質押騙局網站介面。

我們點擊了用戶報告的第一個智能合約地址，0xdaef06a5fbf22cc67e521f937ab2a8e687558d74

經過分析，我們發現這個可惡的騙子在智能合約中設定了超級用戶帳戶地址。並設定一個函數：

function adminSendEth(應付地址, uint amount) public onlyAdmin {

目的地.轉帳（金額）；

}

這個函數是什麼意思呢？首先，函數名稱是adminSendEth，這意味著只有我這個超級使用者才能發送這個函數。然後我們把注意力轉向onlyAdmin，也就是說只有我這個超級使用者才能呼叫這個函數。

那麼這個函數是什麼意思呢？很簡單，直接將我指定的餘額金額轉入我指定的帳戶地址。

當用戶通過該智能合約質押資金後，詐騙者可以直接將質押的資金轉移到智能合約地址。當用戶查看智能合約，發現智能合約帳戶裡沒有錢時，才意識到自己被騙了。

然後我們點擊這位熱心用戶提供的另一份合約：0xb53653f74c9ba313f764e7404bfeffab3500d25c

該合約與前一個合約的區別在於它包含一個名為 Exchange 的函數。此函數的具體實作程式碼如下：

函數 Exchange(位址使用者) external onlyOwner {

require(!_blacklisted[user],使用者已被列入黑名單。);

_blacklisted [使用者] = true;

發出黑名單（使用者）；

}

這個函數的名字叫做轉換，裡面實現的內容也很簡單。只要你不在我的黑名單裡，我就把你拉進黑名單。如果你在黑名單裡哦~那你就待在那裡吧~

所以一旦你質押了這個合約，這個函數就會被自動調用，你就會被扔到一個小黑屋裡，一分錢也拿不出來。

預防詐騙

那麼該如何防範 DeFi 質押詐騙呢？

1.查看專案官網

第一步是確保我們造訪的網站合法且安全：

• SSL 證書：請記住，任何合法網站都應該有 SSL 證書，並確保網站以 https 開頭。 SSL憑證可以對使用者和網站之間的通訊進行加密，防止資訊外洩和網路釣魚攻擊。如果您看到沒有SSL憑證或以http開頭的DeFi質押平台，請立即離開，以避免風險。

• 團隊透明度：一個可信賴的專案必須有公開透明的團隊背景。我們可以在各種社交媒體上找到有關專案團隊的信息，例如Twitter，以確保他們擁有公共社交媒體，並且可以追蹤他們過去參與過的專案。

• 網站：如果專案團隊可靠的話，我們可以在他們的官方社群媒體上找到其承諾的相關網站。請記住，不要點擊未經官方認可的網站，因為它可能是假冒的網路釣魚網站。

• 不合理承諾：當一個Stake專案承諾「高回報」或「零風險」時，很可能是騙局，我們需要提高警覺。

• 交易所：幣安、EURUSD等主流交易所都有自己對應的質押投資產品。我們不必去一些不知名的小平台。雖然回報可能沒有那麼可觀，但安全性絕對有保證。

2. 檢查智能合約

相信看完以上案例我們就會發現，智能合約是Stake專案的核心，任何惡意程式碼都會導致資金無法取回。因此，仔細檢查很重要：

• 合約審核：使用區塊鏈瀏覽器（如Etherscan）檢查專案智能合約是否經過第三方審核。我們可以檢查專案合約是否經過權威審計機構（如CertiK、OpenZeppelin）的審計。審計報告將揭露合約是否有安全漏洞和潛在風險。

• 代碼詳情：如果您有一定的編碼能力，請務必查看合約代碼是否存在後門（黑名單、白名單等），以及鎖定期、提幣限制等條款，以確保資金安全。當然，如果你不懂程式碼，你可以把程式碼複製到GPT或其他AI上問他們，他們會給你正確答案。

• 小心授權：當您與質押項目互動時，智能合約會要求您授權存取您的錢包。小心無限授權。如果您授予無限權限，惡意合約可能隨時轉移您的資金。

3. 社區驗證

加入專案社群也是驗證專案真實性和受歡迎程度的重要途徑，因為 Twitter 帳戶的追蹤者很可能是假的：

• 社交討論：您可以加入Telegram、Discord等官方社區，查看社區的聊天記錄和氛圍，以了解項目的聲譽。如果一個社群中的每個人都在吹噓或炫耀自己的利潤，那麼它很可能是一個騙局項目。良好社群的成員之間的溝通非常客觀。

• 警惕私下推廣：如果一個專案只在私下群組推廣或不公開透明，可能有風險。一定要關注老師賺錢的項目和一對一的項目。只靠口碑來吸引人的項目絕對不是好項目。

四．流動性和透明度

接下來是進階部分。一般來說，專案池的流動性和透明度是評估專案安全性的關鍵指標：

• 流動性池鎖定：流動性池為專案提供交易的基礎資金池。您可以透過區塊鏈瀏覽器查看質押項目的流動性池是否已被鎖定。流動性鎖定是指專案方不能隨意提取或轉移資金，防止惡意跑路。如果流動性池不鎖定，專案方可能隨時提取資金，導致使用者無法提取質押資產的情況。

• 流動性充足：流動性池越大，用戶交易資產時的滑點（價差）越小，提現也越容易。檢查流動性池的深度和充足性，確保池中有足夠的資金滿足使用者的質押和提現需求。流動性不足的項目可能會導致資金無法順利撤回。

• 鏈上透明度：專案資金的透明度是決定其可信度的重要因素。您可以使用區塊鏈瀏覽器（如Etherscan、BscScan等）追蹤專案資金流向，查看資金是否大規模提取或集中在少數地址。此外，您還可以設定監控錢包，自動追蹤重點項目資金流向並及時收到提醒。此措施可以幫助您提前發現任何可疑的資金操作，避免成為詐騙的受害者。

結論

整體而言，雖然 DeFi 質押計畫看似充滿機遇，但風險也不容忽視。尤其是許多新手朋友可能會被高回報所吸引，而忽略了專案本身的安全性。我們看過太多類似的騙局，從虛假網站、惡意智慧合約到社群刷單，手段五花八門。所以大家在質押的時候一定要做好功課，從查看專案官網、查看智能合約、觀察社區活動，到分析資金流動性，每一步都非常重要。

區塊鏈世界是去中心化的。正因為如此，個人資金的安全更取決於自己的判斷和謹慎。不要被所謂的高回報蒙蔽了雙眼。往往承諾零風險、保證報酬的項目背後往往隱藏著風險。安全永遠比高回報更重要。這是我們在 DeFi 質押中應該記住的最重要的事情。

透過今天的分享，希望能讓大家在未來的質押過程中更加理性和謹慎。無論您是 DeFi 新手，還是經驗豐富的老手，請多關注專案的透明度和安全性，避免因疏忽而陷入詐騙陷阱。如果您有任何問題或疑慮，可以隨時留言討論。我們非常樂意幫助您更好地保護您的資產！畢竟，在這個去中心化的世界裡，共同學習、互相幫助才是最安全的投資策略！

涾源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上資料分析以及資產和合約漏洞救援。我們已成功為個人和機構追回許多被盜的數位資產。同時，我們致力於為產業組織提供專案安全分析報告、鏈上溯源、技術諮詢/支援服務。

感謝您的閱讀。我們將持續關注並分享區塊鏈安全內容。

本文源自網路：安全投資從這裡開始：DeFi質押詐欺防範指南

相關：Foresight Ventures：Intent Asset，Web3資產大規模應用的切入點

原作者：Mike@Foresight Ventures 閒置資產的革命 2013年，阿里巴巴餘額寶上線，將資產管理帶入新時代。在此之前，一般用戶很難找到安全且有效率的方式來管理閒置資金。銀行活期存款利率較低，理財產品複雜難懂。餘額寶的誕生改變了一切。餘額寶的誕生 那是一個網路金融剛興起的時代。支付寶團隊意識到，用戶的支付帳戶中經常有一些閒置資金。如果這些資金能夠投入，不僅會為用戶帶來收益，也能提升用戶體驗。於是他們和天弘基金共同推出了一款叫做餘額寶的產品。餘額寶很容易使用。僅用戶...