icon_install_ios_web icon_install_ios_web icon_install_android_web

安全投資從這裡開始:DeFi質押詐欺防範指南

分析3 个月前發佈 6086比...
42 0

哈希( SHA1 )本文: 14f211363c25423b3eb2472ade8865dc95a14513

代碼:PandaLY反詐騙指南No.001

相信關注漣源科技的朋友一定對 DeFi 有一定的了解。確實,在某些情況下,參與 DeFi 平台的質押,尤其是常見的 USDT 質押,確實可以帶來豐厚的回報。然而,伴隨著機會而來的是各種騙局。許多不法分子利用投資人對區塊鏈技術和專案細節缺乏了解,設計了一系列陷阱。常見的做法是打著比某某平台收益更高的旗號,吸引你在不知名的 DeFi 平台質押投資,而這些平台往往以遠超傳統 DeFi 平台或交易所的回報率作為誘餌。當他們騙了足夠的資金後,他們就會捲款而逃,讓投資者一無所有。

為了幫助大家避免此類詐騙,今天我們就結合近期發生的一個典型的 DeFi 詐騙案例來深度剖析其套路和操作方法。同時,我們也將為您提供一些實用的防範技巧,幫助您在參與 DeFi 專案時更好地識別潛在風險,並保護您的資產。

什麼是 DeFi 質押?

DeFi 質押是去中心化金融(DeFi)領域常見的方式,使用者可以將自己的加密資產鎖定在智能合約中,參與網路維運或提供流動性,並獲得相應的回報。這個過程類似於銀行定期存款,用戶暫時鎖定其資產以換取利息或其他獎勵。

DeFi 質押通常採取以下形式:

  • 權益證明(PoS):在一些基於PoS機制的區塊鏈網路中,用戶可以質押一定數量的加密貨幣來參與區塊驗證和網路維護。質押金金額越多,獲得驗證的機會就越大,用戶還可以獲得一定比例的區塊獎勵。

  • 流動性挖礦:使用者將加密資產存入去中心化交易所或流動性池,以提供流動性並促進交易順利進行。作為回報,用戶可以獲得一定比例的手續費收入或平台原生代幣獎勵。

  • 借貸與質押:使用者可以將加密資產質押到去中心化借貸平台,將其作為抵押物借入另一種資產,並透過質押賺取利息。在此過程中,用戶質押的資產仍會產生收入,但可以將借入的資金用於其他操作。

目前流動性挖礦是最常見的 DeFi 項目,所以今天我們主要來講一下流動性挖礦。

流動性挖礦騙局

最近,我們遇到一位熱心用戶向我們舉報了一個名為 ve.finance 的 DeFi 網站。檢舉用戶原文如下:

我是 ve.finance 騙局的受害者。 VE的合約地址為

https://etherscan.io/address/0xdaef06a5fbf22cc67e521f937ab2a8e687558d74#code 並成功標記為詐騙。但我發現他們開了一個新網站:

https://ethnano.com/,合約網址為:

https://etherscan.io/address/0xb53653f74c9ba313f764e7404bfeffab3500d25c.

他們的網站設計、使用的API、合約的CODE都是一模一樣的。我還沒有看到任何詐騙標籤。我希望這能減少加入詐騙的受害者數量。

簡單來說,就是用戶遇到了打著折扣質押名義的詐騙網站。該網站並沒有透過各種授權進行釣魚,而是透過質押中使用的智能合約來誘騙用戶。另外,網頁經常更換域名,受害者被騙後可能無法找到先前的網站。

當我們根據用戶給出的URL打開頁面時,MetaMask直接阻止我們打開該網站,並彈出警告該網站是高風險網站,但我們是誰?我們是無情的人,無視風險,繼續安裝。點擊繼續造訪網站,我們來到如下圖的質押騙局網站介面。

安全投資從這裡開始:DeFi質押詐欺防範指南

我們點擊了用戶報告的第一個智能合約地址,0xdaef06a5fbf22cc67e521f937ab2a8e687558d74

經過分析,我們發現這個可惡的騙子在智能合約中設定了超級用戶帳戶地址。並設定一個函數:

function adminSendEth(應付地址, uint amount) public onlyAdmin {

目的地.轉帳(金額);

}

這個函數是什麼意思呢?首先,函數名稱是adminSendEth,這意味著只有我這個超級使用者才能發送這個函數。然後我們把注意力轉向onlyAdmin,也就是說只有我這個超級使用者才能呼叫這個函數。

那麼這個函數是什麼意思呢?很簡單,直接將我指定的餘額金額轉入我指定的帳戶地址。

當用戶通過該智能合約質押資金後,詐騙者可以直接將質押的資金轉移到智能合約地址。當用戶查看智能合約,發現智能合約帳戶裡沒有錢時,才意識到自己被騙了。

然後我們點擊這位熱心用戶提供的另一份合約:0xb53653f74c9ba313f764e7404bfeffab3500d25c

該合約與前一個合約的區別在於它包含一個名為 Exchange 的函數。此函數的具體實作程式碼如下:

函數 Exchange(位址使用者) external onlyOwner {

require(!_blacklisted[user],使用者已被列入黑名單。);

_blacklisted [使用者] = true;

發出黑名單(使用者);

}

這個函數的名字叫做轉換,裡面實現的內容也很簡單。只要你不在我的黑名單裡,我就把你拉進黑名單。如果你在黑名單裡哦~那你就待在那裡吧~

所以一旦你質押了這個合約,這個函數就會被自動調用,你就會被扔到一個小黑屋裡,一分錢也拿不出來。

預防詐騙

那麼該如何防範 DeFi 質押詐騙呢?

1.查看專案官網

第一步是確保我們造訪的網站合法且安全:

  • SSL 證書:請記住,任何合法網站都應該有 SSL 證書,並確保網站以 https 開頭。 SSL憑證可以對使用者和網站之間的通訊進行加密,防止資訊外洩和網路釣魚攻擊。如果您看到沒有SSL憑證或以http開頭的DeFi質押平台,請立即離開,以避免風險。

  • 團隊透明度:一個可信賴的專案必須有公開透明的團隊背景。我們可以在各種社交媒體上找到有關專案團隊的信息,例如Twitter,以確保他們擁有公共社交媒體,並且可以追蹤他們過去參與過的專案。

  • 網站:如果專案團隊可靠的話,我們可以在他們的官方社群媒體上找到其承諾的相關網站。請記住,不要點擊未經官方認可的網站,因為它可能是假冒的網路釣魚網站。

  • 不合理承諾:當一個Stake專案承諾「高回報」或「零風險」時,很可能是騙局,我們需要提高警覺。

  • 交易所:幣安、EURUSD等主流交易所都有自己對應的質押投資產品。我們不必去一些不知名的小平台。雖然回報可能沒有那麼可觀,但安全性絕對有保證。

2. 檢查智能合約

相信看完以上案例我們就會發現,智能合約是Stake專案的核心,任何惡意程式碼都會導致資金無法取回。因此,仔細檢查很重要:

  • 合約審核:使用區塊鏈瀏覽器(如Etherscan)檢查專案智能合約是否經過第三方審核。我們可以檢查專案合約是否經過權威審計機構(如CertiK、OpenZeppelin)的審計。審計報告將揭露合約是否有安全漏洞和潛在風險。

  • 代碼詳情:如果您有一定的編碼能力,請務必查看合約代碼是否存在後門(黑名單、白名單等),以及鎖定期、提幣限制等條款,以確保資金安全。當然,如果你不懂程式碼,你可以把程式碼複製到GPT或其他AI上問他們,他們會給你正確答案。

  • 小心授權:當您與質押項目互動時,智能合約會要求您授權存取您的錢包。小心無限授權。如果您授予無限權限,惡意合約可能隨時轉移您的資金。

3. 社區驗證

加入專案社群也是驗證專案真實性和受歡迎程度的重要途徑,因為 Twitter 帳戶的追蹤者很可能是假的:

  • 社交討論:您可以加入Telegram、Discord等官方社區,查看社區的聊天記錄和氛圍,以了解項目的聲譽。如果一個社群中的每個人都在吹噓或炫耀自己的利潤,那麼它很可能是一個騙局項目。良好社群的成員之間的溝通非常客觀。

  • 警惕私下推廣:如果一個專案只在私下群組推廣或不公開透明,可能有風險。一定要關注老師賺錢的項目和一對一的項目。只靠口碑來吸引人的項目絕對不是好項目。

四.流動性和透明度

接下來是進階部分。一般來說,專案池的流動性和透明度是評估專案安全性的關鍵指標:

  • 流動性池鎖定:流動性池為專案提供交易的基礎資金池。您可以透過區塊鏈瀏覽器查看質押項目的流動性池是否已被鎖定。流動性鎖定是指專案方不能隨意提取或轉移資金,防止惡意跑路。如果流動性池不鎖定,專案方可能隨時提取資金,導致使用者無法提取質押資產的情況。

  • 流動性充足:流動性池越大,用戶交易資產時的滑點(價差)越小,提現也越容易。檢查流動性池的深度和充足性,確保池中有足夠的資金滿足使用者的質押和提現需求。流動性不足的項目可能會導致資金無法順利撤回。

  • 鏈上透明度:專案資金的透明度是決定其可信度的重要因素。您可以使用區塊鏈瀏覽器(如Etherscan、BscScan等)追蹤專案資金流向,查看資金是否大規模提取或集中在少數地址。此外,您還可以設定監控錢包,自動追蹤重點項目資金流向並及時收到提醒。此措施可以幫助您提前發現任何可疑的資金操作,避免成為詐騙的受害者。

結論

整體而言,雖然 DeFi 質押計畫看似充滿機遇,但風險也不容忽視。尤其是許多新手朋友可能會被高回報所吸引,而忽略了專案本身的安全性。我們看過太多類似的騙局,從虛假網站、惡意智慧合約到社群刷單,手段五花八門。所以大家在質押的時候一定要做好功課,從查看專案官網、查看智能合約、觀察社區活動,到分析資金流動性,每一步都非常重要。

區塊鏈世界是去中心化的。正因為如此,個人資金的安全更取決於自己的判斷和謹慎。不要被所謂的高回報蒙蔽了雙眼。往往承諾零風險、保證報酬的項目背後往往隱藏著風險。安全永遠比高回報更重要。這是我們在 DeFi 質押中應該記住的最重要的事情。

透過今天的分享,希望能讓大家在未來的質押過程中更加理性和謹慎。無論您是 DeFi 新手,還是經驗豐富的老手,請多關注專案的透明度和安全性,避免因疏忽而陷入詐騙陷阱。如果您有任何問題或疑慮,可以隨時留言討論。我們非常樂意幫助您更好地保護您的資產!畢竟,在這個去中心化的世界裡,共同學習、互相幫助才是最安全的投資策略!

涾源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上資料分析以及資產和合約漏洞救援。我們已成功為個人和機構追回許多被盜的數位資產。同時,我們致力於為產業組織提供專案安全分析報告、鏈上溯源、技術諮詢/支援服務。

感謝您的閱讀。我們將持續關注並分享區塊鏈安全內容。

本文源自網路:安全投資從這裡開始:DeFi質押詐欺防範指南

相關:Foresight Ventures:Intent Asset,Web3資產大規模應用的切入點

原作者:Mike@Foresight Ventures 閒置資產的革命 2013年,阿里巴巴餘額寶上線,將資產管理帶入新時代。在此之前,一般用戶很難找到安全且有效率的方式來管理閒置資金。銀行活期存款利率較低,理財產品複雜難懂。餘額寶的誕生改變了一切。餘額寶的誕生 那是一個網路金融剛興起的時代。支付寶團隊意識到,用戶的支付帳戶中經常有一些閒置資金。如果這些資金能夠投入,不僅會為用戶帶來收益,也能提升用戶體驗。於是他們和天弘基金共同推出了一款叫做餘額寶的產品。餘額寶很容易使用。僅用戶...

© 版權聲明

相關文章