据 Cointelegraph 报道显示,诈骗再次成为加密货币犯罪的最大驱动因素之一,去年(2023)一年带来的直接损失就达到了 46 亿美元。
另据 CertiK 数据报告显示,仅在今年(2024)的第一季度,加密货币领域就发生了 223 起比较典型的链上安全事件,总计造成 5 亿美元的损失。前几天还看到慢雾发的一个数据说,仅在上个月(5月)发生的典型安全事件也超过了 31 起,因黑客攻击、钓鱼诈骗、账号被盗和 Rug 造成的损失金额达1.24亿美元,较 4 月增长了约 52.5%。
还有,近期很多人都在关注的 OKX 用户大额资金被盗的事件,不仅据说让部分用户的大额资金被洗劫一空,同时也导致了这个月就有 6.3 亿美元的用户资金从该交易所流出。
而这些,也仅是我们能看到的一部分,比如各种骗子利用杀猪盘等方式骗取的用户资金则根本无法统计(骗子的主要目标就是那些刚进入该领域不久的新用户)。
所以,我也总是说,新人进入该领域后一定要记住最基本的两个原则:一是保住本金、二是不懂勿碰。说白了,就是需要你把安全意识永远放在第一位。
针对安全方面的话题,之前的文章也已经被大家梳理过一些了。今天我们继续这个话题,再来给大家列举一些常见的安全问题:
1.DeFi 协议漏洞
DeFi 方面比较常见的就是闪电贷攻击和预言机操纵,因为这些方式都可能会耗尽 DeFi 协议的资源。
闪电贷(Flash loan)是一种 DeFi 的创新产品,它允许用户在不提供任何抵押的情况下,借用协议池中的任意数量的加密资产,只要在同一笔交易(一个区块)中归还本金和利息即可。闪电贷的优势在于,它可以让用户利用市场上的套利机会,实现低成本、高收益的操作。而闪电贷的风险在于,如果用户无法在规定时间内还款,那么交易会被撤销,用户将损失交易费用和利息。
闪电贷攻击的基本原理是通过在同一区块链网络上快速进行多次借贷和交易操作,从而导致智能合约出现错误,进而使攻击者获得不当利益。
比如上个月(5月14日),基于 Compound 的 Optimism 原生借贷协议 Sonne Finance 遭闪电贷攻击,损失超 2000 万美元。
预言机(Oracles)是指获取、验证外部信息(即存储在链下的信息)并将外部信息传送给在区块链上运行的智能合约的应用程序。预言机除了“拉取”链下数据并在以太坊上广播以外,还可以将信息从区块链“推送”到外部系统,例如,一旦用户通过以太坊交易发送费用,就解锁智能锁。如果没有预言机,智能合约将只能使用链上数据。
预言机操纵行为会导致预言机报告关于外部事件或真实世界的错误数据。举个例子,假设某个加密资产在 5 家交易平台上交易,85% 的交易量都发生在其中两家平台,那么如果预言机覆盖的是另外三家流动性较低的平台,就说明覆盖广度不够。如果攻击者操纵这三家低流动性交易平台上的价格,预言机报告的价格就会与实际价格出现偏差,并导致操纵风险。
比如前几天(6月10日),借贷平台 UwU Lend 遭攻击,损失约 1,930 万美元。这次攻击的核心点就是:攻击者通过在 CurveFinance 的池子中进行大额兑换直接操纵价格预言机,影响 sUSDE 代币的价格,并利用被操纵后的价格套出池子中的其他资产。
所以,我们在使用相关协议的时候,要尽量使自己的 DeFi 投资多样化,同时也要尽量避免使用那些未经过审计或低流动性池的协议。
2.各种钓鱼网站
各种钓鱼类网站应该是不少用户应该都经历过的(至少见过),骗子会创建看似真实的虚假官网,并通过社交平台、邮件、各种讨论组等渠道进行广泛的传播,一旦有用户进入虚假网站,并受到一些利益诱导连接了自己的钱包并进行了授权,那么钱包里面的资产就会被自动被洗劫一空。
所以,如果你我们平时常用的网站,有些是各类需要授权钱包登录的 DEX 平台,一定要认真检查正在访问的 DApp 域名(URL)是否正确。最好是直接把自己日常用的一些官网添加到浏览器的书签中,而不是每次去通过推特或Google进行搜索,因为有时候搜索出来的某条信息或结果可能不一定是真的。同时要尽量避免点击各类网站里面的协议(项目方)广告,因为诈骗者有时候也会投放虚假广告进行诈骗。
还有一点,不要随便乱点陌生人发给你的各种链接。比如,目前 Discord 里面就有一种比较常见骗局,骗子会主动向你发送一条消息,其中包含了虚假页面的地址或 Twitter 帖子(推特帖子访问地址本身是对的,但里面的内容会夹带着虚假延续链接)。
另外,如果你想安装一些浏览器类的插件,那么也一定不要随便安装那种自己不了解的插件。这个月也发生了一起浏览器插件方面的安全事件:6 月 3 日,有用户通过社交平台发文称,因为安装了恶意的 Chrome 扩展 Aggr 导致 100 万美金被盗。
因此,涉及到浏览器插件(以Chrome为例),一定要从 Chrome 应用商店里面安装那些你已经了解的插件,避免安装不明来源的扩展。或者你也可以考虑安装比如 ScamSniffer 这样的安全检查插件来进行日常的浏览辅助。
而如果你对安全问题非常重视的话,那么对于需要钱包交互的 DApp,可以考虑单独创建一个 Chrome 用户登录,不安装任何插件,并在完成交易操作后立即退出。
3.定期检查钱包
除了平时进行各种 Dapp 授权的时候一定要明确对应协议是否安全可靠外,即便你已经断开了钱包的连接,也建议定期去检查一下历史的授权,然后去撤销掉那些可能存在风险的授权或自己不明确的授权。
钱包检查类的工具也有不少,比如目前比较常用的 RevokeCash 工具,如下图所示。
另外,有些钱包里面也会支持历史授权的管理,比如 Rabby 钱包(Debank旗下的加密钱包),如下图所示。
然后就是钱包的使用,如果你的资产额度比较大,那么肯定是不建议全部资金都放在诸如 Metamask、Phantom 等热钱包上的。热钱包(资金分配到多个热钱包中)里面可以放常用的一部分资金、交易所(资金分配到不同的交易所中、但只建议使用大所)里面也可以放一部分资金,剩余的资金尽量放到冷钱包里面。而且,冷钱包也不是说非得买 Ledger、Trezor、Ellipal 等这样的硬件钱包,其实我自己就是单独用 2 台苹果手机断网当冷钱包的。当然,我日常用的热钱包也是单独的 1 台苹果手机(不建议用安卓手机)、和日常使用的手机也都是分开的。
4.防范虚假空投
在很多人(尤其是新人)的认识里面,他们把空投理解为了可以直接免费领取的代币或NFT。因此,有些骗子也正是利用了这点,使用虚假空投来诱骗一些人泄露自己的钱包私钥,或者诱导一些人进入钓鱼网站进行钱包的授权操作。
比如,你的钱包里面有时候可能会莫名收到一个 NFT(小图片),图片上面会有一个 URL 地址进行诱导,如果你访问了这个域名并授权了自己的钱包,那么你钱包里面的资产可能就会被瞬间清空。
至于你在一些社交平台上面看到的各种免费代币的领取地址、或者别人直接发的各种热门项目的空投领取地址,也请务必要通过对应项目的正确官网进行验证真伪,尤其是不要分享自己的助记词/私钥去领取所谓的空投。助记词 = 你的所有资产,打死都不要告诉任何人。
当然,我们上面也仅是简单列举了一些常见的安全问题和对应的防范建议。目前加密领域里面各种的诈骗手段是层出不穷,只有你想不到的方式,没有骗子想不到的方式,这也印证了我们之前说的那句话:当一个人专注于某个方面并持续进行研究的时候,就可以领先很多人。其实骗子也一直在专注研究各种骗术,所以大部分的人才会防不胜防。
文章的最后,我们再一起来看看这两天有什么热点信息吧:
- 6 月 17 日,Binance 于北京时间 16:00 上线 ZKsync(ZK),并开放相关的现货交易对。
- 6 月 17 日,ZK Nation 空投领取于北京时间 15:00 时正式开放。
- 6 月 16 日,据 GeniiData 平台数据现实,符文 COOK•THE•MEMPOOL 已完成铸造,该符文总铸造次数 4,309,311,为当前铸造量最大的符文,当前持有地址数达 28435 个。
- 6 月 15 日,推特账号 LayerZero Foundation 发布了一条消息并配图“06.20.2024“。人们猜测 Layerzero 或将于 20 号公布其代币空投信息。
- 6 月 15 日,TON 的价格创造了历史新高,TON 生态上面的游戏项目也开始受到更多人的关注,比如 Pixelverse、MomoAI、Hamster Kombat、Catizen 等。在整体市场低迷情况下,Toncoin 却成了近期市场上罕见的亮点之一。
- 6 月 14 日,AO(一个基于 Arweave 数据存储平台构建的Layer1)公布代币经济学,其中 36% 分配给 AR 持有者,64% 分配给跨链用户。
- 6 月 14 日,有消息显示,ETH ETF 可能会在 7 月 2 日上线。
- 6 月 14 日,《福布斯》杂志的一篇最新文章表示,正在美国吃牢饭的 CZ 目前是全球第 24 大富豪,成为历史上最富有的入狱者,其财富达到 610 亿美元。CZ 的财富主要来自他持有的 90% Binance 股权。另外就是他目前持有 9400 万枚 BNB,占流通量的 64%。
本期内容我们就分享到这里,这也是话李话外更新的第 472 篇文章。以上内容只是个人角度观点及分析,仅作为学习记录和交流之用,不构成任何投资建议。正文内容中涉及到的数据引用、图片来源详见话李话外 Notion 版的对应日期文章。
关于我们:
https://senlonlee.notion.site/b675992eca0c4a3e99456e62961e8969
话李话外是一个独立、自主的 We Media 平台,主要是分享一些加密领域的相关知识。除了不定期通过话李话外发表文章外,我们目前还提供了其他的一些交流途径和学习辅助工具,包括互助群、电子书、工具箱、表情包等。