WEB:揭秘2022年六大加密术_XMETA

作者：

时间：

自去年起，加密案件就屡增不减。据CNBC报道，2021年，加密损失超过10亿美元，其中最常见的类型包括虚假投资和杀猪盘。而到了2022年，加密的手法更加让人眼花缭乱。以下是2022年最常见的六种加密局。1.网络钓鱼链接

网络钓鱼是Web2中子常用的一种手法。子创建一个恶意网站，然后大量发送链接给他们的受害者。在这里，我们将主要关注子窃取私钥的方法。在Web3中，子通常通过不同的媒介将他们的钓鱼链接发送到Web3社区，如Discord、Twitter、Telegram，甚至是链上。

钓鱼网站通常与真正的网站非常相似，但使用不同的URL名称。网站内容可能是新的Giveaway或NFT免费铸造，子利用投资者的FOMO心理将用户玩弄于股掌之中。他们可以明目张胆地要求用户提供他们的助记词或私钥。例如，在社交媒体上联系用户，以钱包软件支持服务的身份联系用户，并以交易所支持的身份直接发送信息，窃取用户私钥。另一种方法是，子会开发类似于Metamask等合法插件的Chrome扩展。通过模拟真实的应用程序，让用户放松警惕，提供自己的私钥来使用新应用程序。子会试图让用户认为现有的应用程序有一个新的漏洞，并且有新的软件升级。如子试图让用户以为当前的Metamask版本存在漏洞，用户应该升级到新版本。然后在消息中宣称新的升级还没有完成，必须手动进行升级。随后，子会给出一组指令，诱用户提供Metamask密码，从而将其私钥暴露给子。在这种情况下，用户应该继续等待Metamask的官方公告，并从官方来源升级他们的Metamask版本。要升级扩展，只需转到chrome://extensions/，单击更新按钮，如下图。

Solana CEO：以太坊作为Solana L2解决方案的想法非常合理:金色财经报道，Solana Labs联合创始人兼首席执行官Anatoly Yakovenko表示，尽管存在局限性和潜在风险，但使用以太坊作为Solana区块链第二层解决方案的想法非常合理。

通过技术合作，潜在L2网络中Solana资产的所有者“将得到最终确定性的保证，即使在双重支出的情况下也能够返回协议。为了实现这个想法，需要在Solana中同步有关以太坊交易的信息，并发送简化支付验证根以确认验证者之间的共识。并且为了消除协议中可能出现的错误，需要配置“网桥超时”。然而，Yakovenko指出，在这种情况下，只有将资产存储在另一个区块链上才是安全的。登陆服务和流动性支持具有很大的危险，因为以太坊的故障会对主网络产生负面影响。[2023/7/4 22:15:58]

友情提醒：正常的应用程序升级不需要用户提供登录凭证等敏感信息。2.Ice-Phishing局

IcePhishing是一种用户签署交易的策略，攻击者可以控制用户的代币，但又不获取用户的私钥。这是网络钓鱼技术的新手段。在某些背景下，当用户使用DeFi应用程序并与主代币标准交互时，批准方法会显示在他们的Metamask窗口中。这是用户向第三方授权以代表该用户对这些代币进行操作的请求。之后，用户可以执行其他操作，如执行交易。攻击者会将用户引导到钓鱼网站，诱使他们签署一些他们没有申请的交易。例如，交互的合约可能是攻击者的地址。一旦批准交易完成，攻击者就有权将代币从受害者的钱包中转出。通常，网站有一种算法来扫描受害者的钱包，目的是检测有价值的资产，如昂贵的BAYCNFT或wBTC/wETH等加密货币。通常，网站会不断显示Metamask窗口，提示用户签署另一笔交易，即使他们可能已经签署了一次。防止成为IcePhishing受害者的另一种方法是远离签署eth_sign交易。通常如图所示：

Celsius计划将零售平台和挖矿业务出售给NovaWulf:2月15日消息，Celsius Network的债务人已向纽约南区美国破产法院提交一份出售计划。该计划是Celsius零售平台和挖矿业务整体重组计划的一部分，核心是与数字资产投资公司NovaWulf Digital Management达成原则性协议，将Celsius零售平台和挖矿业务出售给NovaWulf。

该计划是在与无担保债权人官方委员会协商后达成的，之后将敲定一份具有约束力的协议，指定NovaWulf为Celsius零售平台和挖矿业务的中标者。NovaWulf将提供4500万至5500万美元的现金。（CoinDesk）[2023/2/15 12:08:32]

eth_sign是一种开放式签名方法，允许对任意哈希进行签名，它可以用于对不明确的交易或任何其他数据进行签名，这是一种危险的网络钓鱼类型。这里的任意哈希意味着对“批准”或“批准一切”等操作保持警惕还不够，子可以让你签署原生代币转移或合约调用等交易。子几乎可以完全控制你的帐户，而不用持有你的私钥。尽管MetaMask在签署eth_sign请求时会显示风险警告，但当与其他网络钓鱼技术结合时，没有安全经验的用户仍有可能落入这些陷阱。3.Event手法&NFTSleepMinting

过去24小时全网爆仓2.79亿美元:金色财经报道，Coinglass数据显示，过去24小时全网爆仓 2.79亿美元。其中比特币爆仓7036.32万美元，以太坊爆仓6107.15万美元。[2023/2/10 11:58:34]

Event手法Event是子将随机的BEP20代币转移给用户的策略，并提示用户与之交互。即使子是从BscScan等区块链浏览器转移代币，它也会显示资金来源来自一个单独的钱包，例如币安热钱包。然后，用户将被诱与这些新的“免费”代币进行交互，通过在代币名称或代码本身中显示链接，可以将用户引导到钓鱼网站。这是网络钓鱼技术的新手段。这种方法利用了区块链浏览器显示Event的方式。例如，这张来自BscScan的截图显示CHI从NullAddress发送到地址0x7aa3……

区块链浏览器将盲目地使用emitevent的参数。如果_from地址被更改为另一个地址，例如0xhashdit，那么BscScan将显示从0xhashdit发送到接收地址的CHI。注意：这并不是区块链浏览器特有的bug，而是更改参数的灵活性，因为BscScan不能确定参数是否准确。因此，子可以利用这一点来代币的来源。NFTSleepMintingNFTSleepMinting是指子直接在著名创作者的钱包里铸造NFT，并从创作者的钱包中回收NFT。a16z在3月的时候发文解释该NFT新术。NFTSleepMinting创造了一种假象：著名的创作者为自己铸造了一个NFT；将NFT发送给子。根据“链上”的来源，子可以声称自己拥有由著名创作者铸造的NFT，并以更高的价格出售，在这个过程中伪造价值。例如，从Beeple的账户中可观察到他的几个NFT不是由他铸造的。4.加密庞氏局

GBTC溢价率走低至-36.38%，创历史新低:金色财经报道，数据显示，当前GBTC价格为11.41美元，溢价率一度跌至-36.38%，创历史新低，现报-36.19%。此外，截止美东时间10月1日，灰度

BTC信托持仓量已降至635236枚BTC。[2022/10/2 18:37:25]

庞氏局使用新投资者的钱支付给老投资者。一旦没有更多的新资金来支持这个计划，整个系统就会崩溃。加密庞氏局有几个标志：首先，项目方收取税费，这些税费可以让用户在生态系统中停留更长时间。由于每次存款/复利操作都会产生某种费用，这意味着用户必须复利较长一段时间才能收支平衡。这些费用还用于偿还希望索赔的用户的红利。第二，无法提取用户的初始投资资金。一旦用户存入了他们的初始代币，他就没有办法提取他的初始投资资金。用户要拿回任何资金的唯一方法是收回股息。第三，使用介绍人机制。该项目鼓励参与者通过推荐人福利积极推广和推荐他人。每当下线执行特定的操作时，上线将获得额外的奖励。此外，为了让用户开始参与协议，他必须有一个上行地址才能开始。这创建了一个系统，每个地址都连接到另一个地址，类似于金字塔奖励方案。拥有5个以上的下线地址也会增加奖金。常见的方式是一开始就锁定在合约中的资金急剧增加，通常是由团队通过营销进行的初始炒作或团队自己为创造活动而注入的资金推动的。一旦合约余额达到拐点，这意味着没有新的资金流入。这将慢慢导致该计划分崩离析，新投资者恐慌地尽可能多地收回股息。

B站首次发布“洛天依十周年系列”数字藏品，并已开放预约:7月12日消息，哔哩哔哩（B站）宣布发行“洛天依十周年系列”数字藏品，并已开放预约。每套藏品中包含一张“干杯！洛天依”联名款原创数字头像，一首可定制独白的十周年特别纪念版数字音乐单曲《光与影的对白》，以及配套的专属单曲封面。据悉，这套数字藏品由B站经洛天依官方授权，专为纪念洛天依十周年特别发行，这也是B站首次尝试发行可定制的音乐数字藏品。

“洛天依十周年系列”是建立在高能链上的原创数字藏品，限量2022套，其中9套将作为奖品空投给用户。中签用户可获得融入定制独白的纪念版单曲和配有专属编号的音乐单曲封面。此外，拥有这款数字藏品的用户也将享受一系列B站专属权益。[2022/7/12 2:07:54]

最终，仅赚取税费的项目方将是此类庞氏局项目的最大受益者。5.CHIGasTokenfarming

CHIGasToken是1inch项目的一个方案，其中CHIGasToken是一个BEP20代币，用于1inch交易所支付交易成本。CHI与该网络的gas价格挂钩。当gas价格低时，CHI价格也低，反之亦然。子首先会空投一堆随机的BEP20代币。当用户批准PancakeSwap出售这些代币时，在这些代币的批准方法中，它将代码写死，从而消耗大量用户的gas限制来铸造CHIGasToken，可以用来补贴gas费，铸造的CHIGasToken则是子的利润。建议在某些空投代币中调用approve函数之前，注意审批交易中的gas费消耗情况。一般来说，不要碰空投给你的随机代币。6.MEV局&虚假名人局

MEV局子会利用MEV、套利交易机器人、狙击机器人、抢跑机器人等加密工具，承诺每天能获得几千美元的被动收入，吸引用户参与。这些通常在推特、TikTok和区块链浏览器等平台上推广。通常，子会在帖子上附加一个视频链接，将上当的用户引流到Youtube和Vimeo等视频托管平台。

视频将引导用户使用RemixIDE部署他们的恶意代码，子将在视频描述中的pastebinURL中提供恶意代码。

当恶意代码部署在链上后，用户将被指示下一步准备一些本地资金来执行“抢跑或套利交易”。视频会提示用户准备更多的原生资金，这样当你执行“抢跑或套利交易”操作时，你就能获得更多的利润，从而用户。一旦用户将资金注入到合约中并“开始抢跑交易”，资金将直接转移到子手中，而不是像子声称的那样赚取利润，另一种相对较新的方式是子提供CEX交易机器人的链接，如下图。

系统会提示用户下载恶意文件并按照提示操作。通常，想要在币安交易所自动交易的用户会有一个API私钥。这个视频诱用户使用他们的交易机器人，并要求用户放弃他们的API私钥和密码。一旦用户从而入套，子将能够在他们的终端接收用户的凭证，并使用用户的资金进行交易。虚假名人局子还利用社交媒体，传播加密交易所或项目等领域知名玩家正在进行Giveaway的虚假信息。

用户将被提示进入这个链接，并被指示先“验证”他们的地址。为此，他们必须向指定地址发送一些比特币或BNB，并将得到10倍回报。与此同时，该局网站显示了Giveaway记录的交易历史，让用户相信Giveaway是真实且有效。然而在现实中，一旦用户发送加密货币，代币就进入子口袋，最终也不会收到任何奖励。通常情况下，子可能会利用旧视频，甚至采取伪造知名人物的手段，让用户认为这个人是在支持和推广一个新的Giveaway，但实际上并不存在。这些案例的一个共同点是，视频的评论区会出现虚假的评论。这是在心理上用户，让他们相信这个交易机器人真的很好用。