Chodzi o to, że przez ostatni czas币安中文币 (Binance Chinese Coin) wzrósł bardzo szybko, co spowodowało wzrost nowej formy działania typu cx, polegającej na promowaniu kryptowalut typu meme w czasie rzeczywistym na Binance Square. Wiele osób z społeczności potrafi tylko handlować na rynku wtórnym, ale nie zna zasad działania na blockchainie. Dzięki temu...
@Binance Wallet i mechanizm dopasowania Binance Square, w直播 (transmisji na żywo) na stronie mała żółta wózka z web3 portfelem może bezpośrednio przejść z kwadratu do portfela i użyć środków z giełdy do zamawiania, szczegóły zob. na poniższym obrazie (tylko ilustracja)
W takim razie pytanie brzmi: jak oszustowie mogą zabrać Twoje aktywa z portfela? Czytaj dalej
1. Schemat oszustwa z monetą píxiu
Jak wiadomo, píxiu wchodzi, ale nie wychodzi, można tylko kupować, nie można sprzedawać, a na końcu zamyka się pulę. To najniższy poziom najgorszego oszustwa, które może oszukać tylko początkujących nowicjuszy, szczególnie w formie prywatnych wiadomości w TG i w portfelu TP. @TokenPocket_CN wcześniej był też portfel IM
Powód: Portfel TP pozwala na dodanie zdjęcia profilowego i opisu po otrzymaniu funduszy
2. Oszustwo związane z linkiem do airdropa
Na przykład: W ostatnim czasie popularny airdrop zapalniczek, oszuści zamaskują link do phishingu jako oficjalny link do airdropa, który może mieć dodatkowy znak lub literę na końcu. Publikują link do airdropa w mediach, społecznościach i grupach WeChat. Jeśli klikniesz, to gratulacje.
Podsumowując logikę tego linku phishingowego, nie wiem, czy to prawda @evilcos w kwestiach bezpieczeństwa, Yu Dada zdecydowanie jest ekspertem.
Na przykład:
1. Zewnętrzny przestępca Zhang San zamieszcza xxxx link do airdropa http://xxxxClaim.CO/0M (użyj 0 zamiast o, 1 zamiast l, lub użyj liter cyrylickich jak а, które wyglądają jak angielskie a)
2. Klonowanie oficjalnej strony
Użyj narzędzi do jednoczesnego zbierania front-endu kodu z legalnych stron (HTML/CSS).
Gdy ofiara otwiera stronę internetową, widzi logo, kolory i układ przycisków identyczny z prawdziwą stroną.
3. Różne SEO toksyczne wiadomości, społeczności, linki w końcu dotarły do Ciebie, a Ty z ciekawości i chciwości (właśnie przetestowałem tę sieć testową) kliknęłeś na link.
4. Gdy klikniesz w link i zaczniesz działać, atak zostanie przeprowadzony.
1/ Fałszywe podpisy: Po połączeniu z portfelem, na stronie pojawia się prośba o podpis.
Na ekranie widnieje napis: "Zweryfikuj tożsamość" lub "Odbierz nagrodę".
Jednak kod źródłowy to: SetApprovalForAll (autoryzuj wszystkie tokeny) lub Permit (autoryzacja offline)
Ten podpis nie wymaga płacenia opłaty za gaz (lub wymaga bardzo małej opłaty), co obniża czujność.
Po podpisaniu, nie wysyłasz aktywów, ale inteligentny kontrakt otrzymuje "czek bez limitu". Hakerzy mogą w ciągu kilku minut lub dni, w dowolnym momencie, wywołać kontrakt, aby opróżnić USDT/ETH z Twojego portfela.
2/ Pranie pieniędzy
Programy botów automatycznie monitorują, gdy tylko uzyskają dostęp lub klucz prywatny, w milisekundach przesyłają środki do portfela pośredniczącego hakerów.
Pranie pieniędzy: przez Tornado Cash lub inne miksery, dzielą środki, przerywają ścieżkę śledzenia na blockchainie, a na końcu realizują w partiach. Lub przez niektóre giełdy / wpłacają na dużą walutę, wymieniając na błyskawiczne transakcje, co powoduje, że nie można ich śledzić.
3. Złośliwe tokeny airdropowe
Ponieważ prowadziłem transmisję na żywo w #Binance Square, fani pytali mnie, dlaczego mój portfel ma dodatkowe kilka tysięcy U, pytali, czy mogę to sprzedać, więc postanowiłem napisać ten artykuł.
Po interakcji z portfelem Binance, w Twoim portfelu mogą się nagle pojawić tokeny o tej samej nazwie co Alpha, nawet jeśli głębokość puli jest podobna.
Mam nadzieję, że Ying Ge@币安Binance华语 @CZ @Yi He Wszystkie ważne osoby, Ying Ge, zwróćcie uwagę na ten problem.
Wzmocnij zarządzanie złośliwymi tokenami w portfelach, aby użytkownicy ponosili mniejsze straty. Zawsze kocham Binance/Square.
Poniżej przedstawiam kroki i logikę kradzieży Twoich funduszy przez złośliwe tokeny airdropowe.
Pierwszy krok: Wprowadzenie przynęty.
Hakerzy przeszukują aktywne adresy w danych blockchain, wysyłają do Twojego portfela token, którego nigdy wcześniej nie widziałeś lub znany token airdropowy, i manipulują cenowymi oraklami lub pulami płynności, aby te fałszywe monety pokazywały w Twoim portfelu bardzo wysoką wartość w walucie fiat (na przykład kilka tysięcy, a nawet dziesiątki tysięcy dolarów).
Drugi krok: Wprowadzenie interakcji.
Gdy odkryjesz ten "niespodziewany zysk", Twoją pierwszą reakcją zazwyczaj jest: "Czy mogę to sprzedać?" Zauważysz, że mainstreamowe DEX (decentralizowane giełdy) nie mogą nim handlować, lub w nazwie tokena będzie zawarty adres URL. Aby zrealizować, klikniesz na ten oszukańczy link lub spróbujesz wymienić na interfejsie Swap dostarczonym przez hakerów.
Trzeci krok: Śmiertelna autoryzacja.
Gdy klikniesz "Wymień" lub "Zatwierdź", pojawiająca się prośba nie jest zwykłym podpisem transakcji, lecz prośbą o "zmianę uprawnień konta" lub "autoryzację złośliwego kontraktu".
1/ Na blockchainie TRON maksymalnie: Ten podpis w rzeczywistości wywołuje kontrakt AccountPermissionUpdate. Myślisz, że autoryzujesz sprzedaż monet, w rzeczywistości zgadzasz się na zmianę adresu portfela na mechanizm "multi-sign" i ustawienie adresu hakera jako najwyższego zarządcy.
2/ Na blockchainie EVM (ETH/BSC): Ten podpis zwykle działa jako SetApprovalForAll lub Permit, nadając hakerowi nieograniczone uprawnienia do wywołania wszystkich USDT lub popularnych monet w Twoim portfelu.
Pułapka multi-sign: Gdy podpiszesz ten podpis na blockchainie TRON, hakerzy natychmiast przejmują kontrolę nad Twoim portfelem. Szybko zmienią wagę i usuną uprawnienia do operacji z Twoim kluczem prywatnym. W tym momencie, mimo że masz klucz prywatny, wszelkie transakcje, które inicjujesz, zakończą się niepowodzeniem z powodu "niewystarczających uprawnień" lub "braku podpisu multi-sign".
Jak się bronić:
Dokładnie sprawdzaj każdy podpis przed kliknięciem "Potwierdź" i uważnie czytaj komunikaty wyświetlane przez portfel.
Jeśli w komunikacie pojawią się takie słowa jak "Zaktualizuj uprawnienia", "Ustaw właściciela", "Multi-sign" lub "Waga/Próg", natychmiast odmów i rozłącz się! To zdecydowanie oszustwo!
Twój klucz prywatny to twoja ostatnia linia obrony, ale błędna autoryzacja może uczynić klucz prywatny bezwartościowym.
Prześlij ten artykuł dalej, powiedz swoim znajomym z branży kryptowalut, aby nie pozwolili, by ciężko zarobione pieniądze zniknęły przez jedno kliknięcie!
