NO.51 什么是加密钱包?加密钱包本质上是一个用于存储和管理加密资金、账户私钥、跟踪代币余额并签署交易的DAPP。一个加密钱包是由很多零部件组成的,通常包括:
NO.51 什么是加密钱包?
加密钱包本质上是一个用于存储和管理加密资金、账户私钥、跟踪代币余额并签署交易的DAPP。
一个加密钱包是由很多零部件组成的,通常包括:钱包账号、公钥地址(账户)、区块链网络、基础代币、合约代币、发送/接收、交易、应用等。
目前,常见的加密钱包包括Meta Mask(小狐狸)、TokenPocket(TP钱包)、imToken(im钱包)等;
一、从是否触网络来划分,加密钱包主要有两种形式:冷钱包和热钱包。
冷钱包:助记词或私钥不触网,在一个离线的设备中存储。交易通过扫码签名等方式进行。冷存储也被视为相对最安全的一种加密资产保管方式。冷钱包包括硬件钱包;
热钱包:助记词或私钥会触网,如果存储的设备被黑,有资产被盗风险。手机应用钱包、浏览器插件钱包大多是热钱包。
二、从私钥生成方式来划分,加密钱包主要有两种类型:确定性和非确定性,它们的区别在于是否相互关联。
非确定性钱包具有由随机数生成的私钥,并且这些私钥彼此不相关。确定性钱包具有由单个主私钥(称为种子,也可以称为助记词)生成的私钥。
在确定性钱包中,私钥是相互关联的,并且始终可以使用相同的种子进行复制。
三、从载体形式上来划分,加密钱包主要有桌面钱包、浏览器插件钱包、手机钱包、硬件钱包。
私钥是通过随机数发生器生成的,一般来说,这是一个256bits的数,私钥用来生成公钥和钱包地址,也用来对交易进行签名。
拥有了私钥就拥有了对这个钱包的所有权和支配权。所以,保护私钥对于加密钱包而言至关重要!
公钥是由私钥经过SECP256K1算法处理生成。SECP256K1是一种椭圆曲线算法,通过一个已知私钥时可以算得公钥,而公钥已知时却无法反向计算出私钥,这是保障区块链安全的算法基础。
公钥哈希和钱包地址可以通过互逆运算进行转换,所以它们是等价的,从某种意义上说,公钥可以理解为就是钱包地址。
助记词是明文私钥的另一种表现形式,最早是由 BIP39 提案提出,其目的是为了帮助用户记忆复杂的私钥 ( 64 位的哈希值)。
助记词一般由12、24个单词构成,这些单词都取自一个固定词库,其生成顺序也是按照一定算法而来。
私募是指以非公开发行方式向特定人群募集资金的一种行为,特定人群多是圈内的KOL和投资机构,但也可能是个人投资者。
在加密市场,部分获得项目私募额度的KOL会出售部分额度给散户,这种私募认购类似于ICO,风险极高,投资者需谨防骗局。
公募是指加密项目以公开发行方式向公众募集资金的一种行为,公募较私募最大的优点是会受到一定程度的监督,投资安全性较高。
ICO为Initial Coin Offering 的缩写,中文是首次代币发行。源自股票市场的首次公开发行(IPO)概念,是加密行业的一种特有行业术语。
ICO是指加密项目在正式上线前通过出售其发行的代币来筹集资金的行为,因为代币没有上线且缺乏监管,所以很多ICO背后都是诈骗项目,这些诈骗项目骗取了用户投资的资金后即跑路。
2017年9月4日下午3点,中国人民银行领衔网信办、工信部、工商总局、银监会、证监会和保监会等七部委发布《关于防范代币发行融资风险的公告》(以下简称公告),《公告》指出代币发行融资本质上是一种未经批准非法公开融资的行为,要求自公告发布之日起,各类代币发行融资活动立即停止,同时,已完成代币发行融资的组织和个人做出清退等安排。在受到监管后,ICO已经基本从加密市场消失。
IDO为Initial Dex Offering 的缩写,即首次去中心化交易平台发行。
项目方将项目代币上市委托给DEX交易平台,平台对项目进行严格审核之后,确定上市日期,大家可以通过DEX平台的任务活动获取对应的IDO项目方新代币的空投奖励。因为有DEX平台的背书,所以相较于ICO安全性有较大提升。
IEO为Initial Exchange Offering 的缩写,也被称作LaunchPad,中文是首次交易所发行。
加密项目首次发行代币通过加密中心化交易所来发行,由交易所帮忙出售代币,帮助项目方筹措资金。因为透过交易所发行需要审核,如果是诈骗的项目会先被交易所过滤,所以可信度较上面提到的ICO高,风险相对低很多。
IEO让符合条件的投资者在代币上市前用较便宜的价格买入,所以在上市后可以赚取不错的收益。
一级市场又称初级市场,是新发行的币种从发行者向投资者出售的市场。简单来说一级市场就是加密项目所发行的代币在未上交易所之前由发行者向投资者公募私募的阶段。
二级市场是指代币已在中心化交易所或DEX上线并可以自由交易的市场。
随着整个加密行业的蓬勃发展,许多黑客已经盯上盯上了这块“香饽饽”,大量黑客正在涌入加密行业,各类骗局、漏洞攻击、身份盗窃、数据勒索等安全事件频繁发生且有愈演愈烈之势。
此外,因区块链去中心化和匿名性等特征,监管难度较高,加密行业整体安全意识还较低,安全产品和服务还未能在大众中推广开来,许多加密用户和机构都遭遇过加密诈骗和黑客攻击,加密货币犯罪现在已成为亟需治理的事情。
总之,加密行业安全领域面临着诸多挑战。
1.使用冷钱包
与热钱包不同,冷钱包不连接互联网,因此不会受到网络攻击。私钥存储在冷钱包中可有效保护加密资产。
2.使用安全网络
在交易或进行加密交易时,仅使用安全的网络,避免使用公共 Wi-Fi 网络。
3. 资金分散到多个钱包中
鸡蛋不要放到同一个篮子中,这句话在金融领域和加密领域都十分受用。
将加密资产分发到不同的多个钱包中,这样可以在遭受攻击时,将损失降到最低。
4. 提高个人设备安全性
确保个人设备安装了最新的安全软件,以防御新发现的漏洞和网络攻击,并且开启防火墙来提高设备的安全性,以避免黑客通过设备系统安全漏洞来进行攻击。
5.设置强密码并定期更改
在谈论安全性时,我们不能低估强密码的重要性。很多人在多个设备、应用程序、社交媒体账户和加密钱包上使用相同的密码,这大幅增加了加密资产被盗的几率。
防止被盗需要钱包账户建立一个安全等级较高的强密码,这个强密码需要具有独特性,并养成定期更改的习惯。
此外,选择双重身份验证 (2FA) 或多重身份验证 (MFA) 可以提高安全性。
6. 谨防钓鱼攻击
通过恶意广告和电子邮件进行的网络钓鱼诈骗在加密货币世界中十分猖獗。在进行加密交易时要格外小心,避免点击任何可疑和未知链接。
区块链自问世以来,加密货币骗局频发并有愈演愈烈之势,区块链也无法为用户的资金提供足够的安全性。此外,加密货币可以匿名转移,从而导致加密行业的重大攻击盗窃事件频发。
下文将梳理剖析加密史上十大加密货币盗窃事件
1、Mt. Gox被盗事件
Mt. Gox被盗事件仍然是历史上最大的加密货币盗窃案,在2011年至2014年期间,有超过 85 万枚比特币被盗。
Mt. Gox声称导致损失的主要原因是源于比特币网络中的一个潜在漏洞——交易延展性,交易延展性是通过改变用于产生交易的数字签名来改变交易的唯一标识符的过程。
2011年9月,MtGox的账户私钥就已泄露,然而该公司并没有使用任何审计技术来发现漏洞并预防安全事件的发生。此外,由于 MtGox 定期重复使用已泄露私钥的比特币地址,导致被盗资金损失不断扩大,到2013年中,该交易所已被黑客盗取63万枚比特币。
许多交易所会同时使用冷钱包和热钱包来进行资产的存储和转移,一旦交易所的服务器被黑,黑客便可以盗取热钱包里面的加密资产。
2、Linode被盗事件
加密网络资产托管公司Linode主要业务就是托管比特币交易所和巨鲸的加密资产。
不幸的是,这些被托管的加密资产储存在热钱包中,更为不幸的是,Linode于2011年6月遭到黑客攻击。
这导致超过5万枚比特币被盗,Linode的客户损失惨重,其中,Bitcoinia、Bitcoin.cx以及Gavin Andresen分别损失43000枚、3000枚和5000枚比特币。
3、BitFloor被盗事件
2012 年 5 月,黑客攻击 BitFloor 并盗窃了2.4万枚比特币,这一切源于钱包密钥备份未加密,才使攻击者轻而易举获得了钱包密钥,并进而盗取了巨额加密资产。
被盗事件发生后,BitFloor 的创建者 Roman Shtylman 决定关闭交易所。
4、Bitfinex被盗事件
使用多重签名账户并不能完全杜绝安全事件的发生,Bitfinex接近12万枚巨额比特币资产被盗事件就证明了这一点。
2022年6月份,2000万枚OP代币就是因为不恰当使用多重签名账户而被盗。
5、Coincheck被盗事件
总部位于日本的 Coincheck 在 2018 年 1 月被盗价值 5.3 亿美元的 NEM ( XEM ) 代币。
Coincheck事后透露,由于当时的人员疏忽,黑客能够轻易访问他们的系统,且由于资金保存在热钱包中并且安全措施不足,黑客能够成功盗取巨额加密资产。
6、KuCoin被盗事件
KuCoin于2020年9月宣布,黑客盗取了其大量的以太坊 ( ETH)、BTC、莱特币 ( LTC )、Ripple ( XRP )、Stellar Lumens ( XLM )、Tron ( TRX ) 和 USDT等加密资产。
朝鲜黑客组织 Lazarus Group 被指控为KuCoin被盗事件的始作俑者。
这次被盗事件造成了2.75 亿美元的资金损失。幸运的是,该交易所收回了约2.7亿美元的被盗资产。
7、Poly Network被盗事件
Poly Network被盗事件是有史以来最严重的加密货币盗窃案之一。
2021 年 8 月,一位被称为“白帽先生”的黑客利用了 DeFi 平台 Poly Network 网络中的一个漏洞,成功窃取了Poly Network上价值约 6 亿美元的加密资产。
Poly Network被盗事件蹊跷的是,自被盗事件发生后,“白帽先生”不仅与Poly Network官方保持公开对话,而且还于一周后归还了所有被盗的加密资产。“白帽先生”因此获得50万美元的奖金,并获得了成为 Poly Network 高级安全官的工作机会。
8、Cream Finance被盗事件
2021 年 10 月,Cream Finance发生安全事件,被黑客盗取价值1.3 亿美元的加密资产。
这是 Cream Finance 今年发生的第三起加密货币盗取事件,黑客在 2021 年 2 月盗取了 3700 万美元的加密资产,在 2021年 8 月盗取了 1900 万美元的加密资产。
本次被盗事件是通过闪电贷攻击的方式完成的,攻击者使用 MakerDAO 的 DAI 生成大量 yUSD 代币,同时还利用 yUSD 价格预言机来完成闪电贷攻击。
9、BadgerDAO被盗事件
2021 年 12 月,一名黑客成功从DeFi 项目 BadgerDAO 上的多个加密货币钱包中窃取资产。
该事件与通过Cloudflare将恶意脚本注入网站用户界面时的网络钓鱼有关。黑客利用应用程序编程接口 (API) 密钥窃取了 1.3 亿美元的资金。API 密钥是在 Badger 工程师不知情或未经许可的情况下创建的,用于定期将恶意代码注入其一小部分客户端。
然而,由于黑客未能及时从Badger提取资金,因此大约 900 万美元加密资产得以追回。
10、Bitmart被盗事件
2021年12 月,Bitmart的热钱包遭到黑客攻击,约2亿美元加密资产被盗。
SAFEIS研究发现,约1 亿美元的加密资产是通过以太坊网络盗取转移的,另外接近1亿美元是通过币安智能链网络盗取转移的。
此次被盗事件涉及20多种代币,包括比特币等主流币,和相当数量的山寨币等。
庄家通常是指某个项目的控盘方,可以操纵市场价格。比较大的项目里会有许多庄家,因为他们持仓量大,除了拥有大量的该项目加密货币,还会有其他的加密货币做对手盘。
韭菜指加密市场的普通散户,庄家往往会引诱散户买卖加密货币或投资加密项目,进而通过各种套路从中牟利而致使散户损失资金,这种忽悠韭菜的行为即称为“割韭菜”。
这类骗局套路,或是需要购买矿机,或是需要购买额度的,通过推广拉人头、三级分销等模式来引诱更多的人进场。
只有少部分早期参与的人可能会有收益,后面进来的人都是待割的“韭菜”。
这类盘子生命周期都比较短,一旦出现增长乏力的情况,“虚伪共识”随时都可能崩塌,韭菜盘也就到了该收割的时间点。
“养猪”就是特指骗子假以网络交友,当感情到位后,就会“杀猪取食”。
这个“完美异性”会以某种理由或者噱头鼓动受害人投资虚拟货币, 或是让受害人把虚拟币投资到他们自搭的小平台,或是利用受害人对虚拟货币不了解,利用各种方式获得受害人账号信息或者钱包密钥,进而达到盗取受害人虚拟货币的目的。
从数据上看,这类案件绝大部分受害者都是女性,特征表现为经济独立、长期单身、感情空虚、教育背景良好等,女性需要格外警惕此类骗局。
互助盘是由资金盘演变过来的一种新模式,根本上都是庞氏骗局。“互助盘”是“虚拟币+金融”最早期的模式,指的是运用直销倍增原理,以滚动或静态的资金流通形式,拆东墙补西墙,用后加入会员的钱支付给前面会员的网络传销形式,本质是金字塔式传销诈骗。
这类骗局极具隐蔽性、欺骗性和社会危害性。“互助盘”的特点是不限额,无门槛,想进就进,容易出假单,平台存在很大暗箱操作的可能。这种诈骗方式已经存世良久,盘子数目庞大、受害人及被诈骗资金总量数字相当恐怖。
近几年,互助盘打着“虚拟货币”、“数字加密通用积分”之类的幌子,利用区块链这一载体进行演变发展,隐匿性高、蔓延迅速、监管困难、追踪查控难度高。
“Rug Pull”翻译过来的表意为「抽地毯」,是一种常见的加密骗局,往往发生于DeFi领域,通常是指加密行业项目方突然放弃某一个项目或撤出流动性池子,卷走用户投资资金的诈骗行为,通俗地讲就是卷款跑路。
“Rug Pull”的常见类型如下:
1、窃取流动性
这种类型的“Rug Pull”通常发生在DeFi领域,项目方会把流动性池子里的所有加密货币抛售或转移,这种项目往往没有进行严格的代码审计,代码中隐藏了恶意设置的漏洞,通过这样的方式项目方便可以轻松窃取流动性池子里的所有加密货币。
一旦发生此类“Rug Pull”,项目方发行的代币价格也会极速下跌,直至归零。
2、直接卷款跑路
这种类型的“Rug Pull”通常发生在中心化交易所等领域,这类项目通常是中心化的,也没有流动性功能,甚至没有发行代币,但掌握着巨额用户资产,因为中心化的种种缺陷,导致中心化的项目方能几乎不受限制地转移用户资产。
建立时间较短、注册信息虚假的中心化项目发生此类“Rug Pull”的风险极高。
3、控制卖盘
控制卖盘是指项目开发人员在编写代码时对卖盘进行限定,只有项目方的卖单能够出售,当用户购买其推出的加密代币并不断推高代币价格时,诈骗者会评估收益,一旦符合预期,就会抛售其发行的代币,用户只能无助地看着持有的代币最终变为一堆毫无价值的数字。
这种诈骗方式很巧妙但难以持久。
4、抛售代币
此类“Rug Pull”诈骗者的操作套路是,会先广泛推广该项目,目的就是通过提升项目热度来吸引用户购买代币,随着项目热度持续高涨以及代币价格的不断走高,诈骗者会迅速大量抛售其发行的代币,代币价格随之极速下跌,诈骗者会把其发行的代币转换为稳定币或主流价值币种,而用户往往没有时间反应来出售持有的代币,最终蒙受巨大损失。
此类“Rug Pull”项目没有流动性功能,这是和“窃取流动性”类型的“Rug Pull”最大的区别。
延伸阅读:《SAFEIS安全报告:深度剖析加密行业的Rug Pull骗局及防骗指南》
1、检测项目方信息是否公开
加密项目背后的核心人员信息是投资者需要重点关注的,项目方信息未公开虽然更为符合去中心化的特点,但是里面必然会掺杂大量恶意项目,当前加密行业优质项目的核心人员信息都是公开的。
投资者应该对未公开信息的项目抱有质疑态度,要通过项目官网、社交媒体账户、社区热度质量以及白皮书等信息,来判断项目方信息未公开是践行去中心化,还是毫无名气,更或是带有恶意目的的故意隐匿。
总之,项目方信息未公开的项目极具风险性,对投资者而言应该是一个值得警惕的危险信号。
2、检测流动性池是否被锁定
识别大部分“Rug Pull”骗局最简单也十分有效的方式是检查流动性池是否被锁定,流动性池锁定的项目安全性较高,有权威第三方参与的锁定流动性池的项目安全性更高,而流动性池未锁定的项目极为危险,因为项目方可以轻而易举地窃取流动性池子里的所有加密货币。
投资者还应检查流动性池被锁定的比例,锁定的比例和项目安全性成正比,一般而言,锁定的比例应该在80%到100%之间,此外,锁定的时间也是很重要的指标,流动性池应当受基于时间函数的限制,这意味着没有人可以在时间限制范围内移动池子里的加密货币。
值得一提的是,流动性池锁定机制由UNISWAP创立。
3、检测代码是否已进行外部审计
正规且高质量的项目都会由信誉良好的第三方机构进行代码审计,外部审计对于去中心化的加密项目格外重要,如果一个项目始终没有进行代码外部审计,这个项目就有很多潜在性的风险。
投资者应该多方验证项目外部审计结果,并只认可权威第三方出具的代码审计报告,代码中没有发现任何恶意的项目才值得考虑投资与否。
4、检测卖盘是否被控制
卖盘控制是通过恶意代码实现的,这种方式较为隐秘,投资者可以通过小额购买代币然后出售的方式来进行测试,如果无法出售,该项目就可判定为骗局。
5、新代币异常暴涨需要格外警惕
一个不入流的新项目代币在没有重大利好情况下,突然异动暴涨,往往就是利用散户普遍的“追涨杀跌”心态吸引散户入局,而代币价格拉高之后就是大量抛售,也就是常说的“割韭菜”。
投资者可以通过区块浏览器来检查代币持有者的数量,数量过少的代币价格容易被操纵,骗局的可能性极大。
6、可疑的高收益
“Rug Pull”骗局很多时候就是庞氏骗局,这类骗局就是通过极具诱人的高收益来诱骗投资者,进而欺诈投资者投入的本金,也可以说,收益越高,风险就越大,投资者应该始终保持清醒的头脑,进而做出明智的判断。
1、炒作骗局
当看到某个NFT在很多渠道被大力宣传时,就要格外小心了,过度推销往往暗藏杀机,好的项目自然会被用户主动推广,但是其中不乏很多项目是不怀好意的恶意炒作。
2、虚假网站
虚假网站通过伪造真实网站来达到以假乱真的效果,通过假冒项目方来进行诈骗,诈骗的方式很多,但最终往往都会要求用户提供钱包凭证,该类网站或许看起来是真实的,页面也很精致,但如果他们要求用户提供钱包凭证,这一定是诈骗网站,请保持足够高的安全意识。
3、采用拍卖方式出售NFT风险
在出售 NFT时,尤其是在一些非头部或新的NFT交易平台操作时,需要格外留意支付货币的选择。
有些交易平台不够完善,在采用拍卖方式出售NFT时,参与拍卖的人可能会利用发起拍卖人设置上缺陷或者平台漏洞,使用低价值的加密货币购买NFT,从而给发起拍卖方带来潜在的损失。
4、虚假NFT空投
NFT空投确实存在,但根本不常见,尤其是不明来历的空投风险更高。
骗子往往会向大量钱包地址空投NFT,并通过左手倒右手的方式使NFT的地板价看起来很诱人,当用户收到这类不明来历的NFT时,如果没有进行真伪验证,就急于出售变现,就会落入诈骗者的圈套。
用户在出售时,会进行钱包授权交互等操作,而这个过程中,诈骗者就可以获取用户的钱包过度授权或者钱包凭证,进而转移高价值的NFT等资产,用户就可能蒙受巨大损失。
5、冒充官方客服
冒充项目官方客户是另一个常见的骗局,这种骗局自古就有,只不过每个时代或领域,都有各自的特点和特殊传播渠道,这类骗局的高发渠道以Discord,推特,电报和邮件为主。
延伸阅读:《必须十分警惕的五大NFT骗局!》
PDF恶意文件骗局是指骗子将嵌入了病毒的文件伪装为正常的PDF文件进行行骗。
这类骗局的套路通常如下:
1、骗子行骗第一步
诈骗者会在行骗前准备好嵌入病毒的文件,并修改了文件名且末尾添加了. PDF的后缀,然后将文件的图标改为PDF图标。
这样就把一个嵌入病毒的文件伪装为看似正常的PDF文件。
2、骗子行骗第二步
诈骗者会寻求诈骗目标,以近期真实案例为例,诈骗者联系了一个艺术家,并委托了一个关于艺术创作的任务,随后,该艺术家就收到一个关于任务需求的压缩文件,里面有客户需求文档、事例以及草图等PDF文件。
这些PDF其实是恶意SCR文件,是一个可执行的脚本文件。
3、骗子行骗第三步
当该艺术家打开文档,查看客户需求的时候,看似正常的文件却让一切变得很糟糕。
他钱包里的所有的NFT都被列出并出售,所有的ETH等加密货币都被转移到骗子的钱包中。
艺术家并不是这个骗局的唯一目标。最近,很多Web3用户都因为这个骗局,失去了对自己的钱包账户的控制权,损失了钱包里的所有NFT和加密货币等资产。
延伸阅读:SAFEIS风险警示:PDF恶意文件骗局已经侵入Web3
1、入侵Twitter认证账户并发布加密骗局信息
诈骗者通过技术手段入侵某些名人的Twitter认证账号,在掌控了账户权限之后会发布加密诈骗信息,这类骗局对用户而言极难辨别真假,受骗几率很高。
2020年7月,Twitter遭受了大规模黑客攻击,攻击者成功入侵了至少130个Twitter账户,其中包括拜登、奥巴马、比尔·盖茨、马斯克以及杰夫·贝佐斯等知名人士的Twitter账号,攻击者利用这些账号发布“赠送”比特币的诈骗信息,总计骗取了13.14个(当时价值约为11.8万美元)比特币,受骗用户数量达到300人之多。
2022年7月,英国陆军的Twitter和Facebook账户被黑,并被攻击者用来宣传加密货币骗局。
2、“高仿”Twitter认证账户行骗
诈骗者往往通过高度仿冒名人Twitter账户来行骗,为了达到以假乱真的效果,诈骗者还会刷粉丝数量以及对推文内容专门刷赞、转发和评论。
2022年3月,一名冒充马斯克的Twitter骗子从一名德国男子处骗取了10枚比特币,当时价值约56万美元。
3、钓鱼攻击骗局
诈骗者会使用类似UNICODE编码的字母虚构URL地址,将钓鱼网站URL地址做的和真实加密项目官网几乎一样,通过Twitter账号发布诈骗信息,诱导用户进入钓鱼网站骗取加密货币。
一起针对「NFT抽奖工具」Premint项目的骗局中,诈骗者就使用类似UNICODE编码的字母虚构了URL地址,与真实URL地址唯一不同的是将字母 "i "改为非英语字母的类似字符。
点击链接进入该钓鱼网站后,可以看到网站界面和Premint官网别无二致,用户只要点击 "登录注册 "按钮链接钱包,钓鱼网站就会根据钱包中的NFT藏品总价值和钱包余额给用户发送一个Seaport签名,只要用户确认签名授权,钱包中的所有NFT和加密货币都会被立即窃取。
4、蜜罐账户骗局
这类骗局通常是通过私信的方式将诈骗信息大批量发送给Twitter用户,诈骗信息中会向用户许以某种好处,进而诱导用户向诈骗者加密钱包地址进行转账,一旦转账,机器人都会立即将用户钱包里的加密货币转移走。
一名Twitter用户曾受到一条诈骗私信,私信内容是这样说的:“嗨,我是一名学生,我收到了6800个USDT(trx20),但是我不知道怎么把USDT换成美元。您能教教我怎么使用Trust钱包吗?我可以支付你300USDT酬劳。”诈骗者或许认为这样的方式还不足以打动收到消息的Twitter用户,于是,诈骗者在私信的后半部分将钱包的私钥和12个助记词都写了上去,一旦用户出于善念或贪婪的心理向该钱包地址转手续费,用户加密钱包里面的资金便会被立即转移走。
5、恶意PDF文件骗局
近期,恶意PDF文件骗局事件频繁发生,其中多数是针对艺术家、加密社区大V以及一些加密项目。Twitter等社交媒体是这一骗局传播的重要渠道。
SAFEIS在之前推文《安全风险警示:Web3新骗局正在侵吞用户钱包资产!》中,详细讲述了此类骗局的套路:通过委托受骗者一个付费需求,然后将需求文档发送给受骗者,而这个需求文档其实是事先准备好的伪装为PDF文件的恶意SCR文件(可执行的脚本文件),一旦受骗者点击打开这个文件,受骗者加密钱包中的所有NFT和加密资金都会被盗取。
SAFEIS在之前推文《安全风险警示:Web3新骗局正在侵吞用户钱包资产!》中,详尽地阐述了“如何检测PDF文件是否含有病毒”以及“如何防范此类骗局”。检测方式主要是借助腾讯哈勃分析系统、VirusTotal以及福昕PDF365这三个工具;此类骗局的防范措施主要有五条:及时更新PDF阅读器和系统、禁用JavaScript、使用虚拟机、避免点击不明来历的邮件、使用浏览器的内置 PDF 阅读器。
6、帮找回加密货币的骗局
诈骗者会在Twitter上找寻加密社区受骗者,试图将诈骗目标对象对准已经被骗的人,并通过私信或评论回复的方式建立联系,声称可以通过技术手段找回被盗的加密货币,但前提是需要一些费用来部署智能合约,受骗者如果已经丧失了辨别骗局的能力,一心只想找回之前损失的加密货币,那必然会再次受骗。所以加密用户要始终警惕各类骗局。
延伸阅读:《Twitter加密骗局十分猖獗,连马斯克、拜登的账户都被盗过》
当前,TG上各类骗局事件频繁,主要有以下五种常见骗局。
1、假冒的Telegram频道
此类诈骗者通常会创建热门项目的“山寨”版TG频道,这些频道和真实频道看起来有相似的名字和头像,并且管理员的用户名也几乎雷同,诈骗者往往会在假冒的TG频道中发送预售代币计划、快速致富计划或免费奖品等信息,以此来骗取用户资金或身份信息。
2、“加密专家”骗局
诈骗者往往在TG上直接给用户发送私信,打着“加密投资高回报”、“保证承诺”的幌子,并且要求用户在其“特殊”加密货币交易所开设一个账户,一旦用户上当入金到该账户,账户和诈骗者就都会消失。
3、TG机器人攻击
TG的独特之处之一是它能够在平台上构建和使用机器人,TG机器人使用自然语言处理和人工智能 (AI) 进行现实对话,这使得用户很难判断真假,在这个骗局的最新版本中,黑客使用名SMSRanger 的机器人冒充银行的代表,一旦黑客输入TG用户的电话号码,该机器人就会打电话并试图说服用户透露个人和账户信息。
更为惊人的是,任何人都可以利用这些机器人进行诈骗,而使用这些机器人月费只需 300 美元。
4、加密赠品骗局
诈骗者在TG上发送免费奖品、抽奖和赠品的信息来诱骗用户,领取奖品需要提供银行信息、个人数据并支付费用。
5、黑客控制用户TG账户
黑客在控制了用户TG账户后,会扫描聊天信息数据,一旦发现助记词或私钥等信息,就会立即控制该钱包并转移其中的资金,此外,还会根据用户聊天内容生成关系图谱,并拉一个一模一样的群,进而在群里对用户的好友进行诈骗。
除了以上以及几种常见典型骗局以外,TG上还出现了搬砖套利骗局、TG浪漫骗局等形式,共有十多种之多。
延伸阅读:
《SAFEIS:电报已成骗局高发区,圈内大V也未能幸免,损失惨重》
《Telegram诈骗频发 东南亚30万骗子的再就业》
1、对所有链接提高警惕,即使这些链接是由您的亲朋好友发送的;
2、对于所有涉及到交易的信息,务必要多渠道验证信息的真实性;
3、切勿向任何人透露个人信息、钱包信息、银行信息等;
4、创建一个强密码,以防止诈骗者轻易侵入账户,并且各平台密码保持一定差异性,此外,还需要添加两步验证 (2FA);
5、对TG账户进行隐私设置。创建TG账户后,立即打开端到端加密;
6、定期检查登录设备IP,如果出现不是常用地址的ip登录账户,就要提高警惕;
7、对TG账户的邀请设置进行升级,调整为只有好友才能拉您进群;
8、保持设备安全功能的开启,比如防火墙、杀毒软件等。
所谓51%攻击,也称为“51% Attack”,是指某个人或某组织掌握了全网51%以上的算力之后,就可以抢先完成一个更长的,伪造交易的链条,比特币只认最长的链,所以伪造的交易也会得到所有节点的认可。
这对整个区块链网络而言是灾难性的,黑客可以修改交易的顺序并阻止它们被确认,甚至可以撤销之前完成的交易。
比特币黄金BTG就曾遭受51%算力攻击,黑客曾短暂控制了BTG区块链网络,进而通过“双花攻击”的方式,不断地在交易所发起交易和撤销交易,最终,黑客获利逾38万个BTG。
目前比特币的全网算力极为庞大,要想成功发起51%攻击需要花费的成本估计超过150亿元,这几乎是不可逾越的鸿沟。区块链网络越庞大,遭受51%攻击的可能性越小。
“双花攻击”(double spend attack)又叫“双重消费攻击”。是指一笔资金花了两次或者多次,攻击者通过不停发起和撤销交易,将一定数额的代币反复在账号之间转账实现获利。
通常,有五种方式可以实现双花攻击:
1、51%攻击
这种攻击是通过控制网络算力实现双花。如果攻击者控制了网络中50%以上的算力,那么在控制算力的这段时间,攻击者可以将区块逆转,进行反向交易,实现双花。
2、芬尼攻击(Finney attack)
芬尼攻击主要通过控制区块的广播时间来实现双花,攻击对象针对的是接受0确认的商家。
3、种族攻击 (Race attack)
这种方式主要通过控制矿工费来实现双花。
比如,攻击者把一定数量的token发给一个商家,我们命名为分支A。如果商家接受0确认,那么攻击者就会再把这笔token发给自己的一个钱包,我们命名为分支B。攻击者会对分支B这笔交易支付更高的矿工费,一旦分支B的这笔交易较分支A的交易先确认,分支A的交易就会被回滚。通俗地讲,就是攻击者通过双花攻击,原钱包里的token仍然在,新钱包里也平添了一笔token。
4、Vector76攻击
Vector76攻击,是种族攻击和芬尼攻击的组合,又称“一次确认攻击”,也就是交易即便有了一次确认,交易仍然可以回滚。如果电子钱包满足以下几点,Vector76攻击就容易发生。这几点即钱包接受一次确认就支付;钱包接受其它节点的直接连接;钱包使用静态IP地址的节点。
5、替代历史攻击(Alternative history attack)
如果商家在等待交易确认,alternative history attack就有机会发生,当然,这需要攻击者有较高的算力,对于攻击者来说,会有浪费大量电力的风险。
网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,攻击者进行网络钓鱼攻击的目标是窃取用户的账户凭证(密码、私钥等),最终盗取用户资产。
网络钓鱼的诈骗信息通常是由邮件、Telegram、Twitter、Discord等媒介渠道进行传播。
土狗项目是指疯狂蹭热点概念,没有审计和背书、没有资本加持、项目也不知名、团队背景一般、项目代币没有实力上线主流中心化交易所,只能在一些DEX上进行交易的新加密项目。
当前,发币成本极低且只需几步操作,骗子利用一些用户不了解虚拟货币或是 {MOD}的心态,通过蹭热点等炒作方式,吸引投资者投资,最终“Rug pulls”(捐款跑路),代币一泻千里,基本归零,成为空气币。
1、区块链隐私工具
犯罪分子经常使用区块链隐私工具来掩盖他们的踪迹,然后再将资金转移到合法企业或主要加密货币交易所。之前,市场占有率最高的隐私工具是混币器Tornado,但因为美国监管问题,已经一落千丈。
2、暗网交易所
犯罪分子可以利用暗网交易所,把相应的加密资产反复多次操作,最终安全地将其转移到外部加密货币钱包,而无需使用混币服务。
3、 {MOD}和游戏网站
洗钱者使用加密货币在一些 {MOD}和游戏网站上购买虚拟筹码等,并在网站上进行几次交易后兑现。一旦从这些网站提现成功,这些资金便成功被洗白。
4、交易所嵌套服务
一些交易所对嵌套服务采取十分宽松的规则,犯罪分子将利用这些服务洗钱。
5、利用私募/公募隐匿资产
犯罪分子通过参与项目私募/公募也可以达到隐匿资产的目的。这样基本达到和混币器基本一致的隐匿效果,但这种方法有一定局限性,比如,完全变现的周期会比较长、资金投资风险较高。
6、正常公司
当比特币或其他加密货币成功被洗出后,虽然这笔钱不再与犯罪有直接关联,但犯罪分子仍然需要一种方法来解释这笔钱的合法来源。
犯罪分子往往会创建一家看似正常合法的公司,或者通过第三方类似公司来证明收入的合理性。
延伸阅读:《SAFEIS深度剖析:加密货币成为犯罪分子洗钱的首选方式》
比特币对洗钱者来说是一个有吸引力的选择。
主要是因为使用加密货币洗钱比其他方法更容易,隐匿性更高,监管困难和追溯技术门槛较高,作为加密货币的创世币种,比特币相较于其他加密货币的安全性和去中心化程度更高。
此外,利用比特币等加密货币洗钱时,链上转账是“无国界”的,只需要输入正确的币链一致的地址即可完成转账。相较于传统跨境转账方式上,不论是在时效性、成本、额度、跨境监管等方面,都具有巨大的优势。
中本聪是比特币的开发者兼创始者。2008年11月1日中本聪发表了比特币白皮书,并于2009年1月3日首次挖出比特币,谁能动用创世区块里的比特币谁便是中本聪本人,所以谁是中本聪呢?历史上出现过很多个“中本聪”:
2013年,有人爆料在数学领域有过卓越贡献的望月新一就是中本聪,但是并没有提出直接证据。
2014年,黑客黑进了中本聪用过的邮箱,并找到了邮件的主人多利安•中本(Dorian Nakamoto),随后多利安表示自己只是偶然获取了邮箱的地址和密码,并不是中本聪。
2016年,克雷格•赖特(CraigWright)表示他是中本聪,且能提供中本聪的私钥。但随后,赖特因为无法面对大家的质疑而撤回自己的声明。
中本聪的比特币白皮书最早发布于“密码朋克”。狭义地说,“密码朋克”是一套加密的电子邮件系统。
1992年,英特尔的高级科学家Tim May发起了密码朋克邮件列表组织。1993年,埃里克•休斯写了一本书,叫《密码朋克宣言》。这也是“密码朋克”(cypherpunk)一词首次出现。
“密码朋克”用户约1400人,讨论的话题包括数学、加密技术、计算机技术、政治和哲学,也包括私人问题。早期的成员有非常多IT精英,比如“维基解密”的创始人阿桑奇、BT下载的作者布拉姆•科恩、万维网发明者Tim-Berners Lee爵士、提出了智能合约概念的尼克萨博、Facebook的创始人之一肖恩•帕克。当然,还包括比特币的发明人中本聪。
据统计,比特币诞生之前,密码朋克的成员讨论、发明过失败的数字货币和支付系统多达数10个。
“Web3”一词由以太坊联合创始人/波卡创始人 Gavin Wood 在 2014 年提出。
至今,Web3还没有一个公认的定义,但可以明确的是,互联网的迭代往往伴随着技术创新、信息生产关系的改变,新一代革新的驱动力基于解决上一代的突出矛盾的诉求。基于此,Web3致力打造一个基于区块链技术、数据共享、用户主导、用户共建、成果共享、去中心化的网络生态,意在解决Web2.0带来的生态不平衡、发展不透明等问题。
Web3(也称为 Web 3.0)是万维网迭代的新一代概念名称,底层支撑由区块链(技术层)和以分布式存储(数据层)组成。
元宇宙(Metaverse)是利用科技手段进行链接与创造的,与现实世界映射与交互的虚拟世界,具备新型社会体系的数字生活空间。
元宇宙一词诞生于1992年的科幻小说《雪崩》,小说描绘了一个庞大的虚拟现实世界,在这里,人们用数字化身来控制,并相互竞争以提高自己的地位,到如今看来,描述的还是超前的未来世界。
“元宇宙”这个词更多只是一个商业符号,它本身并没有什么新的技术,而是集成了一大批现有技术,包括5G、云计算、人工智能、虚拟现实、区块链、数字货币、物联网、人机交互等。
NO.88 什么是域名?
加密领域的域名特指区块链中的命名系统,是一种非同质化代币性质的NFT,主要用于简化加密钱包地址,加密域名是去中心化的、匿名的、安全的,可以作为加密资产,是WEB3的基础设施。
加密域名最具代表性的项目是ENS域名。
KYC是“know your customer”的缩写,是指验证用户身份的过程。银行、信托、保险等金融机构在为客户提供服务时,对账户的实际持有人和实际收益人进行审查,以确认客户身份是否符合监管要求。
在加密领域,中心化的项目基本都会要求用户进行KYC,部分去中心化项目在特定活动时也会要求用户进行KYC。
OTC是Over-the-counter 的缩写,一般指场外交易市场,在加密市场,特指法币交易,即使用人民币等法币购买加密货币或将加密货币兑换为法币的过程。
当前,法币交易主要存在于中心化交易所,比如币安交易所,火币交易所已于2021年末关闭OTC以及清退大陆用户。
此外,私下交易的情况也十分普遍,有些是朋友间的交易,有些是群友之间担保交易,有些就是由中间人撮合的交易。
搬砖套利是指跨平台赚取其中差价,比如去中心交易所Uniswap上的某个币价格和中心化交易所币安有差异,就可以在价格低的平台买入该币种,然后转入价格高的平台出售,这个过程就叫搬砖套利。
Degen为degenerate(堕落者)的缩写,意为「DeFi 赌徒、老手」。常用来形容不考虑DeFi 协议安全审计的情况下,抢先投入资金,并在热度下降、泡沫破裂前离场,提取流动性、将代币抛售给下家新手,类似泡沫逐利高手的概念。
Degen有时不仅是指精明的 DeFi 老手,连很会开发各种玩法的开发者也会被称作Degen。
空投,即Airdrop,是指为了激励早期贡献者,践行WEB3精神,加密项目在上线发币时,将一定数量的代币分配早期贡献者的一种行为。
迄今为止,引爆加密社区热门空投主要有Uniswap、DYDX、ENS等。
加密市场的锁仓与传统金融的锁仓概念存在明显差异,加密市场的锁仓通常是指通过某些平台将加密货币进行一定时间的锁定,与传统金融领取的定期存款较为类似。
多数情况下,锁仓是为了赚取一定收益,锁仓期选择众多,可长可短,但相应的年化收益率也会不同。
加密市场里的流动性(Liquidity)是指加密项目满足用户正常交易、提取资金、到期支付债务和借款人正常贷款的能力。
流动性的高低直接影响着应用的总锁仓量(TVL)、资金供应量以及交易滑点。流动性增加可以有效降低交易滑点,并提升应用的竞争力,从而吸引更多用户加入。
流动性池是指锁定在智能合约中的资金总和。这些流动性池是去中心化交易平台(DEX)的重要组成部分,最早采用流动性池的加密项目是Bancor,但真正让它流行起来的是Uniswap。
流动性挖矿是指用户为平台提供流动性(通常是指质押两个代币组合成的交易对,也有的平台只需要质押单个代币即可),最终获得平台发送的质押奖励的行为。
流动性的增减和平台相应交易对交易深度以及可借贷资金金额息息相关。
MINT就是铸造的意思,通常是指把数字资产存放并记录在区块链上(基本上都是在以太坊上),这一名词多用于NFT领域。
简单来说,更新加密货币协议或代码称为分叉。分叉意味着区块链分为两个分支。当网络的参与者无法就共识算法和验证交易的新规则达成一致时,就会发生这种情况。
分叉分为三种类型:硬分叉、软分叉、意外分叉。
硬分叉是指区块链发生永久性分歧,在新共识机制发布后,部分没有升级的节点拒绝验证已升级的节点产生的区块,两方各自延续自己认为正确的链,最终分叉成两条链。
2016年,黑客利用代码漏洞攻击以太坊,为了避免投资者的资产被转移,以太坊直接选择了硬分叉,分叉后形成了两条链,一条为原以太坊经典(ETC),一条为新的分叉链以太坊,各自代表不同的社区共识。
软分叉是指区块链的交易数据结构发生改变的时候,旧节点忽略此种改变,可以接受和验证新节点产出的区块,即软分叉之后不会产生两条链。
硬分叉和软分叉统称为有意分叉,而有意分叉之外,还有一种分叉——意外分叉。当两个或以上的矿工在几乎相同的时间成功挖到区块,便会出现意外分叉。 此时,矿工便会分别在两条分叉上各自挖矿,直至其中一条分叉比其他分叉更长(这代表矿工对采纳哪一个分叉已达成共识)。
安士百科的推出,将全面服务于行业知识普及、内容检索和业务能力水平提升等多个方面,使全行业受益。
SAFEIS,Make Trustless-让信赖无需信赖!
延伸阅读:《安士百科|区块链知识问答精选,一文入门区块链(上篇)》
最多设置5个标签!
NO.51 什么是加密钱包?
加密钱包本质上是一个用于存储和管理加密资金、账户私钥、跟踪代币余额并签署交易的DAPP。
一个加密钱包是由很多零部件组成的,通常包括:钱包账号、公钥地址(账户)、区块链网络、基础代币、合约代币、发送/接收、交易、应用等。
目前,常见的加密钱包包括Meta Mask(小狐狸)、TokenPocket(TP钱包)、imToken(im钱包)等;
NO.52 加密钱包都有哪些类型?一、从是否触网络来划分,加密钱包主要有两种形式:冷钱包和热钱包。
冷钱包:助记词或私钥不触网,在一个离线的设备中存储。交易通过扫码签名等方式进行。冷存储也被视为相对最安全的一种加密资产保管方式。冷钱包包括硬件钱包;
热钱包:助记词或私钥会触网,如果存储的设备被黑,有资产被盗风险。手机应用钱包、浏览器插件钱包大多是热钱包。
二、从私钥生成方式来划分,加密钱包主要有两种类型:确定性和非确定性,它们的区别在于是否相互关联。
非确定性钱包具有由随机数生成的私钥,并且这些私钥彼此不相关。确定性钱包具有由单个主私钥(称为种子,也可以称为助记词)生成的私钥。
在确定性钱包中,私钥是相互关联的,并且始终可以使用相同的种子进行复制。
三、从载体形式上来划分,加密钱包主要有桌面钱包、浏览器插件钱包、手机钱包、硬件钱包。
NO.53 什么是私钥?私钥是通过随机数发生器生成的,一般来说,这是一个256bits的数,私钥用来生成公钥和钱包地址,也用来对交易进行签名。
拥有了私钥就拥有了对这个钱包的所有权和支配权。所以,保护私钥对于加密钱包而言至关重要!
NO.54 什么是公钥?公钥是由私钥经过SECP256K1算法处理生成。SECP256K1是一种椭圆曲线算法,通过一个已知私钥时可以算得公钥,而公钥已知时却无法反向计算出私钥,这是保障区块链安全的算法基础。
公钥哈希和钱包地址可以通过互逆运算进行转换,所以它们是等价的,从某种意义上说,公钥可以理解为就是钱包地址。
NO.55 什么是助记词?助记词是明文私钥的另一种表现形式,最早是由 BIP39 提案提出,其目的是为了帮助用户记忆复杂的私钥 ( 64 位的哈希值)。
助记词一般由12、24个单词构成,这些单词都取自一个固定词库,其生成顺序也是按照一定算法而来。
NO.56 什么是私募?私募是指以非公开发行方式向特定人群募集资金的一种行为,特定人群多是圈内的KOL和投资机构,但也可能是个人投资者。
在加密市场,部分获得项目私募额度的KOL会出售部分额度给散户,这种私募认购类似于ICO,风险极高,投资者需谨防骗局。
NO.57 什么是公募?公募是指加密项目以公开发行方式向公众募集资金的一种行为,公募较私募最大的优点是会受到一定程度的监督,投资安全性较高。
NO.58 什么是ICO?ICO为Initial Coin Offering 的缩写,中文是首次代币发行。源自股票市场的首次公开发行(IPO)概念,是加密行业的一种特有行业术语。
ICO是指加密项目在正式上线前通过出售其发行的代币来筹集资金的行为,因为代币没有上线且缺乏监管,所以很多ICO背后都是诈骗项目,这些诈骗项目骗取了用户投资的资金后即跑路。
2017年9月4日下午3点,中国人民银行领衔网信办、工信部、工商总局、银监会、证监会和保监会等七部委发布《关于防范代币发行融资风险的公告》(以下简称公告),《公告》指出代币发行融资本质上是一种未经批准非法公开融资的行为,要求自公告发布之日起,各类代币发行融资活动立即停止,同时,已完成代币发行融资的组织和个人做出清退等安排。在受到监管后,ICO已经基本从加密市场消失。
NO.59 什么是IDO?IDO为Initial Dex Offering 的缩写,即首次去中心化交易平台发行。
项目方将项目代币上市委托给DEX交易平台,平台对项目进行严格审核之后,确定上市日期,大家可以通过DEX平台的任务活动获取对应的IDO项目方新代币的空投奖励。因为有DEX平台的背书,所以相较于ICO安全性有较大提升。
NO.60 什么是IEO?IEO为Initial Exchange Offering 的缩写,也被称作LaunchPad,中文是首次交易所发行。
加密项目首次发行代币通过加密中心化交易所来发行,由交易所帮忙出售代币,帮助项目方筹措资金。因为透过交易所发行需要审核,如果是诈骗的项目会先被交易所过滤,所以可信度较上面提到的ICO高,风险相对低很多。
IEO让符合条件的投资者在代币上市前用较便宜的价格买入,所以在上市后可以赚取不错的收益。
NO.61 什么是一级市场?一级市场又称初级市场,是新发行的币种从发行者向投资者出售的市场。简单来说一级市场就是加密项目所发行的代币在未上交易所之前由发行者向投资者公募私募的阶段。
NO.62 什么是二级市场?二级市场是指代币已在中心化交易所或DEX上线并可以自由交易的市场。
NO.63 加密行业安全环境如何?随着整个加密行业的蓬勃发展,许多黑客已经盯上盯上了这块“香饽饽”,大量黑客正在涌入加密行业,各类骗局、漏洞攻击、身份盗窃、数据勒索等安全事件频繁发生且有愈演愈烈之势。
此外,因区块链去中心化和匿名性等特征,监管难度较高,加密行业整体安全意识还较低,安全产品和服务还未能在大众中推广开来,许多加密用户和机构都遭遇过加密诈骗和黑客攻击,加密货币犯罪现在已成为亟需治理的事情。
总之,加密行业安全领域面临着诸多挑战。
NO.64 防范加密资产被盗有哪些实用策略?1.使用冷钱包
与热钱包不同,冷钱包不连接互联网,因此不会受到网络攻击。私钥存储在冷钱包中可有效保护加密资产。
2.使用安全网络
在交易或进行加密交易时,仅使用安全的网络,避免使用公共 Wi-Fi 网络。
3. 资金分散到多个钱包中
鸡蛋不要放到同一个篮子中,这句话在金融领域和加密领域都十分受用。
将加密资产分发到不同的多个钱包中,这样可以在遭受攻击时,将损失降到最低。
4. 提高个人设备安全性
确保个人设备安装了最新的安全软件,以防御新发现的漏洞和网络攻击,并且开启防火墙来提高设备的安全性,以避免黑客通过设备系统安全漏洞来进行攻击。
5.设置强密码并定期更改
在谈论安全性时,我们不能低估强密码的重要性。很多人在多个设备、应用程序、社交媒体账户和加密钱包上使用相同的密码,这大幅增加了加密资产被盗的几率。
防止被盗需要钱包账户建立一个安全等级较高的强密码,这个强密码需要具有独特性,并养成定期更改的习惯。
此外,选择双重身份验证 (2FA) 或多重身份验证 (MFA) 可以提高安全性。
6. 谨防钓鱼攻击
通过恶意广告和电子邮件进行的网络钓鱼诈骗在加密货币世界中十分猖獗。在进行加密交易时要格外小心,避免点击任何可疑和未知链接。
NO.65 加密史上十大盗窃事件区块链自问世以来,加密货币骗局频发并有愈演愈烈之势,区块链也无法为用户的资金提供足够的安全性。此外,加密货币可以匿名转移,从而导致加密行业的重大攻击盗窃事件频发。
下文将梳理剖析加密史上十大加密货币盗窃事件
1、Mt. Gox被盗事件
Mt. Gox被盗事件仍然是历史上最大的加密货币盗窃案,在2011年至2014年期间,有超过 85 万枚比特币被盗。
Mt. Gox声称导致损失的主要原因是源于比特币网络中的一个潜在漏洞——交易延展性,交易延展性是通过改变用于产生交易的数字签名来改变交易的唯一标识符的过程。
2011年9月,MtGox的账户私钥就已泄露,然而该公司并没有使用任何审计技术来发现漏洞并预防安全事件的发生。此外,由于 MtGox 定期重复使用已泄露私钥的比特币地址,导致被盗资金损失不断扩大,到2013年中,该交易所已被黑客盗取63万枚比特币。
许多交易所会同时使用冷钱包和热钱包来进行资产的存储和转移,一旦交易所的服务器被黑,黑客便可以盗取热钱包里面的加密资产。
2、Linode被盗事件
加密网络资产托管公司Linode主要业务就是托管比特币交易所和巨鲸的加密资产。
不幸的是,这些被托管的加密资产储存在热钱包中,更为不幸的是,Linode于2011年6月遭到黑客攻击。
这导致超过5万枚比特币被盗,Linode的客户损失惨重,其中,Bitcoinia、Bitcoin.cx以及Gavin Andresen分别损失43000枚、3000枚和5000枚比特币。
3、BitFloor被盗事件
2012 年 5 月,黑客攻击 BitFloor 并盗窃了2.4万枚比特币,这一切源于钱包密钥备份未加密,才使攻击者轻而易举获得了钱包密钥,并进而盗取了巨额加密资产。
被盗事件发生后,BitFloor 的创建者 Roman Shtylman 决定关闭交易所。
4、Bitfinex被盗事件
使用多重签名账户并不能完全杜绝安全事件的发生,Bitfinex接近12万枚巨额比特币资产被盗事件就证明了这一点。
2022年6月份,2000万枚OP代币就是因为不恰当使用多重签名账户而被盗。
5、Coincheck被盗事件
总部位于日本的 Coincheck 在 2018 年 1 月被盗价值 5.3 亿美元的 NEM ( XEM ) 代币。
Coincheck事后透露,由于当时的人员疏忽,黑客能够轻易访问他们的系统,且由于资金保存在热钱包中并且安全措施不足,黑客能够成功盗取巨额加密资产。
6、KuCoin被盗事件
KuCoin于2020年9月宣布,黑客盗取了其大量的以太坊 ( ETH)、BTC、莱特币 ( LTC )、Ripple ( XRP )、Stellar Lumens ( XLM )、Tron ( TRX ) 和 USDT等加密资产。
朝鲜黑客组织 Lazarus Group 被指控为KuCoin被盗事件的始作俑者。
这次被盗事件造成了2.75 亿美元的资金损失。幸运的是,该交易所收回了约2.7亿美元的被盗资产。
7、Poly Network被盗事件
Poly Network被盗事件是有史以来最严重的加密货币盗窃案之一。
2021 年 8 月,一位被称为“白帽先生”的黑客利用了 DeFi 平台 Poly Network 网络中的一个漏洞,成功窃取了Poly Network上价值约 6 亿美元的加密资产。
Poly Network被盗事件蹊跷的是,自被盗事件发生后,“白帽先生”不仅与Poly Network官方保持公开对话,而且还于一周后归还了所有被盗的加密资产。“白帽先生”因此获得50万美元的奖金,并获得了成为 Poly Network 高级安全官的工作机会。
8、Cream Finance被盗事件
2021 年 10 月,Cream Finance发生安全事件,被黑客盗取价值1.3 亿美元的加密资产。
这是 Cream Finance 今年发生的第三起加密货币盗取事件,黑客在 2021 年 2 月盗取了 3700 万美元的加密资产,在 2021年 8 月盗取了 1900 万美元的加密资产。
本次被盗事件是通过闪电贷攻击的方式完成的,攻击者使用 MakerDAO 的 DAI 生成大量 yUSD 代币,同时还利用 yUSD 价格预言机来完成闪电贷攻击。
9、BadgerDAO被盗事件
2021 年 12 月,一名黑客成功从DeFi 项目 BadgerDAO 上的多个加密货币钱包中窃取资产。
该事件与通过Cloudflare将恶意脚本注入网站用户界面时的网络钓鱼有关。黑客利用应用程序编程接口 (API) 密钥窃取了 1.3 亿美元的资金。API 密钥是在 Badger 工程师不知情或未经许可的情况下创建的,用于定期将恶意代码注入其一小部分客户端。
然而,由于黑客未能及时从Badger提取资金,因此大约 900 万美元加密资产得以追回。
10、Bitmart被盗事件
2021年12 月,Bitmart的热钱包遭到黑客攻击,约2亿美元加密资产被盗。
SAFEIS研究发现,约1 亿美元的加密资产是通过以太坊网络盗取转移的,另外接近1亿美元是通过币安智能链网络盗取转移的。
此次被盗事件涉及20多种代币,包括比特币等主流币,和相当数量的山寨币等。
NO.66 什么是庄家?庄家通常是指某个项目的控盘方,可以操纵市场价格。比较大的项目里会有许多庄家,因为他们持仓量大,除了拥有大量的该项目加密货币,还会有其他的加密货币做对手盘。
NO.67 什么是割韭菜?韭菜指加密市场的普通散户,庄家往往会引诱散户买卖加密货币或投资加密项目,进而通过各种套路从中牟利而致使散户损失资金,这种忽悠韭菜的行为即称为“割韭菜”。
NO.68 什么是韭菜盘?这类骗局套路,或是需要购买矿机,或是需要购买额度的,通过推广拉人头、三级分销等模式来引诱更多的人进场。
只有少部分早期参与的人可能会有收益,后面进来的人都是待割的“韭菜”。
这类盘子生命周期都比较短,一旦出现增长乏力的情况,“虚伪共识”随时都可能崩塌,韭菜盘也就到了该收割的时间点。
NO.69 什么是杀猪盘?“养猪”就是特指骗子假以网络交友,当感情到位后,就会“杀猪取食”。
这个“完美异性”会以某种理由或者噱头鼓动受害人投资虚拟货币, 或是让受害人把虚拟币投资到他们自搭的小平台,或是利用受害人对虚拟货币不了解,利用各种方式获得受害人账号信息或者钱包密钥,进而达到盗取受害人虚拟货币的目的。
从数据上看,这类案件绝大部分受害者都是女性,特征表现为经济独立、长期单身、感情空虚、教育背景良好等,女性需要格外警惕此类骗局。
NO.70 什么是互助盘?互助盘是由资金盘演变过来的一种新模式,根本上都是庞氏骗局。“互助盘”是“虚拟币+金融”最早期的模式,指的是运用直销倍增原理,以滚动或静态的资金流通形式,拆东墙补西墙,用后加入会员的钱支付给前面会员的网络传销形式,本质是金字塔式传销诈骗。
这类骗局极具隐蔽性、欺骗性和社会危害性。“互助盘”的特点是不限额,无门槛,想进就进,容易出假单,平台存在很大暗箱操作的可能。这种诈骗方式已经存世良久,盘子数目庞大、受害人及被诈骗资金总量数字相当恐怖。
近几年,互助盘打着“虚拟货币”、“数字加密通用积分”之类的幌子,利用区块链这一载体进行演变发展,隐匿性高、蔓延迅速、监管困难、追踪查控难度高。
NO.71 什么是Rug Pull?“Rug Pull”翻译过来的表意为「抽地毯」,是一种常见的加密骗局,往往发生于DeFi领域,通常是指加密行业项目方突然放弃某一个项目或撤出流动性池子,卷走用户投资资金的诈骗行为,通俗地讲就是卷款跑路。
“Rug Pull”的常见类型如下:
1、窃取流动性
这种类型的“Rug Pull”通常发生在DeFi领域,项目方会把流动性池子里的所有加密货币抛售或转移,这种项目往往没有进行严格的代码审计,代码中隐藏了恶意设置的漏洞,通过这样的方式项目方便可以轻松窃取流动性池子里的所有加密货币。
一旦发生此类“Rug Pull”,项目方发行的代币价格也会极速下跌,直至归零。
2、直接卷款跑路
这种类型的“Rug Pull”通常发生在中心化交易所等领域,这类项目通常是中心化的,也没有流动性功能,甚至没有发行代币,但掌握着巨额用户资产,因为中心化的种种缺陷,导致中心化的项目方能几乎不受限制地转移用户资产。
建立时间较短、注册信息虚假的中心化项目发生此类“Rug Pull”的风险极高。
3、控制卖盘
控制卖盘是指项目开发人员在编写代码时对卖盘进行限定,只有项目方的卖单能够出售,当用户购买其推出的加密代币并不断推高代币价格时,诈骗者会评估收益,一旦符合预期,就会抛售其发行的代币,用户只能无助地看着持有的代币最终变为一堆毫无价值的数字。
这种诈骗方式很巧妙但难以持久。
4、抛售代币
此类“Rug Pull”诈骗者的操作套路是,会先广泛推广该项目,目的就是通过提升项目热度来吸引用户购买代币,随着项目热度持续高涨以及代币价格的不断走高,诈骗者会迅速大量抛售其发行的代币,代币价格随之极速下跌,诈骗者会把其发行的代币转换为稳定币或主流价值币种,而用户往往没有时间反应来出售持有的代币,最终蒙受巨大损失。
此类“Rug Pull”项目没有流动性功能,这是和“窃取流动性”类型的“Rug Pull”最大的区别。
延伸阅读:《SAFEIS安全报告:深度剖析加密行业的Rug Pull骗局及防骗指南》
NO.72 如何有效防范“Rug Pull”骗局?1、检测项目方信息是否公开
加密项目背后的核心人员信息是投资者需要重点关注的,项目方信息未公开虽然更为符合去中心化的特点,但是里面必然会掺杂大量恶意项目,当前加密行业优质项目的核心人员信息都是公开的。
投资者应该对未公开信息的项目抱有质疑态度,要通过项目官网、社交媒体账户、社区热度质量以及白皮书等信息,来判断项目方信息未公开是践行去中心化,还是毫无名气,更或是带有恶意目的的故意隐匿。
总之,项目方信息未公开的项目极具风险性,对投资者而言应该是一个值得警惕的危险信号。
2、检测流动性池是否被锁定
识别大部分“Rug Pull”骗局最简单也十分有效的方式是检查流动性池是否被锁定,流动性池锁定的项目安全性较高,有权威第三方参与的锁定流动性池的项目安全性更高,而流动性池未锁定的项目极为危险,因为项目方可以轻而易举地窃取流动性池子里的所有加密货币。
投资者还应检查流动性池被锁定的比例,锁定的比例和项目安全性成正比,一般而言,锁定的比例应该在80%到100%之间,此外,锁定的时间也是很重要的指标,流动性池应当受基于时间函数的限制,这意味着没有人可以在时间限制范围内移动池子里的加密货币。
值得一提的是,流动性池锁定机制由UNISWAP创立。
3、检测代码是否已进行外部审计
正规且高质量的项目都会由信誉良好的第三方机构进行代码审计,外部审计对于去中心化的加密项目格外重要,如果一个项目始终没有进行代码外部审计,这个项目就有很多潜在性的风险。
投资者应该多方验证项目外部审计结果,并只认可权威第三方出具的代码审计报告,代码中没有发现任何恶意的项目才值得考虑投资与否。
4、检测卖盘是否被控制
卖盘控制是通过恶意代码实现的,这种方式较为隐秘,投资者可以通过小额购买代币然后出售的方式来进行测试,如果无法出售,该项目就可判定为骗局。
5、新代币异常暴涨需要格外警惕
一个不入流的新项目代币在没有重大利好情况下,突然异动暴涨,往往就是利用散户普遍的“追涨杀跌”心态吸引散户入局,而代币价格拉高之后就是大量抛售,也就是常说的“割韭菜”。
投资者可以通过区块浏览器来检查代币持有者的数量,数量过少的代币价格容易被操纵,骗局的可能性极大。
6、可疑的高收益
“Rug Pull”骗局很多时候就是庞氏骗局,这类骗局就是通过极具诱人的高收益来诱骗投资者,进而欺诈投资者投入的本金,也可以说,收益越高,风险就越大,投资者应该始终保持清醒的头脑,进而做出明智的判断。
NO.73 NFT常见骗局有哪些?1、炒作骗局
当看到某个NFT在很多渠道被大力宣传时,就要格外小心了,过度推销往往暗藏杀机,好的项目自然会被用户主动推广,但是其中不乏很多项目是不怀好意的恶意炒作。
2、虚假网站
虚假网站通过伪造真实网站来达到以假乱真的效果,通过假冒项目方来进行诈骗,诈骗的方式很多,但最终往往都会要求用户提供钱包凭证,该类网站或许看起来是真实的,页面也很精致,但如果他们要求用户提供钱包凭证,这一定是诈骗网站,请保持足够高的安全意识。
3、采用拍卖方式出售NFT风险
在出售 NFT时,尤其是在一些非头部或新的NFT交易平台操作时,需要格外留意支付货币的选择。
有些交易平台不够完善,在采用拍卖方式出售NFT时,参与拍卖的人可能会利用发起拍卖人设置上缺陷或者平台漏洞,使用低价值的加密货币购买NFT,从而给发起拍卖方带来潜在的损失。
4、虚假NFT空投
NFT空投确实存在,但根本不常见,尤其是不明来历的空投风险更高。
骗子往往会向大量钱包地址空投NFT,并通过左手倒右手的方式使NFT的地板价看起来很诱人,当用户收到这类不明来历的NFT时,如果没有进行真伪验证,就急于出售变现,就会落入诈骗者的圈套。
用户在出售时,会进行钱包授权交互等操作,而这个过程中,诈骗者就可以获取用户的钱包过度授权或者钱包凭证,进而转移高价值的NFT等资产,用户就可能蒙受巨大损失。
5、冒充官方客服
冒充项目官方客户是另一个常见的骗局,这种骗局自古就有,只不过每个时代或领域,都有各自的特点和特殊传播渠道,这类骗局的高发渠道以Discord,推特,电报和邮件为主。
延伸阅读:《必须十分警惕的五大NFT骗局!》
NO.74 什么是PDF恶意文件骗局?PDF恶意文件骗局是指骗子将嵌入了病毒的文件伪装为正常的PDF文件进行行骗。
这类骗局的套路通常如下:
1、骗子行骗第一步
诈骗者会在行骗前准备好嵌入病毒的文件,并修改了文件名且末尾添加了. PDF的后缀,然后将文件的图标改为PDF图标。
这样就把一个嵌入病毒的文件伪装为看似正常的PDF文件。
2、骗子行骗第二步
诈骗者会寻求诈骗目标,以近期真实案例为例,诈骗者联系了一个艺术家,并委托了一个关于艺术创作的任务,随后,该艺术家就收到一个关于任务需求的压缩文件,里面有客户需求文档、事例以及草图等PDF文件。
这些PDF其实是恶意SCR文件,是一个可执行的脚本文件。
3、骗子行骗第三步
当该艺术家打开文档,查看客户需求的时候,看似正常的文件却让一切变得很糟糕。
他钱包里的所有的NFT都被列出并出售,所有的ETH等加密货币都被转移到骗子的钱包中。
艺术家并不是这个骗局的唯一目标。最近,很多Web3用户都因为这个骗局,失去了对自己的钱包账户的控制权,损失了钱包里的所有NFT和加密货币等资产。
延伸阅读:SAFEIS风险警示:PDF恶意文件骗局已经侵入Web3
NO.75 Twitter上常见的加密骗局有哪些?1、入侵Twitter认证账户并发布加密骗局信息
诈骗者通过技术手段入侵某些名人的Twitter认证账号,在掌控了账户权限之后会发布加密诈骗信息,这类骗局对用户而言极难辨别真假,受骗几率很高。
2020年7月,Twitter遭受了大规模黑客攻击,攻击者成功入侵了至少130个Twitter账户,其中包括拜登、奥巴马、比尔·盖茨、马斯克以及杰夫·贝佐斯等知名人士的Twitter账号,攻击者利用这些账号发布“赠送”比特币的诈骗信息,总计骗取了13.14个(当时价值约为11.8万美元)比特币,受骗用户数量达到300人之多。
2022年7月,英国陆军的Twitter和Facebook账户被黑,并被攻击者用来宣传加密货币骗局。
2、“高仿”Twitter认证账户行骗
诈骗者往往通过高度仿冒名人Twitter账户来行骗,为了达到以假乱真的效果,诈骗者还会刷粉丝数量以及对推文内容专门刷赞、转发和评论。
2022年3月,一名冒充马斯克的Twitter骗子从一名德国男子处骗取了10枚比特币,当时价值约56万美元。
3、钓鱼攻击骗局
诈骗者会使用类似UNICODE编码的字母虚构URL地址,将钓鱼网站URL地址做的和真实加密项目官网几乎一样,通过Twitter账号发布诈骗信息,诱导用户进入钓鱼网站骗取加密货币。
一起针对「NFT抽奖工具」Premint项目的骗局中,诈骗者就使用类似UNICODE编码的字母虚构了URL地址,与真实URL地址唯一不同的是将字母 "i "改为非英语字母的类似字符。
点击链接进入该钓鱼网站后,可以看到网站界面和Premint官网别无二致,用户只要点击 "登录注册 "按钮链接钱包,钓鱼网站就会根据钱包中的NFT藏品总价值和钱包余额给用户发送一个Seaport签名,只要用户确认签名授权,钱包中的所有NFT和加密货币都会被立即窃取。
4、蜜罐账户骗局
这类骗局通常是通过私信的方式将诈骗信息大批量发送给Twitter用户,诈骗信息中会向用户许以某种好处,进而诱导用户向诈骗者加密钱包地址进行转账,一旦转账,机器人都会立即将用户钱包里的加密货币转移走。
一名Twitter用户曾受到一条诈骗私信,私信内容是这样说的:“嗨,我是一名学生,我收到了6800个USDT(trx20),但是我不知道怎么把USDT换成美元。您能教教我怎么使用Trust钱包吗?我可以支付你300USDT酬劳。”诈骗者或许认为这样的方式还不足以打动收到消息的Twitter用户,于是,诈骗者在私信的后半部分将钱包的私钥和12个助记词都写了上去,一旦用户出于善念或贪婪的心理向该钱包地址转手续费,用户加密钱包里面的资金便会被立即转移走。
5、恶意PDF文件骗局
近期,恶意PDF文件骗局事件频繁发生,其中多数是针对艺术家、加密社区大V以及一些加密项目。Twitter等社交媒体是这一骗局传播的重要渠道。
SAFEIS在之前推文《安全风险警示:Web3新骗局正在侵吞用户钱包资产!》中,详细讲述了此类骗局的套路:通过委托受骗者一个付费需求,然后将需求文档发送给受骗者,而这个需求文档其实是事先准备好的伪装为PDF文件的恶意SCR文件(可执行的脚本文件),一旦受骗者点击打开这个文件,受骗者加密钱包中的所有NFT和加密资金都会被盗取。
SAFEIS在之前推文《安全风险警示:Web3新骗局正在侵吞用户钱包资产!》中,详尽地阐述了“如何检测PDF文件是否含有病毒”以及“如何防范此类骗局”。检测方式主要是借助腾讯哈勃分析系统、VirusTotal以及福昕PDF365这三个工具;此类骗局的防范措施主要有五条:及时更新PDF阅读器和系统、禁用JavaScript、使用虚拟机、避免点击不明来历的邮件、使用浏览器的内置 PDF 阅读器。
6、帮找回加密货币的骗局
诈骗者会在Twitter上找寻加密社区受骗者,试图将诈骗目标对象对准已经被骗的人,并通过私信或评论回复的方式建立联系,声称可以通过技术手段找回被盗的加密货币,但前提是需要一些费用来部署智能合约,受骗者如果已经丧失了辨别骗局的能力,一心只想找回之前损失的加密货币,那必然会再次受骗。所以加密用户要始终警惕各类骗局。
延伸阅读:《Twitter加密骗局十分猖獗,连马斯克、拜登的账户都被盗过》
NO.76 Telegram上的常见加密骗局有哪些?当前,TG上各类骗局事件频繁,主要有以下五种常见骗局。
1、假冒的Telegram频道
此类诈骗者通常会创建热门项目的“山寨”版TG频道,这些频道和真实频道看起来有相似的名字和头像,并且管理员的用户名也几乎雷同,诈骗者往往会在假冒的TG频道中发送预售代币计划、快速致富计划或免费奖品等信息,以此来骗取用户资金或身份信息。
2、“加密专家”骗局
诈骗者往往在TG上直接给用户发送私信,打着“加密投资高回报”、“保证承诺”的幌子,并且要求用户在其“特殊”加密货币交易所开设一个账户,一旦用户上当入金到该账户,账户和诈骗者就都会消失。
3、TG机器人攻击
TG的独特之处之一是它能够在平台上构建和使用机器人,TG机器人使用自然语言处理和人工智能 (AI) 进行现实对话,这使得用户很难判断真假,在这个骗局的最新版本中,黑客使用名SMSRanger 的机器人冒充银行的代表,一旦黑客输入TG用户的电话号码,该机器人就会打电话并试图说服用户透露个人和账户信息。
更为惊人的是,任何人都可以利用这些机器人进行诈骗,而使用这些机器人月费只需 300 美元。
4、加密赠品骗局
诈骗者在TG上发送免费奖品、抽奖和赠品的信息来诱骗用户,领取奖品需要提供银行信息、个人数据并支付费用。
5、黑客控制用户TG账户
黑客在控制了用户TG账户后,会扫描聊天信息数据,一旦发现助记词或私钥等信息,就会立即控制该钱包并转移其中的资金,此外,还会根据用户聊天内容生成关系图谱,并拉一个一模一样的群,进而在群里对用户的好友进行诈骗。
除了以上以及几种常见典型骗局以外,TG上还出现了搬砖套利骗局、TG浪漫骗局等形式,共有十多种之多。
延伸阅读:
《SAFEIS:电报已成骗局高发区,圈内大V也未能幸免,损失惨重》
《Telegram诈骗频发 东南亚30万骗子的再就业》
NO.77 Telegram上加密骗局防范措施有哪些?1、对所有链接提高警惕,即使这些链接是由您的亲朋好友发送的;
2、对于所有涉及到交易的信息,务必要多渠道验证信息的真实性;
3、切勿向任何人透露个人信息、钱包信息、银行信息等;
4、创建一个强密码,以防止诈骗者轻易侵入账户,并且各平台密码保持一定差异性,此外,还需要添加两步验证 (2FA);
5、对TG账户进行隐私设置。创建TG账户后,立即打开端到端加密;
6、定期检查登录设备IP,如果出现不是常用地址的ip登录账户,就要提高警惕;
7、对TG账户的邀请设置进行升级,调整为只有好友才能拉您进群;
8、保持设备安全功能的开启,比如防火墙、杀毒软件等。
NO.78 什么是51%攻击?所谓51%攻击,也称为“51% Attack”,是指某个人或某组织掌握了全网51%以上的算力之后,就可以抢先完成一个更长的,伪造交易的链条,比特币只认最长的链,所以伪造的交易也会得到所有节点的认可。
这对整个区块链网络而言是灾难性的,黑客可以修改交易的顺序并阻止它们被确认,甚至可以撤销之前完成的交易。
比特币黄金BTG就曾遭受51%算力攻击,黑客曾短暂控制了BTG区块链网络,进而通过“双花攻击”的方式,不断地在交易所发起交易和撤销交易,最终,黑客获利逾38万个BTG。
目前比特币的全网算力极为庞大,要想成功发起51%攻击需要花费的成本估计超过150亿元,这几乎是不可逾越的鸿沟。区块链网络越庞大,遭受51%攻击的可能性越小。
NO.79 什么是双花攻击?“双花攻击”(double spend attack)又叫“双重消费攻击”。是指一笔资金花了两次或者多次,攻击者通过不停发起和撤销交易,将一定数额的代币反复在账号之间转账实现获利。
通常,有五种方式可以实现双花攻击:
1、51%攻击
这种攻击是通过控制网络算力实现双花。如果攻击者控制了网络中50%以上的算力,那么在控制算力的这段时间,攻击者可以将区块逆转,进行反向交易,实现双花。
2、芬尼攻击(Finney attack)
芬尼攻击主要通过控制区块的广播时间来实现双花,攻击对象针对的是接受0确认的商家。
3、种族攻击 (Race attack)
这种方式主要通过控制矿工费来实现双花。
比如,攻击者把一定数量的token发给一个商家,我们命名为分支A。如果商家接受0确认,那么攻击者就会再把这笔token发给自己的一个钱包,我们命名为分支B。攻击者会对分支B这笔交易支付更高的矿工费,一旦分支B的这笔交易较分支A的交易先确认,分支A的交易就会被回滚。通俗地讲,就是攻击者通过双花攻击,原钱包里的token仍然在,新钱包里也平添了一笔token。
4、Vector76攻击
Vector76攻击,是种族攻击和芬尼攻击的组合,又称“一次确认攻击”,也就是交易即便有了一次确认,交易仍然可以回滚。如果电子钱包满足以下几点,Vector76攻击就容易发生。这几点即钱包接受一次确认就支付;钱包接受其它节点的直接连接;钱包使用静态IP地址的节点。
5、替代历史攻击(Alternative history attack)
如果商家在等待交易确认,alternative history attack就有机会发生,当然,这需要攻击者有较高的算力,对于攻击者来说,会有浪费大量电力的风险。
NO.80 什么是网络钓鱼攻击?网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,攻击者进行网络钓鱼攻击的目标是窃取用户的账户凭证(密码、私钥等),最终盗取用户资产。
网络钓鱼的诈骗信息通常是由邮件、Telegram、Twitter、Discord等媒介渠道进行传播。
NO.81 什么是土狗项目?土狗项目是指疯狂蹭热点概念,没有审计和背书、没有资本加持、项目也不知名、团队背景一般、项目代币没有实力上线主流中心化交易所,只能在一些DEX上进行交易的新加密项目。
当前,发币成本极低且只需几步操作,骗子利用一些用户不了解虚拟货币或是 {MOD}的心态,通过蹭热点等炒作方式,吸引投资者投资,最终“Rug pulls”(捐款跑路),代币一泻千里,基本归零,成为空气币。
NO.82 洗钱方式有哪些?1、区块链隐私工具
犯罪分子经常使用区块链隐私工具来掩盖他们的踪迹,然后再将资金转移到合法企业或主要加密货币交易所。之前,市场占有率最高的隐私工具是混币器Tornado,但因为美国监管问题,已经一落千丈。
2、暗网交易所
犯罪分子可以利用暗网交易所,把相应的加密资产反复多次操作,最终安全地将其转移到外部加密货币钱包,而无需使用混币服务。
3、 {MOD}和游戏网站
洗钱者使用加密货币在一些 {MOD}和游戏网站上购买虚拟筹码等,并在网站上进行几次交易后兑现。一旦从这些网站提现成功,这些资金便成功被洗白。
4、交易所嵌套服务
一些交易所对嵌套服务采取十分宽松的规则,犯罪分子将利用这些服务洗钱。
5、利用私募/公募隐匿资产
犯罪分子通过参与项目私募/公募也可以达到隐匿资产的目的。这样基本达到和混币器基本一致的隐匿效果,但这种方法有一定局限性,比如,完全变现的周期会比较长、资金投资风险较高。
6、正常公司
当比特币或其他加密货币成功被洗出后,虽然这笔钱不再与犯罪有直接关联,但犯罪分子仍然需要一种方法来解释这笔钱的合法来源。
犯罪分子往往会创建一家看似正常合法的公司,或者通过第三方类似公司来证明收入的合理性。
延伸阅读:《SAFEIS深度剖析:加密货币成为犯罪分子洗钱的首选方式》
NO.83 为什么洗钱者十分青睐比特币?比特币对洗钱者来说是一个有吸引力的选择。
主要是因为使用加密货币洗钱比其他方法更容易,隐匿性更高,监管困难和追溯技术门槛较高,作为加密货币的创世币种,比特币相较于其他加密货币的安全性和去中心化程度更高。
此外,利用比特币等加密货币洗钱时,链上转账是“无国界”的,只需要输入正确的币链一致的地址即可完成转账。相较于传统跨境转账方式上,不论是在时效性、成本、额度、跨境监管等方面,都具有巨大的优势。
NO.84 中本聪到底是谁?中本聪是比特币的开发者兼创始者。2008年11月1日中本聪发表了比特币白皮书,并于2009年1月3日首次挖出比特币,谁能动用创世区块里的比特币谁便是中本聪本人,所以谁是中本聪呢?历史上出现过很多个“中本聪”:
2013年,有人爆料在数学领域有过卓越贡献的望月新一就是中本聪,但是并没有提出直接证据。
2014年,黑客黑进了中本聪用过的邮箱,并找到了邮件的主人多利安•中本(Dorian Nakamoto),随后多利安表示自己只是偶然获取了邮箱的地址和密码,并不是中本聪。
2016年,克雷格•赖特(CraigWright)表示他是中本聪,且能提供中本聪的私钥。但随后,赖特因为无法面对大家的质疑而撤回自己的声明。
NO.85 密码朋克是什么?中本聪的比特币白皮书最早发布于“密码朋克”。狭义地说,“密码朋克”是一套加密的电子邮件系统。
1992年,英特尔的高级科学家Tim May发起了密码朋克邮件列表组织。1993年,埃里克•休斯写了一本书,叫《密码朋克宣言》。这也是“密码朋克”(cypherpunk)一词首次出现。
“密码朋克”用户约1400人,讨论的话题包括数学、加密技术、计算机技术、政治和哲学,也包括私人问题。早期的成员有非常多IT精英,比如“维基解密”的创始人阿桑奇、BT下载的作者布拉姆•科恩、万维网发明者Tim-Berners Lee爵士、提出了智能合约概念的尼克萨博、Facebook的创始人之一肖恩•帕克。当然,还包括比特币的发明人中本聪。
据统计,比特币诞生之前,密码朋克的成员讨论、发明过失败的数字货币和支付系统多达数10个。
NO.86 什么是WEB3?“Web3”一词由以太坊联合创始人/波卡创始人 Gavin Wood 在 2014 年提出。
至今,Web3还没有一个公认的定义,但可以明确的是,互联网的迭代往往伴随着技术创新、信息生产关系的改变,新一代革新的驱动力基于解决上一代的突出矛盾的诉求。基于此,Web3致力打造一个基于区块链技术、数据共享、用户主导、用户共建、成果共享、去中心化的网络生态,意在解决Web2.0带来的生态不平衡、发展不透明等问题。
Web3(也称为 Web 3.0)是万维网迭代的新一代概念名称,底层支撑由区块链(技术层)和以分布式存储(数据层)组成。
NO.87 什么是元宇宙?元宇宙(Metaverse)是利用科技手段进行链接与创造的,与现实世界映射与交互的虚拟世界,具备新型社会体系的数字生活空间。
元宇宙一词诞生于1992年的科幻小说《雪崩》,小说描绘了一个庞大的虚拟现实世界,在这里,人们用数字化身来控制,并相互竞争以提高自己的地位,到如今看来,描述的还是超前的未来世界。
“元宇宙”这个词更多只是一个商业符号,它本身并没有什么新的技术,而是集成了一大批现有技术,包括5G、云计算、人工智能、虚拟现实、区块链、数字货币、物联网、人机交互等。
NO.88 什么是域名?
加密领域的域名特指区块链中的命名系统,是一种非同质化代币性质的NFT,主要用于简化加密钱包地址,加密域名是去中心化的、匿名的、安全的,可以作为加密资产,是WEB3的基础设施。
加密域名最具代表性的项目是ENS域名。
NO.89 什么叫KYC?KYC是“know your customer”的缩写,是指验证用户身份的过程。银行、信托、保险等金融机构在为客户提供服务时,对账户的实际持有人和实际收益人进行审查,以确认客户身份是否符合监管要求。
在加密领域,中心化的项目基本都会要求用户进行KYC,部分去中心化项目在特定活动时也会要求用户进行KYC。
NO.90 什么是OTC?OTC是Over-the-counter 的缩写,一般指场外交易市场,在加密市场,特指法币交易,即使用人民币等法币购买加密货币或将加密货币兑换为法币的过程。
当前,法币交易主要存在于中心化交易所,比如币安交易所,火币交易所已于2021年末关闭OTC以及清退大陆用户。
此外,私下交易的情况也十分普遍,有些是朋友间的交易,有些是群友之间担保交易,有些就是由中间人撮合的交易。
NO.91 什么是搬砖套利搬砖套利是指跨平台赚取其中差价,比如去中心交易所Uniswap上的某个币价格和中心化交易所币安有差异,就可以在价格低的平台买入该币种,然后转入价格高的平台出售,这个过程就叫搬砖套利。
NO.92 什么是Degen?Degen为degenerate(堕落者)的缩写,意为「DeFi 赌徒、老手」。常用来形容不考虑DeFi 协议安全审计的情况下,抢先投入资金,并在热度下降、泡沫破裂前离场,提取流动性、将代币抛售给下家新手,类似泡沫逐利高手的概念。
Degen有时不仅是指精明的 DeFi 老手,连很会开发各种玩法的开发者也会被称作Degen。
NO.93 什么是空投?空投,即Airdrop,是指为了激励早期贡献者,践行WEB3精神,加密项目在上线发币时,将一定数量的代币分配早期贡献者的一种行为。
迄今为止,引爆加密社区热门空投主要有Uniswap、DYDX、ENS等。
NO.94 什么是锁仓?加密市场的锁仓与传统金融的锁仓概念存在明显差异,加密市场的锁仓通常是指通过某些平台将加密货币进行一定时间的锁定,与传统金融领取的定期存款较为类似。
多数情况下,锁仓是为了赚取一定收益,锁仓期选择众多,可长可短,但相应的年化收益率也会不同。
NO.95 什么是流动性?加密市场里的流动性(Liquidity)是指加密项目满足用户正常交易、提取资金、到期支付债务和借款人正常贷款的能力。
流动性的高低直接影响着应用的总锁仓量(TVL)、资金供应量以及交易滑点。流动性增加可以有效降低交易滑点,并提升应用的竞争力,从而吸引更多用户加入。
NO.96 什么是流动性池?流动性池是指锁定在智能合约中的资金总和。这些流动性池是去中心化交易平台(DEX)的重要组成部分,最早采用流动性池的加密项目是Bancor,但真正让它流行起来的是Uniswap。
NO.97 什么是流动性挖矿?流动性挖矿是指用户为平台提供流动性(通常是指质押两个代币组合成的交易对,也有的平台只需要质押单个代币即可),最终获得平台发送的质押奖励的行为。
流动性的增减和平台相应交易对交易深度以及可借贷资金金额息息相关。
NO.98 什么是MINT?MINT就是铸造的意思,通常是指把数字资产存放并记录在区块链上(基本上都是在以太坊上),这一名词多用于NFT领域。
NO.99 什么是分叉?简单来说,更新加密货币协议或代码称为分叉。分叉意味着区块链分为两个分支。当网络的参与者无法就共识算法和验证交易的新规则达成一致时,就会发生这种情况。
NO.100 分叉有哪些类型?分叉分为三种类型:硬分叉、软分叉、意外分叉。
硬分叉是指区块链发生永久性分歧,在新共识机制发布后,部分没有升级的节点拒绝验证已升级的节点产生的区块,两方各自延续自己认为正确的链,最终分叉成两条链。
2016年,黑客利用代码漏洞攻击以太坊,为了避免投资者的资产被转移,以太坊直接选择了硬分叉,分叉后形成了两条链,一条为原以太坊经典(ETC),一条为新的分叉链以太坊,各自代表不同的社区共识。
软分叉是指区块链的交易数据结构发生改变的时候,旧节点忽略此种改变,可以接受和验证新节点产出的区块,即软分叉之后不会产生两条链。
硬分叉和软分叉统称为有意分叉,而有意分叉之外,还有一种分叉——意外分叉。当两个或以上的矿工在几乎相同的时间成功挖到区块,便会出现意外分叉。 此时,矿工便会分别在两条分叉上各自挖矿,直至其中一条分叉比其他分叉更长(这代表矿工对采纳哪一个分叉已达成共识)。
安士百科的推出,将全面服务于行业知识普及、内容检索和业务能力水平提升等多个方面,使全行业受益。
SAFEIS,Make Trustless-让信赖无需信赖!
延伸阅读:《安士百科|区块链知识问答精选,一文入门区块链(上篇)》