本文 Hash (SHA1):14f211363c25423b3eb2472ade8865dc95a14513
编号: 链源科技 PandaLY Anti-Fraud Guide No.001
相信关注我们链源科技的朋友们,想必对 DeFi 已有一定了解。确实,在某些情况下,参与 DeFi 平台的质押,尤其是常见的 USDT 质押,的确可以带来丰厚的收益。然而,伴随机遇而来的,还有各种层出不穷的骗局。许多不法分子利用投资者对区块链技术和项目细节的了解不足,设计出一系列圈套。常见的手法是打着“比 xxx 平台更高收益率”的旗号,吸引你去不知名的 DeFi 平台进行质押投资,而这些平台往往以远超传统 DeFi 平台或交易所的回报率为诱饵。当他们骗取到足够的资金后,便卷款逃跑,令投资者血本无归。
为了帮助大家避免此类骗局的侵害,今天我们将结合最近发生的一个典型 DeFi 骗局案例,深入剖析其中的套路和操作手段。同时,我们还将为大家提供一些实用的防范技巧,帮助你在参与 DeFi 项目时更好地识别潜在风险,保护自己的资产安全。
什么是 DeFi 质押?
DeFi 质押(Staking)是去中心化金融(DeFi)领域中的一种常见方式,用户可以将他们的加密资产锁定在智能合约中,参与网络的运行维护或提供流动性,并获得相应的回报。这个过程类似于银行定期存款,用户将资产暂时锁定,换取利息或其他奖励。
DeFi 质押通常有以下几种形式:
权益质押(Proof of Stake,PoS):在一些基于 PoS 机制的区块链网络中,用户可以质押一定数量的加密货币来参与区块的验证和网络维护。质押的数量越多,获得验证机会的几率就越大,用户也可以从中获取一定比例的区块奖励。
流动性挖矿: 用户将自己的加密资产存入去中心化交易所或流动性池,提供资产的流动性,促进交易的顺利进行。作为回报,用户可以获得一定比例的手续费收入或平台的原生代币奖励。
借贷质押: 用户可以将加密资产质押到去中心化借贷平台,作为抵押借出另一种资产,同时赚取质押的利息。这个过程中,用户的质押资产依然会产生收益,但他们可以利用借出的资金进行其他操作。
目前来说,流动性挖矿是最常见的 DeFi 项目,所以今天我们主要来讲讲流动性挖矿。
流动性挖矿骗局
近日,我们碰到了一位热心用户向我们举报了一个叫做 ve.finance 的 DeFi 网站,举报用户原话如下:
I am a victim of the ve.finance scam. The contract address of VE is
https://etherscan.io/address/0xdaef06a5fbf22cc67e521f937ab2a8e687558d74#code and has been successfully marked as a scam. But I discovered that they have opened a new website:
https://ethnano.com/,the contract address is:
https://etherscan.io/address/0xb53653f74c9ba313f764e7404bfeffab3500d25c.
Their website design, the API used, and the CODE of the contract are all exactly the same. I still haven’t seen any scam tags. I hope this will reduce the number of victims joining the scam.
言简意骇的说,就是用户碰到了一个打折扣质押名号的骗子网站,这个网站不通过各类授权去进行钓鱼,而是通过在质押所用到的智能合约给用户下绊子,并且网页通过经常更换域名,使得受害者被骗后可能无法找到之前的网站。
当我们顺着用户给出的网址打开页面时,MetaMask 直接阻止了我们打开网站,并弹出该网站为高危网站的警告,但是我们是谁?我们可是无视风险继续安装的狠人。点开继续访问该网站,便来到了下图的质押骗局网站界面。
别说,这个界面做的有模有样的,还真挺像那么一回事。我们点开了用户举报的第一个智能合约地址0xdaef06a5fbf22cc67e521f937ab2a8e687558d74
进行分析,发现这个可恶的骗子在智能合约中设置了超级用户的账户地址。并且设置了一个函数:
function adminSendEth(address payable destination, uint amount) public onlyAdmin {
destination. transfer (amount);
}
这个函数是什么意思呢?首先函数名就已经光明正大的命名为了 adminSendEth,意思是这个就只有我这个超级用户可以发送该函数,接着我们把注意力转移到 onlyAdmin 上,这个修饰词的意思是,只有我-超级用户,也就是骗子设置的超级用户账户可以调用这个函数。
那函数里是什么意思呢?很简单,就是直接转账我指定的余额“amount”到我指定的账户地址“address”中。
当用户通过这个智能合约质押后,骗子就可以直接将质押在智能合约地址的钱转走,当用户去查看智能合约后发现智能合约的账户没钱了,才后知后觉发现自己被骗了。
接着我们再点开这位热心用户提供的另外一个合约:0xb53653f74c9ba313f764e7404bfeffab3500d25c
这个合约和上个合约不同的是,它里面有一个函数,名为 Exchange,函数具体实现代码如下:
function Exchange(address user) external onlyOwner {
require(!_blacklisted[user],"User is already blacklisted.");
_blacklisted [user] = true;
emit Blacklisted (user);
}
这个函数名叫做转换,他里面实现的内容也很简单,只要你不在我的黑名单里,那我就把你丢到黑名单,如果你在黑名单里,噢~那你就乖乖待着吧~
所以当你在这个合约中质押了以后,就会自动调用这个函数,把你丢到小黑屋里,一分钱都别想拿出来。
骗局预防
那么 DeFi 质押的骗局应该如何预防呢?
一、审查项目官网
第一步,我们要确定访问的网站是合法且安全的:
SSL 证书:一定记住,任何合法的网站都应具有 SSL 证书,确保网站以“https”开头。SSL 证书能够加密用户与网站之间的通信,防止信息泄露和钓鱼攻击。如果你看到一个 DeFi 质押平台没有 SSL 证书或者以“http”开头,应立即离开,避免风险。
团队透明度:一个可信的项目一定会有公开透明的团队背景,我们可以在各类社交媒体上,如推特,查找了解项目团队的信息,确保他们有公开的社交媒体,并且可以追溯他们以往参与过的项目。
网址:如果项目团队是可靠的,我们就可以在他们官方社媒上寻找他们质押的相关网址,切记,不要点击脱离官方背书的网址,因为有可能是仿冒钓鱼网站。
不合理承诺:当质押项目如果承诺“高额回报”或“零风险”时,大概率是骗局,我们就需要提高警惕了。
交易所:币安,欧易等头部交易所都有自己对应的质押理财,我们大可不必去一些名不经转的小平台,虽然收益不一定那么可观,但安全肯定是有保障的。
二、检查智能合约
相信看过了上面的案例后,我们会发现智能合约是质押项目的核心,任何恶意代码都会导致资金无法取回。因此,务必要仔细审查:
合约审计:使用区块链浏览器(如 Etherscan)查看项目的智能合约是否经过第三方审计,我们可以查阅项目合约是否经过权威审计机构(如 CertiK、OpenZeppelin)的审计。审计报告会揭示合约中是否存在安全漏洞以及潜在的风险。
代码细节:如果你有一定的代码能力,请务必审查合约代码中是否留有后门(黑名单,白名单等),以及锁仓期、提现限制等条款,确保资金的安全性,当然,如果看不懂代码的话,可以把代码复制给 GPT 或其他 AI 问问,他们也会给你正确的答复。
谨慎授权:当你与质押项目交互时,智能合约会请求你授权访问你的钱包。一定一定要小心“无限制授权”这一操作,如果授予无限权限,恶意合约可能随时转移你的资金。
三、社区验证
加入项目的社区也是验证项目真实性和受欢迎程度的重要途径,因为很可能推特账号的留言粉丝是刷出来的:
社交讨论:可以通过加入 Telegram、Discord 等官方社群,看看社区的聊天记录、氛围,了解项目信誉。当一个社区内全都是在猛吹或是炫耀自己的收益,那大概率就是一个骗子项目,一个好的社区里面的成员沟通都是十分客观的。
警惕私密推广:如果一个项目只在私人群组内推广或不公开透明,可能存在风险。一定要注意这类老师带赚钱,一带一的项目,这类仅靠口口相传拉人头的项目,一定不是什么好项目。
四、资金流动性与透明度
接下来是进阶部分,一般来说,项目池子的流动性和透明度是评估项目安全性的关键指标:
流动性池锁定:流动性池为项目提供交易的基础资金池。你可以通过区块链浏览器查阅质押项目的流动性池是否已经被锁定,流动性锁定意味着项目方无法随意提取或转移资金,防止恶意跑路行为。如果流动性池没有锁定,项目方可能会随时提取资金,造成用户无法提取质押资产的情况。
充足的流动性:流动性池的规模越大,用户进行资产交易时的滑点(价格差)就越小,同时资金提取的难度也会更低。检查流动性池的深度和资金充足性,确保池子中有足够的资金可以满足用户的质押和提现需求。流动性不足的项目可能会导致资金无法顺利提取。
链上透明度:项目的资金透明度是判断其可信度的重要因素。你可以使用区块链浏览器(如 Etherscan、BscScan 等)跟踪项目资金的流向,查看是否有资金被大规模提走或集中于少数地址。此外,可以通过设置监控钱包,自动追踪项目关键资金流动,并及时收到提醒。这一措施能够帮助你提前发现任何可疑的资金操作,避免成为跑路骗局的受害者。
结语
总的来说,DeFi 质押项目虽然看上去充满机会,但风险同样不可忽视。尤其是很多新手朋友,可能会因为一时被高收益吸引,而忽略了项目本身的安全性。我们已经见过太多类似的骗局,从虚假网站、恶意智能合约到社区刷单,手段五花八门。所以,大家在质押时务必要做足功课,从审查项目官网、核对智能合约、观察社区活跃度,再到分析资金流动性,每一步都非常重要。
区块链的世界是去中心化的,正因为如此,个人的资金安全更多依赖于自身的判断和谨慎。千万不要只被所谓的“高回报”冲昏头脑,往往承诺“零风险”和“保底收益”的项目,背后都暗藏风险。安全永远比高收益重要,这是我们在 DeFi 质押中最应该铭记的一点。
通过今天的分享,我们希望能让大家在未来的质押过程中更加理性和慎重。无论你是刚接触 DeFi 的新手,还是经验丰富的老手,多关注项目的透明度和安全性,避免因一时疏忽掉进骗局的陷阱。如果大家有任何问题或疑虑,随时可以留言讨论,我们非常乐意帮助大家更好地保护自己的资产!毕竟,在这个去中心化的世界里,大家共同学习、互相帮助,才是最稳妥的投资策略!
链源科技是一家专注于区块链安全的公司。我们的核心工作包括区块链安全研究、链上数据分析,以及资产和合约漏洞救援,已成功为个人和机构追回多起被盗数字资产。同时,我们致力于为行业机构提供项目安全分析报告、链上溯源和技术咨询/支撑服务。
感谢各位的阅读,我们会持续专注和分享区块链安全内容。
