Hash ( SHA1 ) của bài viết này: 14f211363c25423b3eb2472ade8865dc95a14513
Số: Hướng dẫn chống lừa đảo PandaLY của Chainyuan Technology số 001
Tôi tin rằng những người bạn theo dõi công nghệ nguồn chuỗi của chúng tôi chắc hẳn đã có hiểu biết nhất định về DeFi. Quả thực, trong một số trường hợp, việc tham gia stake trên nền tảng DeFi, đặc biệt là stake USDT phổ biến, quả thực có thể mang lại lợi ích rất lớn. Tuy nhiên, cùng với những cơ hội là những trò gian lận vô tận. Nhiều tội phạm lợi dụng sự thiếu hiểu biết của nhà đầu tư về công nghệ blockchain và chi tiết dự án để thiết kế hàng loạt bẫy. Một chiến thuật phổ biến là thu hút bạn đến các nền tảng DeFi không xác định để đặt cược đầu tư dưới biểu ngữ lợi suất cao hơn nền tảng xxx và những nền tảng này thường mang lại lợi nhuận vượt xa so với nền tảng hoặc sàn giao dịch DeFi truyền thống. Sau khi lừa đủ số tiền, họ bỏ trốn cùng số tiền, khiến các nhà đầu tư không lấy lại được gì.
Để giúp mọi người tránh những trò lừa đảo như vậy, hôm nay chúng tôi sẽ tổng hợp một vụ lừa đảo DeFi điển hình gần đây để phân tích sâu về quy trình và phương thức vận hành. Đồng thời, chúng tôi cũng sẽ cung cấp cho bạn một số kỹ năng phòng ngừa thiết thực để giúp bạn xác định tốt hơn các rủi ro tiềm ẩn và bảo vệ sự an toàn cho tài sản của mình khi tham gia các dự án DeFi.
Đặt cược DeFi là gì?
Đặt cược DeFi là một phương pháp phổ biến trong lĩnh vực tài chính phi tập trung (DeFi). Người dùng có thể khóa tài sản được mã hóa của mình trong hợp đồng thông minh, tham gia vận hành và bảo trì mạng hoặc cung cấp thanh khoản và nhận được lợi nhuận tương ứng. Quá trình này tương tự như tiền gửi có kỳ hạn của ngân hàng, nơi người dùng tạm thời khóa tài sản của họ để đổi lấy lãi suất hoặc các phần thưởng khác.
Đặt cược DeFi thường có các hình thức sau:
Bằng chứng cổ phần (PoS): Trong một số mạng blockchain dựa trên cơ chế PoS, người dùng có thể cầm cố một lượng tiền điện tử nhất định để tham gia xác minh khối và bảo trì mạng. Số tiền cam kết càng lớn thì cơ hội nhận được cơ hội xác minh càng lớn và người dùng cũng có thể nhận được một tỷ lệ phần thưởng khối nhất định.
Khai thác thanh khoản: Người dùng gửi tài sản được mã hóa của họ vào các sàn giao dịch phi tập trung hoặc nhóm thanh khoản để cung cấp tính thanh khoản cho tài sản và thúc đẩy các giao dịch suôn sẻ. Đổi lại, người dùng có thể nhận được một tỷ lệ phần trăm thu nhập phí nhất định hoặc phần thưởng mã thông báo gốc của nền tảng.
Cho vay và cầm cố: Người dùng có thể cầm cố tài sản tiền điện tử cho một nền tảng cho vay phi tập trung để cho vay một tài sản khác làm tài sản thế chấp trong khi kiếm lãi từ khoản cầm cố. Trong quá trình này, tài sản cầm cố của người dùng vẫn sẽ tạo ra thu nhập nhưng họ có thể sử dụng số tiền vay cho các hoạt động khác.
Hiện tại, khai thác thanh khoản là dự án DeFi phổ biến nhất nên hôm nay chúng ta sẽ chủ yếu nói về khai thác thanh khoản.
Lừa đảo khai thác thanh khoản
Gần đây, chúng tôi gặp phải một người dùng nhiệt tình đã báo cáo một trang web DeFi có tên là ve.finance cho chúng tôi những lời ban đầu của người dùng báo cáo như sau:
Tôi là nạn nhân của vụ lừa đảo ve.finance. Địa chỉ hợp đồng của VE là.
https://etherscan.io/address/0xdaef06a5fbf22cc67e521f937ab2a8e687558d74#code và đã bị đánh dấu thành công là lừa đảo. Nhưng tôi phát hiện ra rằng họ đã mở một trang web mới:
https://ethnano.com/,địa chỉ hợp đồng là:
https://etherscan.io/address/0xb53653f74c9ba313f764e7404bfeffab3500d25c.
Thiết kế trang web của họ, API được sử dụng và MÃ của hợp đồng đều giống hệt nhau. Tôi vẫn chưa thấy bất kỳ thẻ lừa đảo nào. Tôi hy vọng điều này sẽ làm giảm số lượng nạn nhân tham gia lừa đảo.
Nói một cách đơn giản, người dùng gặp phải một trang web lừa đảo giảm giá tên cam kết. Trang web này không sử dụng nhiều ủy quyền khác nhau để câu cá mà sử dụng hợp đồng thông minh được sử dụng trong cam kết để lừa người dùng và trang web này thường xuyên thay đổi tên miền. những cái tên có thể khiến nạn nhân không thể tìm lại được website trước đó sau khi bị lừa.
Khi chúng ta mở trang theo URL do người dùng cung cấp, MetaMask trực tiếp ngăn chúng ta mở trang web và hiện lên cảnh báo rằng trang web đó là trang web có rủi ro cao, nhưng chúng tôi là ai? Chúng tôi là những người tàn nhẫn, tiếp tục cài đặt bất chấp rủi ro. Nhấn tiếp tục truy cập vào website sẽ đến với giao diện website cam kết lừa đảo như hình dưới đây.
Không cần phải nói, giao diện này được thiết kế rất đẹp và nó thực sự trông như thế. Chúng tôi đã nhấp vào địa chỉ hợp đồng thông minh đầu tiên 0xdaef06a5fbf22cc67e521f937ab2a8e687558d74 do người dùng báo cáo.
Sau khi phân tích, người ta phát hiện ra rằng kẻ lừa đảo khó chịu này đã đặt địa chỉ tài khoản của siêu người dùng trong hợp đồng thông minh. Và thiết lập một chức năng:
chức năng quản trị viênSendEth(địa chỉ đích thanh toán, số tiền uint) chỉ công khaiAdmin {
đích.transfer(số tiền);
}
Chức năng này có nghĩa là gì? Trước hết, tên hàm đã được đặt tên công khai là adminSendEth, có nghĩa là chỉ tôi, siêu người dùng, mới có thể gửi hàm này. Sau đó, chúng tôi chuyển sự chú ý sang onlyAdmin. Điều này có nghĩa là chỉ tôi, siêu người dùng, mới có thể gửi hàm này. function. Tài khoản superuser do kẻ lừa đảo thiết lập có thể gọi chức năng này.
Chức năng này có nghĩa là gì? Rất đơn giản, chỉ cần chuyển trực tiếp “số tiền” số dư mà tôi đã chỉ định đến địa chỉ “địa chỉ” tài khoản mà tôi đã chỉ định.
Khi người dùng cam kết thông qua hợp đồng thông minh này, kẻ lừa đảo có thể trực tiếp chuyển số tiền đã cam kết theo địa chỉ hợp đồng thông minh. Khi người dùng kiểm tra hợp đồng thông minh và phát hiện tài khoản hợp đồng thông minh không có tiền, anh ta nhận ra rằng mình đã bị lừa.
Sau đó, chúng tôi nhấp vào một hợp đồng khác do người dùng nhiệt tình này cung cấp: 0xb53653f74c9ba313f764e7404bfeffab3500d25c
Điểm khác biệt giữa hợp đồng này và hợp đồng trước đó là nó có một chức năng tên là Exchange. Mã triển khai cụ thể của chức năng như sau:
chức năng Exchange(địa chỉ người dùng) chỉ bên ngoàiOwner {
require(!_blacklist[user],Người dùng đã bị đưa vào danh sách đen.);
_danh sách đen [người dùng] = đúng;
phát ra Danh sách đen (người dùng);
}
Tên của chức năng này là chuyển đổi và nội dung được triển khai trong đó cũng rất đơn giản Chỉ cần bạn không có trong danh sách đen của tôi thì tôi sẽ ném bạn vào danh sách đen. đó.
Vì vậy, khi bạn đặt cược vào hợp đồng này, chức năng này sẽ tự động được gọi và bạn sẽ bị ném vào phòng tối mà không có cơ hội lấy được một xu.
Phòng chống lừa đảo
Vậy làm cách nào để ngăn chặn lừa đảo đặt cược DeFi?
1. Đánh giá trang web chính thức của dự án
Bước đầu tiên là đảm bảo trang web chúng tôi truy cập là hợp pháp và an toàn:
Chứng chỉ SSL: Luôn nhớ rằng bất kỳ trang web hợp pháp nào cũng phải có chứng chỉ SSL, hãy đảm bảo trang web bắt đầu bằng “https”. Chứng chỉ SSL có thể mã hóa thông tin liên lạc giữa người dùng và trang web, ngăn chặn rò rỉ thông tin và các cuộc tấn công lừa đảo. Nếu bạn thấy nền tảng stake DeFi không có chứng chỉ SSL hoặc bắt đầu bằng “http”, bạn nên rời đi ngay lập tức để tránh rủi ro.
Tính minh bạch của nhóm: Một dự án đáng tin cậy phải có nền tảng nhóm cởi mở và minh bạch. Chúng tôi có thể tìm thấy thông tin về nhóm dự án trên nhiều phương tiện truyền thông xã hội khác nhau, chẳng hạn như Twitter, để đảm bảo rằng họ có phương tiện truyền thông xã hội công khai và có thể theo dõi các Dự án trước đây của họ đã tham gia.
URL: Nếu nhóm dự án đáng tin cậy, chúng tôi có thể tìm kiếm các URL liên quan đến cam kết của họ trên phương tiện truyền thông xã hội chính thức của họ. Hãy nhớ rằng không nhấp vào các URL không được xác nhận chính thức vì chúng có thể là các trang web lừa đảo giả mạo.
Những lời hứa vô lý: Khi một dự án cam kết hứa hẹn lợi nhuận cao hoặc không rủi ro thì rất có thể đó là một dự án lừa đảo và chúng ta cần phải cảnh giác hơn.
Sàn giao dịch: Binance, Oyi và các sàn giao dịch hàng đầu khác có khoản tài trợ cam kết tương ứng của riêng họ. Chúng tôi không cần phải đến một số nền tảng nhỏ không xác định. Mặc dù thu nhập có thể không đáng kể nhưng sự an toàn chắc chắn được đảm bảo.
2. Kiểm tra hợp đồng thông minh
Tôi tin rằng sau khi đọc các trường hợp trên, chúng ta sẽ thấy rằng hợp đồng thông minh là cốt lõi của dự án cầm cố và bất kỳ mã độc hại nào cũng sẽ khiến số tiền không thể lấy lại được. Vì vậy, điều quan trọng là phải xem xét cẩn thận:
Kiểm tra hợp đồng: Sử dụng trình duyệt blockchain (chẳng hạn như Etherscan) để kiểm tra xem hợp đồng thông minh của dự án đã được bên thứ ba kiểm toán hay chưa. Chúng tôi có thể kiểm tra xem hợp đồng dự án đã được kiểm toán bởi cơ quan kiểm toán có thẩm quyền (chẳng hạn như CertiK, OpenZeppelin) hay chưa. Báo cáo kiểm toán sẽ tiết lộ liệu có lỗ hổng bảo mật và rủi ro tiềm ẩn trong hợp đồng hay không.
Chi tiết mã: Nếu bạn có khả năng mã hóa nhất định, vui lòng đảm bảo xem xét xem có cửa sau (danh sách đen, danh sách trắng, v.v.) trong mã hợp đồng hay không, cũng như thời gian khóa, hạn chế rút tiền và các điều khoản khác để đảm bảo an toàn Tất nhiên, nếu bạn nhìn không hiểu mã, bạn có thể sao chép mã và hỏi GPT hoặc AI khác, họ sẽ cho bạn câu trả lời chính xác.
Ủy quyền một cách thận trọng: Khi bạn tương tác với một dự án đặt cược, hợp đồng thông minh sẽ yêu cầu bạn cấp quyền truy cập vào ví của mình. Hãy nhớ cẩn thận về hoạt động ủy quyền không giới hạn. Nếu quyền không giới hạn được cấp, một hợp đồng độc hại có thể chuyển tiền của bạn bất cứ lúc nào.
3. Xác minh cộng đồng
Tham gia cộng đồng của dự án cũng là một cách quan trọng để xác minh tính xác thực và mức độ phổ biến của dự án, vì rất có thể số người theo dõi tin nhắn của tài khoản Twitter được tạo ra bằng cách đánh lừa:
Thảo luận xã hội: Bạn có thể tham gia các cộng đồng chính thức như Telegram và Discord để xem lịch sử trò chuyện và bầu không khí của cộng đồng cũng như hiểu được độ tin cậy của dự án. Khi mọi người trong cộng đồng đều khoe khoang hoặc khoe khoang lợi nhuận của mình thì rất có thể đó là một dự án lừa đảo. Các thành viên của một cộng đồng tốt giao tiếp rất khách quan.
Hãy cảnh giác với việc xúc tiến tư nhân: Nếu một dự án chỉ được xúc tiến trong các nhóm tư nhân hoặc không công khai, minh bạch thì có thể gặp rủi ro. Hãy chú ý đến loại dự án mà giáo viên kiếm tiền, các dự án riêng lẻ và các dự án chỉ dựa vào truyền miệng để thu hút mọi người, chắc chắn không phải là dự án tốt.
4. Tính thanh khoản và minh bạch vốn
Tiếp theo là phần nâng cao Nói chung, tính thanh khoản và tính minh bạch của nhóm dự án là những chỉ số chính để đánh giá tính bảo mật của dự án:
Khóa nhóm thanh khoản: Nhóm thanh khoản cung cấp cho dự án một nhóm quỹ cơ bản để giao dịch. Bạn có thể sử dụng trình duyệt blockchain để kiểm tra xem nhóm thanh khoản của dự án đã cam kết có bị khóa hay không. Khóa thanh khoản có nghĩa là bên dự án không thể rút hoặc chuyển tiền theo ý muốn, ngăn chặn hành vi trốn thoát có ác ý. Nếu nhóm thanh khoản không bị khóa, bên dự án có thể rút tiền bất cứ lúc nào, khiến người dùng không thể rút tài sản cầm cố.
Đủ thanh khoản: Nhóm thanh khoản càng lớn thì độ trượt (chênh lệch giá) khi người dùng giao dịch tài sản càng nhỏ và độ khó rút tiền sẽ thấp hơn. Kiểm tra độ sâu và mức tài trợ đầy đủ của nhóm thanh khoản để đảm bảo có đủ tiền trong nhóm nhằm đáp ứng nhu cầu đặt cược và rút tiền của người dùng. Các dự án không đủ thanh khoản có thể cản trở việc rút tiền một cách suôn sẻ.
Tính minh bạch trên chuỗi: Tính minh bạch tài chính của dự án là một yếu tố quan trọng để đánh giá độ tin cậy của nó. Bạn có thể sử dụng trình duyệt blockchain (chẳng hạn như Etherscan, BscScan, v.v.) để theo dõi dòng tiền của dự án và xem liệu có khoản tiền nào được rút trên quy mô lớn hay tập trung ở một vài địa chỉ hay không. Ngoài ra, bạn có thể thiết lập ví giám sát để tự động theo dõi dòng vốn của dự án quan trọng và nhận được lời nhắc kịp thời. Biện pháp này có thể giúp bạn phát hiện trước mọi hoạt động tài chính đáng ngờ và tránh trở thành nạn nhân của một vụ lừa đảo bỏ trốn.
Phần kết luận
Nhìn chung, mặc dù các dự án stake DeFi có vẻ tràn đầy cơ hội nhưng không thể bỏ qua những rủi ro. Đặc biệt, nhiều người bạn mới làm quen có thể tạm thời bị thu hút bởi lợi nhuận cao và bỏ qua sự an toàn của chính dự án. Chúng tôi đã thấy quá nhiều vụ lừa đảo tương tự, từ trang web giả mạo, hợp đồng thông minh độc hại đến lừa đảo cộng đồng, bằng nhiều phương thức khác nhau. Do đó, mọi người phải làm đủ bài tập về nhà khi đặt cược, từ việc xem xét trang web chính thức của dự án, kiểm tra hợp đồng thông minh, quan sát hoạt động của cộng đồng, đến phân tích tính thanh khoản vốn, mọi bước đều rất quan trọng.
Thế giới blockchain được phân cấp và do đó, an ninh tài chính cá nhân phụ thuộc nhiều hơn vào khả năng phán đoán và thận trọng của chính mỗi người. Đừng chỉ bị choáng ngợp bởi cái gọi là “lợi nhuận cao”. Các dự án hứa hẹn “không rủi ro” và “lợi nhuận được đảm bảo” thường ẩn chứa những rủi ro. An toàn luôn quan trọng hơn lợi nhuận cao. Đây là điều quan trọng nhất chúng ta nên ghi nhớ khi đặt cược vào DeFi.
Qua chia sẻ ngày hôm nay, chúng tôi hy vọng sẽ khiến mọi người lý trí và thận trọng hơn trong quá trình stake sau này. Dù bạn là người mới làm quen với DeFi hay là một cựu chiến binh có kinh nghiệm, hãy chú ý hơn đến tính minh bạch và bảo mật của dự án để tránh rơi vào bẫy lừa đảo do sơ suất. Nếu bạn có bất kỳ câu hỏi hoặc thắc mắc nào, bạn có thể để lại tin nhắn để thảo luận bất cứ lúc nào. Chúng tôi rất sẵn lòng giúp bạn bảo vệ tài sản của mình tốt hơn! Suy cho cùng, trong thế giới phi tập trung này, mọi người học hỏi và giúp đỡ lẫn nhau chính là chiến lược đầu tư an toàn nhất!
Chainyuan Technology là một công ty tập trung vào bảo mật blockchain. Công việc cốt lõi của chúng tôi bao gồm nghiên cứu bảo mật blockchain, phân tích dữ liệu trên chuỗi cũng như giải cứu lỗ hổng tài sản và hợp đồng, đồng thời chúng tôi đã khôi phục thành công nhiều tài sản kỹ thuật số bị đánh cắp cho các cá nhân và tổ chức. Đồng thời, chúng tôi cam kết cung cấp các báo cáo phân tích an toàn dự án, truy xuất nguồn gốc trên chuỗi và các dịch vụ tư vấn/hỗ trợ kỹ thuật cho các tổ chức trong ngành.
Cảm ơn bạn đã đọc, chúng tôi sẽ tiếp tục tập trung và chia sẻ nội dung bảo mật blockchain.