本文 Hash ( SHA1 ): 14f211363c25423b3eb2472ade8865dc95a14513
編號: 鏈源科技PandaLY Anti-Fraud Guide No.001
相信關注我們鏈源科技的朋友們,想必對 DeFi 已有一定了解。確實,在某些情況下,參與 DeFi 平台的質押,尤其是常見的 USDT 質押,的確可以帶來豐厚的效益。然而,伴隨機會而來的,還有各種層出不窮的騙局。許多不法分子利用投資人對區塊鏈技術和專案細節的了解不足,設計出一系列圈套。常見的手法是打著「比 xxx 平台更高收益率」的旗號,吸引你去不知名的 DeFi 平台進行質押投資,而這些平台往往以遠超傳統 DeFi 平台或交易所的回報率為誘餌。當他們騙取到足夠的資金後,便捲款逃跑,令投資者血本無歸。
為了幫助大家避免此類騙局的侵害,今天我們將結合最近發生的一個典型 DeFi 騙局案例,深入剖析其中的套路和操作手段。同時,我們也將為大家提供一些實用的防範技巧,幫助你在參與 DeFi 專案時更能辨識潛在風險,保護自己的資產安全。
什麼是 DeFi 質押?
DeFi 質押(Staking)是去中心化金融(DeFi)領域中的一種常見方式,用戶可以將他們的加密資產鎖定在智能合約中,參與網路的運作維護或提供流動性,並獲得相應的回報。這個過程類似銀行定期存款,用戶將資產暫時鎖定,換取利息或其他獎勵。
DeFi 質押通常有以下幾種形式:
權益質押(Proof of Stake,PoS):在一些基於 PoS 機制的區塊鏈網路中,用戶可以質押一定數量的加密貨幣來參與區塊的驗證和網路維護。質押的數量越多,獲得驗證機會的幾率就越大,用戶也可以從中獲得一定比例的區塊獎勵。
流動性挖礦: 使用者將自己的加密資產存入去中心化交易所或流動性池,提供資產的流動性,促進交易的順利進行。作為回報,用戶可以獲得一定比例的手續費收入或平台的原生代幣獎勵。
借貸質押: 用戶可以將加密資產質押到去中心化借貸平台,作為抵押借出另一種資產,同時賺取質押的利息。在這個過程中,用戶的質押資產仍會產生收益,但他們可以利用借出的資金進行其他操作。
目前來說,流動性挖礦是最常見的 DeFi 項目,所以今天我們主要來講講流動性挖礦。
流動性挖礦騙局
近日,我們碰到了一位熱心用戶向我們舉報了一個叫做 ve.finance 的 DeFi 網站,舉報用戶原話如下:
I am a victim of the ve.finance scam. The contract address of VE is
https://etherscan.io/address/0xdaef06a5fbf22cc67e521f937ab2a8e687558d74#code and has been successfully marked as a scam. But I discovered that they have opened: new webopensite
https://ethnano.com/,the contract address is:
https://etherscan.io/address/0xb53653f74c9ba313f764e7404bfeffab3500d25c.
Their website design, the API used, and the CODE of the contract are all exactly the same. I still havent seen any scam tags. I hope this will reduce the number of victims joining the scam.
言簡意駭的說,就是用戶碰到了一個打折扣質押名號的騙子網站,這個網站不通過各類授權去進行釣魚,而是通過在質押所用到的智能合約給用戶下絆子,並且網頁通過經常更換域名,使得受害者被騙後可能無法找到先前的網站。
當我們順著用戶給出的網址打開頁面時,MetaMask 直接阻止了我們打開網站,並彈出該網站為高危險網站的警告,但是我們是誰?我們可是無視風險繼續安裝的狠人。點開繼續造訪該網站,便來到了下圖的質押騙局網站介面。
別說,這個介面做的有模有樣的,還真挺像那麼一回事。我們點開了用戶檢舉的第一個智慧合約地址0xdaef06a5fbf22cc67e521f937ab2a8e687558d74
進行分析,發現這個可惡的騙子在智能合約中設定了超級用戶的帳戶地址。並且設定了一個函數:
function adminSendEth(address payable destination, uint amount) public onlyAdmin {
destination. transfer (amount);
}
這個函數是什麼意思呢?首先函數名就已經光明正大的命名為了adminSendEth,意思是這個就只有我這個超級用戶可以發送該函數,接著我們把注意力轉移到onlyAdmin 上,這個修飾詞的意思是,只有我-超級用戶,也就是騙子設定的超級用戶帳號可以呼叫這個函數。
那函數裡是什麼意思呢?很簡單,就是直接轉帳我指定的餘額「amount」到我指定的帳戶地址「address」。
當用戶通過這個智能合約質押後,騙子就可以直接將質押在智能合約地址的錢轉走,當用戶去查看智能合約後發現智能合約的賬戶沒錢了,才後知後覺發現自己被騙了。
接著我們再點開這位熱心用戶提供的另外一個合約:0xb53653f74c9ba313f764e7404bfeffab3500d25c
這個合約和上個合約不同的是,它裡面有一個函數,名為 Exchange,函數具體實作程式碼如下:
function Exchange(address user) external onlyOwner {
require(!_blacklisted[user],User is already blacklisted.);
_blacklisted [user] = true;
emit Blacklisted (user);
}
這個函數名叫做轉換,他裡面實現的內容也很簡單,只要你不在我的黑名單裡,那我就把你丟到黑名單,如果你在黑名單裡,噢~那你就乖乖待著吧~
所以當你在這個合約中質押了以後,就會自動呼叫這個函數,把你丟到小黑屋裡,一分錢都別想拿出來。
騙局預防
那麼 DeFi 質押的騙局該如何預防呢?
一、審查專案官網
第一步,我們要確定造訪的網站是合法且安全的:
SSL 證書:一定記住,任何合法的網站都應具有 SSL 證書,確保網站以「https」開頭。 SSL 憑證能夠加密使用者與網站之間的通信,防止資訊外洩和釣魚攻擊。如果你看到一個 DeFi 質押平台沒有 SSL 憑證或以「http」開頭,應立即離開,避免風險。
團隊透明度:一個可信賴的專案一定會有公開透明的團隊背景,我們可以在各類社交媒體上,如推特,查找了解專案團隊的信息,確保他們有公開的社交媒體,並且可以追溯他們以往參與過的項目。
網址:如果專案團隊是可靠的,我們就可以在他們官方社媒上尋找他們質押的相關網址,切記,不要點擊脫離官方背書的網址,因為有可能是仿冒釣魚網站。
不合理承諾:當質押項目如果承諾「高額回報」或「零風險」時,大概率是騙局,我們就需要提高警覺了。
交易所:幣安,歐易等頭部交易所都有自己對應的質押理財,我們大可不必去一些名不經轉的小平台,雖然收益不一定那麼可觀,但安全肯定是有保障的。
二、檢查智能合約
相信看過了上面的案例後,我們會發現智能合約是質押專案的核心,任何惡意程式碼都會導致資金無法取回。因此,務必仔細審查:
合約審計:使用區塊鏈瀏覽器(如 Etherscan)查看專案的智慧合約是否經過第三方審計,我們可以查閱專案合約是否經過權威審計機構(如 CertiK、OpenZeppelin)的審計。審計報告會揭示合約中是否存在安全漏洞以及潛在的風險。
代碼細節:如果你有一定的代碼能力,請務必審查合約代碼中是否留有後門(黑名單,白名單等),以及鎖倉期、提現限制等條款,確保資金的安全性,當然,如果看不懂代碼的話,可以把代碼複製給GPT 或其他AI 問問,他們也會給你正確的答案。
謹慎授權:當你與質押項目互動時,智能合約會請求你授權存取你的錢包。一定要小心「無限制授權」這項操作,如果授予無限權限,惡意合約可能隨時轉移你的資金。
三、社區驗證
加入專案的社群也是驗證專案真實性和受歡迎程度的重要途徑,因為很可能推特帳號的留言粉絲是刷出來的:
社交討論:可以透過加入 Telegram、Discord 等官方社群,看看社群的聊天記錄、氛圍,了解專案信譽。當一個社區內全都是在猛吹或是炫耀自己的收益,那大概率就是一個騙子項目,一個好的社區裡面的成員溝通都是十分客觀的。
警惕私密推廣:如果一個專案只在私人群組內推廣或不公開透明,可能有風險。一定要注意這類老師帶賺錢,一帶一的項目,這類僅靠口耳相傳拉人頭的項目,一定不是什麼好項目。
四、資金流動性與透明度
接下來是進階部分,一般來說,專案池的流動性和透明度是評估專案安全性的關鍵指標:
流動性池鎖定:流動性池為專案提供交易的基礎資金池。你可以透過區塊鏈瀏覽器查閱質押項目的流動性池是否已經被鎖定,流動性鎖定意味著項目方無法隨意提取或轉移資金,防止惡意跑路行為。如果流動性池沒有鎖定,專案方可能隨時提取資金,造成用戶無法提取質押資產的情況。
充足的流動性:流動性池的規模越大,用戶進行資產交易時的滑點(價格差)就越小,同時資金提取的難度也會更低。檢查流動性池的深度和資金充足性,確保池子中有足夠的資金可以滿足使用者的質押和提現需求。流動性不足的項目可能會導致資金無法順利提取。
鏈上透明度:專案的資金透明度是判斷其可信度的重要因素。你可以使用區塊鏈瀏覽器(如 Etherscan、BscScan 等)追蹤專案資金的流向,查看是否有資金被大規模提走或集中在少數地址。此外,可以透過設定監控錢包,自動追蹤專案關鍵資金流動,並及時收到提醒。這項措施能夠幫助你提前發現任何可疑的資金操作,避免成為跑路騙局的受害者。
結語
總的來說,DeFi 質押計畫雖然看起來充滿機會,但風險同樣不可忽視。尤其是許多新手朋友,可能會因為一時被高收益吸引,而忽略了專案本身的安全性。我們已經看過太多類似的騙局,從假網站、惡意智慧合約到社群刷單,手段五花八門。所以,大家在質押時務必要做足功課,從審查專案官網、核對智能合約、觀察社區活躍度,再到分析資金流動性,每一步都非常重要。
區塊鏈的世界是去中心化的,正因為如此,個人的資金安全更依賴自身的判斷和謹慎。千萬不要只被所謂的「高回報」沖昏頭腦,往往承諾「零風險」和「保底收益」的項目,背後都暗藏風險。安全性永遠比高收益重要,這是我們在 DeFi 質押中最該記得的一點。
透過今天的分享,我們希望能讓大家在未來的質押過程中更加理性和謹慎。無論你是剛接觸 DeFi 的新手,還是經驗豐富的老手,多關注專案的透明度和安全性,避免因一時疏忽掉進騙局的陷阱。如果大家有任何問題或疑慮,隨時可以留言討論,我們非常樂意幫助大家更好地保護自己的資產!畢竟,在這個去中心化的世界裡,大家共同學習、互相幫助,才是最穩健的投資策略!
鏈源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上資料分析,以及資產和合約漏洞救援,已成功為個人和機構追回多起被盜數位資產。同時,我們致力於為產業機構提供專案安全分析報告、鏈上溯源和技術諮詢/支援服務。
感謝各位的閱讀,我們將持續專注分享區塊鏈安全內容。
