Web3 安全入门避坑指南｜貔貅盘骗局 | 慢雾 SlowMist na Binance Square

慢雾 SlowMist · 2024-09-10T07:30:02.000Z

背景在上一期 Web3 安全入门避坑指南中，我们分析了常见的假矿池骗局，本期我们将聚焦于貔貅盘骗局。传说中，貔貅是一种神奇的生物，据说吞入的财宝无法再从其体内取出。这一形象恰如其分地描述了貔貅盘骗局：用户投入资金后，价格迅速上涨，引发跟风购买，但最终发现自己无法卖出，资金被套牢。本期内容包括用户陷入貔貅盘的原因，貔貅盘骗局的典型套路，以及相应的安全建议，希望可以帮助大家提高警惕，避免踩坑。陷入貔貅盘的原因我们先来看看用户陷入貔貅盘的几个常见原因：仿盘不单现实世界里有假币，虚拟货币也有假币。一些仿盘项目会复制知名项目的名称和标识，创建相同名称的代币合约。用户可能因为没有仔细检查代币的合约地址而误入貔貅盘，结果陷入无法卖出的困境。 “赛跑”心态有些用户明知项目不可靠，甚至已经察觉其中的可疑之处（蜡烛图的柱体是接连的绿色），但抱有“跑得快就没事”的侥幸心理，实际上进去就基本出不来了。用户原本以为可以在上涨趋势中迅速买入，再择机卖出，那不是稳赚不赔的吗？但当他们试图卖出时，要么完全无法操作，要么只能卖出极少量的代币。受骗子诱导投资还有一种常见的情况是用户被骗子的花言巧语所诱惑，继而投资了貔貅盘。某位貔貅盘骗局的受害者描述了自己的经历：“我当时在 Telegram 群组提了一个问题，有个人热心回答了我很多问题，也教了我很多东西，在我们私聊了两天之后，我觉得他人挺不错的。于是他提议带我去一级市场购买新代币，并在 PancakeSwap 上给我提供了一个币种的合约地址。我购买之后，这个币一直在猛涨，他告诉我这是半年一遇的黄金机会，建议我立即加大投资。我感觉事情没这么简单就没采纳他的建议，他就一直催我，一催我意识到可能被欺骗了，我便请群里的其他人帮忙查询，结果发现这确实是貔貅币，我也试过了只能买不能卖。当骗子发现我不再加仓时，他也将我拉黑。” 貔貅盘典型套路了解了用户常见的踩坑原因后，我们再看看貔貅盘骗子是怎么操纵骗局的。骗子首先部署一个带有陷阱的智能合约，然后通过社群营销、拉盘等操作抛出高利润的诱饵，吸引用户购入。有的骗子还把持有的代币发送给钱包和交易所，造成有很多人参与的假象，或是故意往加密 KOL 的地址转币，伪造名人买入的假象。用户购买貔貅币后，通常会看到代币快速升值，于是想等到代币的涨幅足够大了再尝试兑换，然而合约本身却用多种方式限制用户卖出：将买家地址加入黑名单一旦受害者购买了貔貅币，骗子就会把用户的地址拉入黑名单，限制卖出操作。我们以貔貅币 GROKAI 为例，看看骗子是如何把用户加入黑名单使得用户无法卖出代币的。 GROKAI 部署者的地址是 0x2052C307a5e6d50F6a908a91fF7e605Eb0e0a2EC，骗子创建貔貅币 GROKAI 后，将 GROKAI 代币的 Router 更改为 Aontroller 合约地址 0x7a85810414C3311A45486b03ceCCD3a32590E61E，骗子为什么要这样做呢？我们查看 Aontroller 合约代码，结果发现合约所有者可以通过调用函数将地址列入黑名单，导致用户无法出售 GROKAI 代币更改地址内的代币数量骗子还可以通过智能合约操控用户的代币余额，将用户的代币余额改为极低的数值，并仅记录在合约内部。这种操作不会在区块链浏览器上更新余额，意味着用户在区块链浏览器上仍能看到自己持有的代币，但是实际上无法出售超过合约记录数量的代币。设置卖出门槛部分貔貅盘允许用户出售代币，但设有卖出门槛，要求用户必须超过设定的代币数量才能交易。有时这个门槛设定得非常高，超出用户实际持有量，或附加高额的交易税。更狡猾的方式是动态调整门槛，例如，用户有 1000 枚代币，当用户尝试卖出时，最低门槛可能被设为 1200 枚。用户为了达到卖出条件会进一步买入貔貅币，但当用户的持有量达到 1200 枚时，门槛又提高到 1400 枚，如此循环，用户永远无法满足卖出条件。总结本期我们分析了用户陷入貔貅盘的原因及貔貅盘的典型套路，希望帮助大家了解并识别此类骗局。为避免误入貔貅盘，用户可以采取以下措施：了解相关的虚拟货币信息并评估项目方背景，提高自我防范意识。警惕提供高回报的虚拟货币，超高的回报通常意味着更大的风险。使用 MistTrack 查看相关地址的风险情况，或通过 GoPlus 的 Token 安全检测工具识别貔貅币并进行交易决策。搜索代币时应搜索合约地址而非代币名称，避免落入仿盘陷阱。在 Etherscan、BscScan 等区块浏览器上检查代码是否经过了审计和验证，并参考社区评论。

tłoW ostatnim numerze Przewodnika wprowadzającego dotyczącego bezpieczeństwa Web3 dotyczącego unikania pułapek przeanalizowaliśmy popularne oszustwa związane z fałszywymi kopalniami. W tym numerze skupimy się na oszustwie Pixiu Pan. Według legendy Pixiu jest magicznym stworzeniem i mówi się, że połkniętych skarbów nie można wyjąć z jego ciała. Ten obraz trafnie opisuje oszustwo Pixiu Pan: po tym, jak użytkownicy zainwestują pieniądze, cena gwałtownie rośnie, powodując kolejne zakupy, ale ostatecznie okazuje się, że nie mogą sprzedać, a środki są zablokowane.
Treść tego numeru zawiera powody, dla których użytkownicy wpadają w Pixiu Pan, typowe sztuczki oszustwa Pixiu Pan i odpowiednie sugestie dotyczące bezpieczeństwa, mam nadzieję, że pomoże to wszystkim zachować większą czujność i uniknąć pułapek.
Powody wpadnięcia na dysk PixiuPrzyjrzyjmy się najpierw kilku typowym powodom, dla których użytkownicy wpadają na rynek Pixiu:
Imitacja dyskuPodrabiane monety występują nie tylko w świecie rzeczywistym, ale także w walutach wirtualnych. Niektóre projekty imitacyjne będą kopiować nazwy i logo dobrze znanych projektów i tworzyć kontrakty symboliczne o tej samej nazwie. Użytkownicy mogą omyłkowo wejść na rynek Pixiu bez dokładnego sprawdzenia adresu kontraktowego tokena i skończyć z dylematem, w którym nie będą mogli sprzedawać.
Mentalność „rasowa”.Niektórzy użytkownicy wiedzą, że projekt jest zawodny i nawet zauważyli w nim coś podejrzanego (słupki na wykresie świecowym są kolejno zielone), ale mają szczęśliwą mentalność „działaj szybko i wszystko będzie dobrze”. nie można wyjść po wejściu. Użytkownicy początkowo myśleli, że mogą szybko kupić w trendzie wzrostowym, a następnie sprzedać w odpowiednim momencie. Czy nie byłby to pewny zysk bez utraty pieniędzy? Ale kiedy próbują sprzedać, albo całkowicie nie działają, albo mogą sprzedać tylko bardzo małą liczbę tokenów.
Inwestowanie wywołane przez oszustówInną częstą sytuacją jest to, że użytkownicy dają się uwieść retoryce oszusta, a następnie inwestują w Pixiu Pan. Ofiara oszustwa Pixiu Pan opisała swoje doświadczenie: „Zadałam pytanie w grupie na Telegramie i ktoś entuzjastycznie odpowiedział na wiele moich pytań i wiele mnie nauczył. Po dwóch dniach prywatnej rozmowy pomyślałem, że jest ładny dobrze, więc zaproponował mi zabranie mnie na rynek pierwotny w celu zakupu nowych tokenów i podał mi adres kontraktu na walutę na PancakeSwap. Po zakupie waluta stale rosła, powiedział mi. To wspaniała okazja przychodzi do mnie raz na pół roku. Zasugerował, żebym natychmiast zwiększył inwestycję. Poczułem, że nie jest to takie proste, więc nie poszedłem za jego radą. Gdy tylko zdałem sobie sprawę, że mogłem zostać oszukany , zadzwoniłem do grupy, inni tam pomogli mi sprawdzić i okazało się, że to rzeczywiście był Pixiu Coin. Ja też próbowałem, ale mogłem go tylko kupić, ale nie sprzedać, gdy oszust dowiedział się, że już mnie nie ma dodając pozycje, również mnie zablokował.
Typowa rutyna Pixiu PanPo zrozumieniu typowych powodów, dla których użytkownicy padają ofiarą oszustwa, przyjrzyjmy się, w jaki sposób oszuści Pixiu Pan wykorzystują to oszustwo. Oszust najpierw wdraża inteligentny kontrakt z pułapką, a następnie wykorzystuje marketing społecznościowy, pozyskiwanie klientów i inne operacje, aby wyrzucić przynętę o wysokim zysku, aby przyciągnąć użytkowników do zakupu. Niektórzy oszuści wysyłają również posiadane tokeny do portfeli i giełd, tworząc iluzję, że wiele osób uczestniczy, lub celowo przesyłają monety na adresy kryptowalut KOL, aby dać złudzenie, że kupują celebryci.
Po zakupie monet Pixiu użytkownicy zwykle zauważają szybki wzrost wartości tokenów, dlatego wolą poczekać, aż liczba tokenów wzrośnie wystarczająco, zanim spróbują je wymienić. Jednak sama umowa ogranicza użytkownikom możliwość sprzedaży na różne sposoby:
Dodaj adres kupującego do czarnej listyGdy ofiara kupi monety Pixiu, oszust umieści adres użytkownika na czarnej liście i ograniczy operacje sprzedaży. Weźmy jako przykład monetę Pixiu GROKAI, aby zobaczyć, jak oszuści dodają użytkowników do czarnej listy, aby użytkownicy nie mogli sprzedawać tokenów.
Adres wdrażającego GROKAI to 0x2052C307a5e6d50F6a908a91fF7e605Eb0e0a2EC. Po utworzeniu monety Pixiu GROKAI zmienił router tokena GROKAI na adres kontraktu Aontroller 0x7a85810414C3311A45486b03ceCCD3a325. 90E61E, dlaczego kłamcy to robią?
Przyjrzeliśmy się kodowi kontraktu Aontroller i odkryliśmy, że właściciel kontraktu może umieścić adres na czarnej liście, wywołując funkcję uniemożliwiającą użytkownikom sprzedaż tokenów GROKAIZmień liczbę tokenów w adresieOszuści mogą również manipulować saldem tokenów użytkownika za pomocą inteligentnych kontraktów, zmieniając saldo tokenów użytkownika na wyjątkowo niską wartość i zapisując je jedynie w umowie. Ta operacja nie zaktualizuje salda w eksploratorze blockchain, co oznacza, że ​​użytkownicy nadal będą mogli zobaczyć tokeny, które trzymają w eksploratorze blockchain, ale w rzeczywistości nie będą mogli sprzedać tokenów przekraczających liczbę zapisaną w umowie.
Ustaw próg sprzedażyNiektóre tablice Pixiu umożliwiają użytkownikom sprzedaż tokenów, ale istnieje próg sprzedaży, który wymaga od użytkowników przekroczenia ustalonej liczby tokenów, zanim będą mogli handlować. Czasami próg ten jest ustalany bardzo wysoko, przekraczający faktyczny stan posiadania użytkowników, lub też nakładane są wysokie podatki od transakcji. Bardziej sprytnym sposobem jest dynamiczne dostosowywanie progu. Na przykład, jeśli użytkownik ma 1000 monet, gdy użytkownik próbuje sprzedać, minimalny próg może zostać ustawiony na 1200 monet. Aby spełnić warunki sprzedaży, użytkownik będzie dalej kupował monety Pixiu, ale gdy stan posiadania użytkownika osiągnie 1200 monet, próg zostanie podniesiony do 1400 monet. W tym cyklu użytkownik nigdy nie będzie w stanie spełnić warunków sprzedaży.
StreszczaćW tym numerze analizujemy powody, dla których użytkownicy wpadają w Pixiu Pan i typowe sztuczki Pixiu Pan, mając nadzieję, że pomożemy każdemu zrozumieć i zidentyfikować tego typu oszustwo. Aby uniknąć przypadkowego wejścia na płytkę Pixiu, użytkownicy mogą podjąć następujące kroki:
Zrozum istotne informacje o wirtualnej walucie, oceń historię stron projektu i zwiększ świadomość w zakresie samozapobiegania. Uważaj na waluty wirtualne, które oferują wysokie zyski. Bardzo wysokie zyski zazwyczaj oznaczają większe ryzyko.
Użyj MistTrack, aby wyświetlić profil ryzyka powiązanych adresów, lub użyj narzędzia GoPlus do wykrywania bezpieczeństwa tokenów, aby zidentyfikować monety Pixiu i podejmować decyzje handlowe.
Szukając tokenów, należy szukać adresu kontraktu, a nie nazwy tokena, aby nie wpaść w pułapkę imitowania rynku.
Sprawdź, czy kod został poddany audytowi i zweryfikowany w eksploratorach bloków, takich jak Etherscan, BscScan, i zapoznaj się z recenzjami społeczności.