Web3 安全入门避坑指南|貔貅盘骗局

科技   其他   2024-09-09 16:43   中国香港  

#Web3 安全入门避坑指南


背景


在上一期 Web3 安全入门避坑指南中,我们分析了常见的假矿池骗局,本期我们将聚焦于貔貅盘骗局。传说中,貔貅是一种神奇的生物,据说吞入的财宝无法再从其体内取出。这一形象恰如其分地描述了貔貅盘骗局:用户投入资金后,价格迅速上涨,引发跟风购买,但最终发现自己无法卖出,资金被套牢。


本期内容包括用户陷入貔貅盘的原因,貔貅盘骗局的典型套路,以及相应的安全建议,希望可以帮助大家提高警惕,避免踩坑。


陷入貔貅盘的原因


我们先来看看用户陷入貔貅盘的几个常见原因:


仿盘


不单现实世界里有假币,虚拟货币也有假币。一些仿盘项目会复制知名项目的名称和标识,创建相同名称的代币合约。用户可能因为没有仔细检查代币的合约地址而误入貔貅盘,结果陷入无法卖出的困境。



“赛跑”心态


有些用户明知项目不可靠,甚至已经察觉其中的可疑之处(蜡烛图的柱体是接连的绿色),但抱有“跑得快就没事”的侥幸心理,实际上进去就基本出不来了。用户原本以为可以在上涨趋势中迅速买入,再择机卖出,那不是稳赚不赔的吗?但当他们试图卖出时,要么完全无法操作,要么只能卖出极少量的代币。



受骗子诱导投资


还有一种常见的情况是用户被骗子的花言巧语所诱惑,继而投资了貔貅盘。某位貔貅盘骗局的受害者描述了自己的经历:“我当时在 Telegram 群组提了一个问题,有个人热心回答了我很多问题,也教了我很多东西,在我们私聊了两天之后,我觉得他人挺不错的。于是他提议带我去一级市场购买新代币,并在 PancakeSwap 上给我提供了一个币种的合约地址。我购买之后,这个币一直在猛涨,他告诉我这是半年一遇的黄金机会,建议我立即加大投资。我感觉事情没这么简单就没采纳他的建议,他就一直催我,一催我意识到可能被欺骗了,我便请群里的其他人帮忙查询,结果发现这确实是貔貅币,我也试过了只能买不能卖。当骗子发现我不再加仓时,他也将我拉黑。”


貔貅盘典型套路

 


了解了用户常见的踩坑原因后,我们再看看貔貅盘骗子是怎么操纵骗局的。骗子首先部署一个带有陷阱的智能合约,然后通过社群营销、拉盘等操作抛出高利润的诱饵,吸引用户购入。有的骗子还把持有的代币发送给钱包和交易所,造成有很多人参与的假象,或是故意往加密 KOL 的地址转币,伪造名人买入的假象。



用户购买貔貅币后,通常会看到代币快速升值,于是想等到代币的涨幅足够大了再尝试兑换,然而合约本身却用多种方式限制用户卖出:


将买家地址加入黑名单


一旦受害者购买了貔貅币,骗子就会把用户的地址拉入黑名单,限制卖出操作。我们以貔貅币 GROKAI 为例,看看骗子是如何把用户加入黑名单使得用户无法卖出代币的。



GROKAI 部署者的地址是 0x2052C307a5e6d50F6a908a91fF7e605Eb0e0a2EC,骗子创建貔貅币 GROKAI 后,将 GROKAI 代币的 Router 更改为 Aontroller 合约地址 0x7a85810414C3311A45486b03ceCCD3a32590E61E,骗子为什么要这样做呢?



我们查看 Aontroller 合约代码,结果发现合约所有者可以通过调用函数将地址列入黑名单,导致用户无法出售 GROKAI 代币。




更改地址内的代币数量


骗子还可以通过智能合约操控用户的代币余额,将用户的代币余额改为极低的数值,并仅记录在合约内部。这种操作不会在区块链浏览器上更新余额,意味着用户在区块链浏览器上仍能看到自己持有的代币,但是实际上无法出售超过合约记录数量的代币。


设置卖出门槛


部分貔貅盘允许用户出售代币,但设有卖出门槛,要求用户必须超过设定的代币数量才能交易。有时这个门槛设定得非常高,超出用户实际持有量,或附加高额的交易税。更狡猾的方式是动态调整门槛,例如,用户有 1000 枚代币,当用户尝试卖出时,最低门槛可能被设为 1200 枚。用户为了达到卖出条件会进一步买入貔貅币,但当用户的持有量达到 1200 枚时,门槛又提高到 1400 枚,如此循环,用户永远无法满足卖出条件。



总结


本期我们分析了用户陷入貔貅盘的原因及貔貅盘的典型套路,希望帮助大家了解并识别此类骗局。为避免误入貔貅盘,用户可以采取以下措施:


  • 了解相关的虚拟货币信息并评估项目方背景,提高自我防范意识。警惕提供高回报的虚拟货币,超高的回报通常意味着更大的风险。

  • 使用 MistTrack 查看相关地址的风险情况,或通过 GoPlus 的 Token 安全检测工具识别貔貅币并进行交易决策。

  • 搜索代币时应搜索合约地址而非代币名称,避免落入仿盘陷阱。

  • 在 Etherscan、BscScan 等区块浏览器上检查代码是否经过了审计和验证,并参考社区评论。


往期回顾

观点|国际合作执法将成打击加密货币犯罪的大趋势

偏信则暗 —— Penpie 被黑分析

探索 Sui:高性能背后的技术与合约安全

每月动态 | Web3 安全事件总损失约 3.16 亿美元

Web3 安全入门避坑指南|假矿池骗局

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF

慢雾科技
慢雾科技是一家专注区块链生态安全的公司,成立于 2018 年 1 月,主要通过“威胁发现到威胁防御一体化因地制宜的安全解决方案”服务了全球许多头部或知名的项目,已有商业客户上千家,客户分布在十几个主要国家与地区。
 最新文章