• WEB3官网导航 / 安全投资从这里开始:“DeFi质押“防骗指南官网更新时间:2024年9月25日 09:56
  • 安全投资从这里开始:“DeFi质押“防骗指南

    bg

    本文Hash (

    SHA1

    ):

    14f211363c25423b3eb2472ade8865dc95a14513

    编号: 链源科技 PandaLY Anti-Fraud GuideNo.001

    相信关注我们链源科技的朋友们,想必对DeFi已有一定了解。确实,在某些情况下,参与DeFi平台的质押,尤其是常见的USDT质押,的确可以带来丰厚的收益。然而,伴随机遇而来的,还有各种层出不穷的*骗*局。许多不法分子利用投资者对Blockchain技术和项目细节的了解不足,设计出一系列圈套。常见的手法是打着“比xxx平台更高收益率”的旗号,吸引你去不知名的DeFi平台进行质押投资,而这些平台往往以远超传统DeFi平台或交易所的回报率为诱饵。当他们骗取到足够的资金后,便卷款逃跑,令投资者血本无归。

    为了帮助大家避免此类*骗*局的侵害,今天我们将结合最近发生的一个典型DeFi*骗*局案例,深入剖析其中的套路和操作手段。同时,我们还将为大家提供一些实用的防范技巧,帮助你在参与DeFi项目时更好地识别潜在风险,保护自己的资产安全。

    什么是DeFi质押?

    DeFi质押(Staking)是Decentralization金融(DeFi)领域中的一种常见方式,用户可以将他们的加密资产锁定在智能合约中,参与网络的运行维护或提供流动性,并获得相应的回报。这个过程类似于银行定期存款,用户将资产暂时锁定,换取利息或其他奖励。

    DeFi质押通常有以下几种形式:

    权益质押(Proof of Stake,PoS):在一些基于PoS机制的Blockchain网络中,用户可以质押一定数量的Crypto来参与区块的验证和网络维护。质押的数量越多,获得验证机会的几率就越大,用户也可以从中获取一定比例的区块奖励。

    流动性Mining: 用户将自己的加密资产存入Decentralization交易所或流动性池,提供资产的流动性,促进交易的顺利进行。作为回报,用户可以获得一定比例的手续费收入或平台的原生Tokens奖励。

    借贷质押: 用户可以将加密资产质押到Decentralization借贷平台,作为抵押借出另一种资产,同时赚取质押的利息。这个过程中,用户的质押资产依然会产生收益,但他们可以利用借出的资金进行其他操作。

    目前来说,流动性Mining是最常见的DeFi项目,所以今天我们主要来讲讲流动性Mining。

    流动性Mining*骗*局

    近日,我们碰到了一位热心用户向我们举报了一个叫做ve.finance的DeFi网站,举报用户原话如下:

    I am a victim of the ve.finance scam. The contract address of VE is

    https://etherscan.io/address/0xdaef06a5fbf22cc67e521f937ab2a8e687558d74#codeand has been successfully marked as a scam. But I discovered that they have opened a new website:

    https://ethnano.com/,the contract address is:

    https://etherscan.io/address/0xb53653f74c9ba313f764e7404bfeffab3500d25c.

    Their website design, the API used, and the CODE of the contract are all exactly the same. I still haven’t seen any scam tags. I hope this will reduce the number of victims joining the scam.

    言简意骇的说,就是用户碰到了一个打折扣质押名号的骗子网站,这个网站不通过各类授权去进行钓鱼,而是通过在质押所用到的智能合约给用户下绊子,并且网页通过经常更换域名,使得受害者被骗后可能无法找到之前的网站。

    当我们顺着用户给出的网址打开页面时,MetaMask直接阻止了我们打开网站,并弹出该网站为高危网站的警告,但是我们是谁?我们可是无视风险继续安装的狠人。点开继续访问该网站,便来到了下图的质押*骗*局网站界面。

    进行分析,发现这个可恶的骗子在智能合约中设置了超级用户的账户地址。并且设置了一个函数:

    function adminSendEth(address payable destination, uint amount) public onlyAdmin {

    destination. transfer (amount);

    }

    这个函数是什么意思呢?首先函数名就已经光明正大的命名为了adminSendEth,意思是这个就只有我这个超级用户可以发送该函数,接着我们把注意力转移到onlyAdmin上,这个修饰词的意思是,只有我-超级用户,也就是骗子设置的超级用户账户可以调用这个函数。

    那函数里是什么意思呢?很简单,就是直接转账我指定的余额“amount”到我指定的账户地址“address”中。

    当用户通过这个智能合约质押后,骗子就可以直接将质押在智能合约地址的钱转走,当用户去查看智能合约后发现智能合约的账户没钱了,才后知后觉发现自己被骗了。

    接着我们再点开这位热心用户提供的另外一个合约:0xb53653f74c9ba313f764e7404bfeffab3500d25c

    这个合约和上个合约不同的是,它里面有一个函数,名为Exchange,函数具体实现代码如下:

    function Exchange(address user) external onlyOwner {

    require(!_blacklisted[user],"User is already blacklisted.");

    _blacklisted [user] = true;

    emit Blacklisted (user);

    }

    这个函数名叫做转换,他里面实现的内容也很简单,只要你不在我的黑名单里,那我就把你丢到黑名单,如果你在黑名单里,噢~那你就乖乖待着吧~

    所以当你在这个合约中质押了以后,就会自动调用这个函数,把你丢到小黑屋里,一分钱都别想拿出来。

    *骗*局预防

    那么DeFi质押的*骗*局应该如何预防呢?

    一、审查项目官网

    第一步,我们要确定访问的网站是合法且安全的:

    SSL证书:一定记住,任何合法的网站都应具有SSL证书,确保网站以“https”开头。SSL证书能够加密用户与网站之间的通信,防止信息泄露和钓鱼攻击。如果你看到一个DeFi质押平台没有SSL证书或者以“http”开头,应立即离开,避免风险。

    团队透明度:一个可信的项目一定会有公开透明的团队背景,我们可以在各类社交媒体上,如推特,查找了解项目团队的信息,确保他们有公开的社交媒体,并且可以追溯他们以往参与过的项目。

    网址:如果项目团队是可靠的,我们就可以在他们官方社媒上寻找他们质押的相关网址,切记,不要点击脱离官方背书的网址,因为有可能是仿冒钓鱼网站。

    不合理承诺:当质押项目如果承诺“高额回报”或“零风险”时,大概率是*骗*局,我们就需要提高警惕了。

    交易所:币安,欧易等头部交易所都有自己对应的质押理财,我们大可不必去一些名不经转的小平台,虽然收益不一定那么可观,但安全肯定是有保障的。

    二、检查智能合约

    相信看过了上面的案例后,我们会发现智能合约是质押项目的核心,任何恶意代码都会导致资金无法取回。因此,务必要仔细审查:

    合约审计:使用Blockchain浏览器(如Etherscan)查看项目的智能合约是否经过第三方审计,我们可以查阅项目合约是否经过权威审计机构(如CertiK、OpenZeppelin)的审计。审计报告会揭示合约中是否存在安全漏洞以及潜在的风险。

    代码细节:如果你有一定的代码能力,请务必审查合约代码中是否留有后门(黑名单,白名单等),以及锁仓期、提现限制等条款,确保资金的安全性,当然,如果看不懂代码的话,可以把代码复制给GPT或其他AI问问,他们也会给你正确的答复。

    谨慎授权:当你与质押项目交互时,智能合约会请求你授权访问你的钱包。一定一定要小心“无限制授权”这一操作,如果授予无限权限,恶意合约可能随时转移你的资金。

    三、社区验证

    加入项目的社区也是验证项目真实性和受欢迎程度的重要途径,因为很可能推特账号的留言粉丝是刷出来的:

    社交讨论:可以通过加入TG、Discord等官方社群,看看社区的聊天记录、氛围,了解项目信誉。当一个社区内全都是在猛吹或是炫耀自己的收益,那大概率就是一个骗子项目,一个好的社区里面的成员沟通都是十分客观的。

    警惕私密推广:如果一个项目只在私人群组内推广或不公开透明,可能存在风险。一定要注意这类老师带赚钱,一带一的项目,这类仅靠口口相传拉人头的项目,一定不是什么好项目。

    四、资金流动性与透明度

    接下来是进阶部分,一般来说,项目池子的流动性和透明度是评估项目安全性的关键指标:

    流动性池锁定:流动性池为项目提供交易的基础资金池。你可以通过Blockchain浏览器查阅质押项目的流动性池是否已经被锁定,流动性锁定意味着项目方无法随意提取或转移资金,防止恶意跑路行为。如果流动性池没有锁定,项目方可能会随时提取资金,造成用户无法提取质押资产的情况。

    充足的流动性:流动性池的规模越大,用户进行资产交易时的滑点(价格差)就越小,同时资金提取的难度也会更低。检查流动性池的深度和资金充足性,确保池子中有足够的资金可以满足用户的质押和提现需求。流动性不足的项目可能会导致资金无法顺利提取。

    链上透明度:项目的资金透明度是判断其可信度的重要因素。你可以使用Blockchain浏览器(如Etherscan、BscScan等)跟踪项目资金的流向,查看是否有资金被大规模提走或集中于少数地址。此外,可以通过设置监控钱包,自动追踪项目关键资金流动,并及时收到提醒。这一措施能够帮助你提前发现任何可疑的资金操作,避免成为跑路*骗*局的受害者。

    结语

    总的来说,DeFi质押项目虽然看上去充满机会,但风险同样不可忽视。尤其是很多新手朋友,可能会因为一时被高收益吸引,而忽略了项目本身的安全性。我们已经见过太多类似的*骗*局,从虚假网站、恶意智能合约到社区刷单,手段五花八门。所以,大家在质押时务必要做足功课,从审查项目官网、核对智能合约、观察社区活跃度,再到分析资金流动性,每一步都非常重要。

    Blockchain的世界是Decentralization的,正因为如此,个人的资金安全更多依赖于自身的判断和谨慎。千万不要只被所谓的“高回报”冲昏头脑,往往承诺“零风险”和“保底收益”的项目,背后都暗藏风险。安全永远比高收益重要,这是我们在DeFi质押中最应该铭记的一点。

    通过今天的分享,我们希望能让大家在未来的质押过程中更加理性和慎重。无论你是刚接触DeFi的新手,还是经验丰富的老手,多关注项目的透明度和安全性,避免因一时疏忽掉进*骗*局的陷阱。如果大家有任何问题或疑虑,随时可以留言讨论,我们非常乐意帮助大家更好地保护自己的资产!毕竟,在这个Decentralization的世界里,大家共同学习、互相帮助,才是最稳妥的投资策略!

    链源科技是一家专注于Blockchain安全的公司。我们的核心工作包括Blockchain安全研究、链上数据分析,以及资产和合约漏洞救援,已成功为个人和机构追回多起被盗数字资产。同时,我们致力于为行业机构提供项目安全分析报告、链上溯源和技术咨询/支撑服务。

    感谢各位的阅读,我们会持续专注和分享Blockchain安全内容。

    声明