首發 | 如何避免項目方欺詐?10條硬核準則拿走不謝

由 務高林 發佈於 綜合

    春困秋乏夏打盹,睡不醒的冬三月。

    自打重新設置了工作日鬧鐘,小夥伴們的心情想必都像自家豬丟了一樣。2月18日,A股市場迎來牛年首個交易日。緊接着,“基金”猝不及防登上熱搜。説好的開門紅呢?就這?

    首發 | 如何避免項目方欺詐?10條硬核準則拿走不謝

    然而近日,手機推送立即再次帶來一記猛擊。“比特幣大跌”登上新浪微博熱搜第4名。

    首發 | 如何避免項目方欺詐?10條硬核準則拿走不謝

    K線震盪,萬點回調。

    首發 | 如何避免項目方欺詐?10條硬核準則拿走不謝

    正摩拳擦掌的幣圈投資人們當場傻眼。

    本以為有馬斯克、比爾·蓋茨強勢帶貨在前,行情一片大好,卻不想現實總讓人猝不及防。

    新的一年,如何判定一個項目究竟是你鹹魚翻身的大財神,還是設好陷阱的巨坑?

    造成行情震盪的原因多重且複雜,這樣的震盪尚且在“韭菜們”的接受範圍之內。

    而那些由安全攻擊事件導致的一跌到底行情,才使得大部分“韭菜們”作為受害者的同時,真正失去了重啓的希望。

    首發 | 如何避免項目方欺詐?10條硬核準則拿走不謝

    在區塊鏈上鍊項目井噴的2020年,除卻黑客的“辛勤耕耘”外,巨坑也離不開項目方欺詐的“傾情奉獻”。

    項目方欺詐——簡而言之就是項目方設計一個項目,而這個項目其中已被設置有利於項目方的漏洞,一旦吸引到韭菜們,項目方就將開啓一頓瘋狂亂割。

    CertiK安全技術團隊將為你帶來並分析避免項目方欺詐的十條硬核準則。

    首發 | 如何避免項目方欺詐?10條硬核準則拿走不謝

    CertiK將詳細分析以上十條硬核準則,助你鑑別潛在的項目方欺詐項目,極大減少遭受項目方欺詐的幾率。

    首先,我們可以先回顧一下過往的此類型事件。

    發生在近期,且數額最大的典型事件非Compounder.Finance莫屬。

    Compounder攻擊事件回顧

    北京時間12月1日下午3點,CertiK安全技術團隊通過Skynet發現Compounder.Finance項目位於0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生數筆大量代幣的交易。經過技術人員研究,發現這些交易是Compounder.Finance項目擁有者內部操作,將大量數額代幣轉移到自己的賬户中。

    經過統計,最終共損失價值約8000萬人民幣的代幣。

    詳情鏈接:

    https://www.jinse.com/news/blockchain/931157.html

    首發 | 如何避免項目方欺詐?10條硬核準則拿走不謝

    在當前DeFi市場火熱的背景下,潛藏着各式各樣的安全漏洞以及隱患,其中項目方欺詐可以算是技術含量最低,門檻最低的一類攻擊方式。

    學習如何防範項目方欺詐攻擊的方法並不需要像瞭解其他那些複雜的基於數學模型的攻擊方法那般耗費心力。

    Dark Matter項目分析

    首先,根據項目發佈者的歷史交易記錄來判斷項目發佈者是否有惡意欺詐歷史,是判斷新發布項目是否存在欺詐風險的重要依據。

    下面以Dark Matter $DARKM項目為例,詳細分析——如何查看項目發佈者是否有惡意欺詐歷史。

    Dark Matter項目是一個基於ERC20的發幣項目,代碼中項目方擁有絕對權限,可以任意將任意數目的代幣發送到項目方擁有的地址中。

    因此是一個非常明顯的項目方欺詐項目。

    項目方可以將任意數目代幣發送到任意地址中

    查看項目發佈者是否有惡意欺詐歷史需要根據區塊鏈上歷史進行查詢。區塊鏈的優勢之一是任意交易歷史都是公開、可溯源的。利用此特點,首先可以依靠Dark Matter項目的區塊鏈地址,查詢項目的發佈者地址。本文以Etherscan工具進行介紹,查詢結果如下圖中右下角所示,0x71323c開頭的地址即為Dark Matter項目發佈者地址。

    第二步,對已知項目發佈者地址進行查詢。目標是查詢該地址發佈的所有交易歷史記錄的哈希值。通過查詢,Dark Matter項目發佈者地址所有交易歷史記錄如下圖所示:

    首發 | 如何避免項目方欺詐?10條硬核準則拿走不謝

    區塊鏈用户的交易歷史記錄中包括所有的從該賬户地址發起與被該賬户接收的交易。

    每一條交易都有不同的目的和邏輯。為了查詢項目發佈者是否有惡意欺詐歷史,需要從該賬户所有的交易歷史記錄中查詢是否存在創建以惡意欺詐為目標的智能合約的交易。

    通過查詢可以發現該項目方除Dark Matter項目智能合約之外,還創建了另外兩個智能合約,它們的地址為:

    0x852B1106ce359ED128451dC753EA4c3289eefadD

    0xAdEeE1bcb63F3477c45400249E78Bc4f565A59e0

    根據準則第一條,項目發佈者是否有惡意欺詐歷史,這兩個智能合約也存在極大的欺詐風險。

    經過對這兩個智能合約的源代碼驗證情況以及源代碼進行分析,第2個地址0xAdEeE1bcb63F3477c45400249E78Bc4f565A59e0是名為Rift項目的智能合約地址,並且該項目源代碼中存在與Dark Matter完全一致的安全漏洞。

    以上是查詢項目發佈者是否有惡意欺詐歷史的步驟。

    總結

    項目發佈者是否有惡意欺詐歷史的查驗過程相對容易理解,難點在於——查詢所有的交易記錄中創建智能合約的交易,以及後續確認這些智能合約中是否真正存在漏洞。

    當然,僅僅一文無法將十條準則詳盡講解。

    目前,CertiK已將這十條準則的大部分安全驗證功能集成到了CertiK Skynet天網掃描系統當中。

    接下來會有更多預防項目方欺詐所需遵循的準則以及準則的應用發佈,請持續關注。

    版權聲明:本文源自 網絡, 於,由 楠木軒 整理發佈,共 2142 字。

    轉載請註明: 首發 | 如何避免項目方欺詐?10條硬核準則拿走不謝 - 楠木軒