以太坊上的“欺騙性”(Spoof)代幣

發表於 2022-03-14 12:25 作者: 去中心化金融社區

虛假或“spoof”的ERC-20代幣轉账在以太坊並不是什么新鮮事。然而,去年區塊鏈的廣泛採用導致了這些案例的急劇上升。現在越來越多的問題和最近一個備受矚目的案例需要更深入的研究。

在本文中,我們會介紹:

  • 這是什么“spoof”

  • 如何檢測它

  • 如何避免

想象一下,聽到一個被大肆宣傳的DeFi產品即將進行代幣空投的傳言。作爲一個完美的交易者,我們會搜索所有關於這一切的线索。

我們會注意到一個與這個DeFi產品的名稱和符號非常相似的代幣是新鑄造的。更重要的是,我們會看到它被發送到一個我們私下標記爲屬於一個人脈廣泛的鯨魚/網紅的地址。

我們想要領先於其他人了解這個代幣,我們從一個剛剛創建的Uniswap V2流動性池中購买許多代幣。一個小時後,LP耗盡了所有ETH,我們意識到自己被耍了。

到底是哪裏出了錯?

這些真實的 OpenSea 代幣也不是由OpenSea: Registry地址轉移的

我們所犯的錯誤是認爲代幣轉移實際上是由影響者地址進行的。這種“spoof”通過利用以下兩點來欺騙毫無戒心的用戶:

  • ERC-20標准設計

  • 區塊瀏覽器的透明數據顯示

ERC-20標准的transfer和transferFrom函數可以修改,可以允許任何任意地址作爲代幣的發送方,只要在智能合約中進行指定,這會導致代幣從不同於發起地址的地址進行轉账交易。

通常“spoof”代幣合約不會在Etherscan上進行驗證,因爲這有助於掩蓋合約的內部工作原理。

對於ERC-20代幣轉账,Etherscan 等區塊瀏覽器會顯示傳輸代幣的地址,而不是發起者地址。由於區塊瀏覽器的性質,默認情況下不會審查區塊瀏覽器的數據。

在大多數情況下,傷害程度僅限於持有零值的代幣。但更危險的情況也可能存在,比如帶有恢復錯誤消息的代幣指向竊取用戶私鑰的釣魚網站。ERC-721和ERC-1155代幣(NFT)也可能遇到同樣的問題。

人們怎樣才能發現這一點呢?

答案相當簡單。對於任何這些代幣傳輸,單擊確切的交易哈希並檢查其詳細信息。發起交易的From地址顯然與代幣轉移的From地址不相同。

要深入挖掘,請在交易輸入數據或合約源代碼中查找“欺騙性”的 From地址。它通常包含在任一位置中。如果合約沒有被驗證,這個步驟會進行的更困難,但同時它會自動地使該代幣看起來更加可疑。

僞造的 OpenSea 代幣看起來好像是由 OpenSea: Registry 在此交易中轉账的

一個關鍵的警告。並非所有由不同地址發起的代幣轉账都是假的或有欺騙性的。一個常見的例子是dApp批量發送多個代幣轉账。這些通常有一個由Etherscan添加的公共名稱標籤。

批量發送代幣的交易

spoof的“近親”是垃圾郵件代幣。雖然這些不是假裝是由有影響力的人的地址發送的,但它們是一起發送到該地址,並使閱讀地址的代幣標籤成爲一個痛苦的體驗。

我們可以做些什么來避免這種情況呢?

對於一般的用戶,不需要做任何事情,因爲這個問題不太可能影響我們。

Etherscan默認不審查數據,但正在探索幫助緩解這個問題的方法。第一步是擴展代幣忽略列表的功能。特性:

  • 自動隱藏ERC-20、ERC-721和ERC-1155標籤中的代幣轉账,並在地址余額和代幣持有中隱藏它們。

  • 包括一個簡單的選項,讓用戶選擇忽略所有被Etherscan標記爲可疑或糟糕的代幣。

我們希望這個功能擴展將有助於保護用戶免受欺騙,同時在網站上享受一個更幹淨的用戶體驗。

Source:https://medium.com/etherscan-blog/spoof-tokens-on-ethereum-c2ad882d9cf6

標題:以太坊上的“欺騙性”(Spoof)代幣

地址:https://www.coinsdeep.com/article/197.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

你可能還喜歡
熱門資訊