Vitalik 账戶被黑後發布釣魚信息，除...

首頁
資訊
Vitalik 账戶被黑後發布釣魚信息，除了釣魚攻擊，還有哪些資金騙取方式值得用戶警惕？

Vitalik 账戶被黑後發布釣魚信息，除了釣魚攻擊，還有哪些資金騙取方式值得用戶警惕？

發表於 2023-09-11 14:00 作者：區塊鏈情報速遞pro

撰文：Beosin

9 月 10 日，以太坊聯合創始人 Vitalik Buterin X 平台（原推特）账戶被黑客攻擊，並且發布了一條釣魚鏈接，內容爲一條關於 Danksharding 的紀念 NFT 免費領取鏈接。盡管這條推文還快被刪除，但黑客還是盜走約 70 萬美元資金。

此前 7 月，Uniswap 創始人 Hayden Adams 的 X 平台（原推特）账戶同樣被黑並發布了包含釣魚鏈接的推文，可見近期區塊鏈生態中大量安全事件諸如釣魚攻擊依然頻發。

此前，Beosin 已經對釣魚攻擊進行過詳細的解讀，大家可詳細閱讀：

UNIBOT 爆火，如何防範 Telegram 機器人相關的釣魚和詐騙？

籤名就被盜？用過 Uniswap 的請警惕！揭祕 Permit2 籤名釣魚

除了釣魚攻擊，還有哪些資金騙取方式值得用戶警惕？近期，Beosin 團隊發現跑路以及價格操控事件同樣對用戶的資金造成很大的損失。

隨着區塊鏈技術越來越成熟，代碼層面的問題出現也越來越少，從而更傾向於騙局以及業務邏輯上出現的問題。本文我們盤點一下近期常見的資金安全問題，幫用戶從根本上避免一些資金受騙。

最近發生的跑路詐騙等事件，操控者主要是通過合約後門、貔貅盤等方式進行資金騙取，而這類方式其實用戶是可以避免的，主要是要了解合約運行方式以及代碼原理，我們拿近期的項目來進行說明，並總結這類騙局的特點。

一、項目後門注意事項

1、特權地址修改余額

一般涉及騙局的項目都會有一個特權地址，該地址可以隨意 mint、burn 或設置他人余額。這種項目存在跑路的風險，當用戶使用了大量資金購买了項目代幣後，項目方直接通過特權函數將價值幣全部兌換出來，導致項目代幣價值歸零。

以 CUZK 項目代碼爲例：

CUZK 代幣合約中存在後門，特權地址可以直接給自己账戶設置超過總供應量的代幣，如下代碼：

ccvipaaaqqq() 函數會給調用者添加巨量的 CUZK 代幣，並且最後判斷調用者是否爲 ciyuAdmintmrr，該地址是合約初始化時創建者設置的地址（0xf719）。

項目方通過調用 ccvipaaaqqq() 函數，爲自己（0xf719）添加了巨量的代幣。

隨後，特權地址使用設置的代幣將 pair 中 WBNB 全部兌換出來，導致 CUZK 幣價歸零。

2、隱藏式後門，間接添加余額

還有一些項目並沒有直接操縱地址代幣余額的功能，但是特權地址可以間接獲取大量代幣，從而將價值幣全部兌換出來，導致代幣價格歸零。

以 BNB 鏈上 Flashmall 項目爲例：

FlashMall 合約擁有一個 setPointRate 函數，用於設置兌換率，該函數僅有特權地址能調用。

本次跑路事件主要分爲以下步驟：

設置兌換率 ->兌換 ->設置兌換率 ->兌換

以下爲詳細步驟：

1.特權地址設置率爲 10000。

2.0x613C 地址能將 MUSD 兌換爲 10 倍的 MCoin。

3.特權地址設置率爲 1000。

4.0x613C 地址能將 MCoin 兌換爲相同數量的 MUSD。

5.通過多次轉換，0x613C 擁有了大量的 MUSD，最後將 USDT 全部兌換出來。

以下爲 MCoin 與 MUSD 的兌換代碼，數量由 pointRate 決定。

總結：合約是否擁有後門，主要看有無特權函數能對任意地址代幣進行操控，或者是否有特權地址代幣增發的邏輯函數。此外，如果是項目方擁有絕大部分流動性憑證，那么也可能出現跑路。用戶可以通過查看合約是否放棄特權地址，或者特權地址是否爲一個正常業務的合約地址來判斷其風險程度，同時，查看流動性憑證是 EOA 账戶擁有還是正常業務合約擁有。