小心那些利用Etherscan招摇撞的人_区块链:RAN

区块链索引服务依赖于合约事件来帮助归档数据,并在一个漂亮的用户界面中给我们提供交易记录,其通常被称为“区块浏览器”,比如Etherscan。但恶意合约可以表现得无比“正常”,却会污染这些事件,从而区块浏览器,向毫无戒备的用户提供关于代币来源的误导性信息。

例如,恶意用户可以部署一个简单ERC20合约和“空投”代币给一群用户,在自动做市商上创建一个看起来健康的流动资金池,等待用户根据错误的宣传购买或出售代币,认为此代币是已知开发人员/实体的一部分。

分解

ERC20代币(它是代币接口的通用标准)是合约的属性、函数、输入、输出和事件的集合。只要我们的合约具有正确的函数特征,我们就可以在这些函数中使用自定义逻辑——即使是提供不正确数据的函数。

例如,如果合约部署者发送一个代币,我们可以让一些/所有区块浏览器向最终用户显示不同的地址。假设如下;

合约部署者是有恶意的,想要为他们的代币制造一些炒作。

代币在AMM中有一些流动性(如Uniswap)供用户购买/出售,主要的流动性提供者头寸属于代币背后的团队。

广州反诈高能预警:小心以“比特币”等为名的虚拟货币局:广州市局新闻办公室今天(10月28日)通报,9月份以来,全市接报涉投资理财电信警情有所上升,占全市各类电信警情总量的9.7%,投资电诈警情逐步成为电信网络警情主要类型之一。从手法看,投资虚拟货币的电诈警情占10.2%。从被金额看,近期利用“比特币”等虚拟货币为名的投资电诈警情涉案金额普遍较高,给群众造成巨额损失。9月份以来,该类警情涉案金额超过百万元的共5起。(广州)[2020/10/28]

许多用户都知道发送者,而不是某个随机的地址。

这不仅仅是ERC20的问题……受污染的数据可以被插入到任何代币标准事件中,如NFT(ERC721,ERC1155),以迷惑用户和潜在投资者,让他们认为项目有特定的利益方/影响者,而实际上并没有。

这个问题并不“新鲜”,但我们写这篇文章是为了强调正在发生的事情,以及用户在“模仿”“看起来合法”的项目之前应该做些什么。

当区块浏览器看到交易发出的事件时,他们将其记录在他们的链下数据库中,并与其他数据建立关系,这样他们就可以建立一个很好的交易关系图,在他们的UI中显示给终端用户。

声音 | 交易员Peter Brandt:小心山寨币的“互联网泡沫”:据Cointelegraph报道,交易员Peter Brandt表示比特币将继续增长,但是山寨币将不会受益。与2017年的上行周期不同,比特币的收益不会对其他加密货币产生影响。比特币从13800美元进行回调,许多山寨币的跌幅远远超过比特币。这种现象有一个经典的例子,即21世纪初的互联网泡沫。在2001-2002年技术崩溃后,具有真正价值的网络公司爆炸式增长,alt.com们则破产。现在需要小心山寨币的“互联网泡沫。”[2019/6/29]

概念验证

我们将部署一个概念验证合约,使用一个老版本的Solidity,同时也要证明它与任何Solidity版本或以太坊中的任何东西都没有问题,其是一个来自链下应用程序信任合约的信任问题。一般来说,对事件的继承信任是“正确”的,它是一种合约将可用数据提供给链下程序进行索引的方式。

声音 | 宝二爷:被以太熊猫站台 提醒朋友小心被:宝二爷微博发文并附截图称,从来没听过以太熊猫,再次被站台,朋友们小心被。 微博中两张图片,一张为ETPP宣传海报,显示将邀请宝二爷参会;一张为宝二爷与朋友截图,表示不会参加。[2018/9/7]

在上面的合约(位于0x3afe99bd92b1aed3237196b26743681766d4940e)中,我们修改了逻辑,将Transfer事件中的发送者地址更改为流行区块浏览器上标记为“OpenSea:Wallet”的地址,前提是我们发送代币。

它所做的是,当区块浏览器索引该事件时,它从Transfer事件中看到地址为0x5b32…1073发送了代币,而不是实际的发起者0x11b6…04C9,这可能导致该方法被不良行为者利用,诱使用户认为;

一个受欢迎的人物在代币上有既得利益

一个受欢迎的人物正在“卸载”大量的代币

代币是合法的,因为在区块浏览器上,它显示了已知的实体与代币合约“交互”

让我们从合约部署者地址调用transfer(),看看区块浏览器索引了什么。我们只是将代币从我的地址(0x11b6…04C9)移动到一个目标地址(0x4bbe…1520)。

不列颠哥伦比亚省证券委员会发布投资者小心名单 用以保护投资者:不列颠哥伦比亚省证券委员会(BCSC)称ICO或初始令牌发行(ITO)的数字货币数量有所增加。BCSC通过发布投资小心名单来帮助保护投资者,该名单列出了在不列颠哥伦比亚省推广的未注册ICO项目。[2018/5/18]

“OpenSea:Wallet”ERC20活动视图显示它似乎已经发送了一个名为OpenSeaRevenueShare的代币到目的地。

交易表明(在“tokenTransferred”中)“OpenSea:Wallet”将代币发送到目标地址。

目标地址显示“OpenSea:Wallet”给他们转移了10个代币。

高西庆:对于区块链应该小心对待:日前,清华大学教授高西庆做客中国金融博物馆书院佛山分院读书会,他表示对于区块链应该小心对待。要做到拥抱区块链、定义区块链、规范区块链,才能保证行业的健康发展。此外,区块链除了数字货币之外,正逐渐应用到技术创新、知识产权、公益事业等领域中,未来将对人们的生活产生很大改变,这是令人兴奋的地方。[2018/3/27]

寻找什么?

大多数这样的以利用用户的恶意合约都没有被“验证”,又因为我们只能接触到区块浏览器上的字节码,如果事件被污染了不良数据,再基于某些条件,都很难让用户进行验证,就像我们的概念验证一样。如果合约没有被验证,比如我们无法看到Solidity/Vyper/...代码,并且只暴露于字节码,那么在与合约交互之前,我们应该采取预防措施。

如果一个代币被“空投”给我们或其他实体,我们应该谨慎,特别是当我们试图在DEX上清算代币时,因为过去有一些事件是利用人为制造价格的方法从窃取的。

一种快速的方法是检查事件参数是否与交易发起者匹配,这并非万无一失,因为空投者有多发送方合约。例如,如果交易“From”字段与事件不匹配,请谨慎处理。

用不良数据污染事件的方法正在主网上进行。一个已知的问题。例如,如果我们在GoogleBigQuery上运行以下查询,我们就可以了解合约发生了什么,它们在发出事件来索引者,让他们认为VitalikButerin正在使用他们的代币。

例子

ElonPlaid(0x907f3040e13bd57f3b00f89bb8ee19424a95b065)

在构造函数上发出一个被VitalikButerins地址污染的Transfer()事件,用于整个代币供应。

使用代币开始交易时,发出一个被VitalikButerin地址污染的Transfer()事件。

合约创造者向DEX(4ETH价值)提供流动性

三天后,移除6ETH的流动性,有2ETH的利润

KenshaInu(0x3a7eaa257181719965f8ebe64bb7c13ffbbca36b)

在构造函数上发出一个被VitalikButerins地址污染的Transfer()事件,用于整个代币供应。

合约创造者向DEX(5ETH价值)提供流动性

三天后,撤掉6.9ETH的流动性,1.9ETH的利润

IronDoge(0xf6072df56114e1a1c76fe04fb310d468c9ba8c38)

在构造函数上发出一个被VitalikButerins地址污染的Transfer()事件,用于整个代币供应。

合约创造者向DEX(4ETH价值)提供流动性

一天后,移除5.8ETH的流动性,使项目获得1.8ETH的利润

这只是许多例子中的三个。不法分子正利用污染事件来用户,他们的目标不仅是VitalikButerin的已知地址。

总结

尽管区块浏览器在可视化区块链数据方面非常有用,但它们的逻辑可能被滥用来显示误导性/不正确的数据。区块链的古老格言“不要信任,要验证”似乎是合适的,特别是当我们都相信区块浏览器可以提供绝对准确的数据,而不考虑它们如何解释数据时。

这是一个已知且潜在的难以解决的问题,我希望这篇文章能够帮助人们在“模仿”一个项目之前少一些FOMO,多一些小心,因为它看起来像是有人投资了,而实际上他们并没有。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

AAVE美军20年前的军事元宇宙下线了_BDC:LIBRA

一款游戏,浓缩了美军的「赛博征兵史」。跨越20年,全球第一款「征兵游戏」终于要停服了。不久前,《美国陆军》官方游戏论坛突然发出一则公告,宣布《美国陆军:训练场》官方服务器将于2022年5月5日关.

[0:0ms0-7:429ms