Hintergrund
Da das Konzept der Inschriften auf einem noch nie dagewesenen Niveau heiß diskutiert wird und die Preise für Top-Inschriften um Zehntausende von Malen gestiegen sind, haben Kriminelle bereits die Gelegenheit genutzt, die Komplexität und Neuheit von Inschriften auszunutzen, um verschiedene Formen von Betrug zu begehen, ein Phänomen, das immer weiter um sich greift. Diese Handlungen stellen nicht nur eine ernsthafte Bedrohung für die finanzielle Sicherheit von Investoren dar, sondern beeinträchtigen auch die gesunde Entwicklung des gesamten Inschriften-Ökosystems. Als Reaktion darauf haben wir drei typische Fälle von Inschriftenangriffen detailliert beschrieben, darunter die Risiken von Betrugsprojekten, die Gefahren fehlerhafter Überweisungen und versehentlichen Verbrennungen sowie die mit zentralisierten Werkzeugen verbundenen Risiken, sowie die entsprechenden vorbeugenden Maßnahmen, die Benutzer ergreifen können.
Risiken und Gegenmaßnahmen bei Inschriften-Sicherheit
1. Risiko von Betrugsprojekten
Unter dem aktuellen Bitcoin-Protokoll beruht die Projektidentifizierung hauptsächlich auf dem während des Bereitstellungsvorgangs angegebenen Projektnamen, wobei eine eindeutige ID zur Identifizierung im Indexer verwendet wird. Gewöhnliche Benutzer erinnern sich jedoch typischerweise nur an den Namen des Projekts und nutzen diesen als Grundlage für Transaktionen. Diese namensabhängige Transaktionsmethode birgt bestimmte Risiken, da es eine Vielzahl von visuell ähnlichen, aber unterschiedlichen ASCII-Zeichenketten gibt, die Möglichkeiten für visuelle Täuschungen eröffnen. Böswillige Akteure können diese ähnlich aussehenden Zeichenketten ausnutzen, um Benutzer dazu zu verleiten, zu glauben, sie würden mit einem bekannten Projekt handeln, und so Token für gefälschte Projekte ausgeben, die legitimen ähneln. Solche Betrügereien treten oft während des Token-Minting-Prozesses auf, bei dem böswillige Akteure Benutzer dazu bringen, Gebühren für den Erwerb von Token oder anderen virtuellen Vermögenswerten zu zahlen, die in Wirklichkeit wertlos sein können. Diese betrügerischen Aktivitäten schaden nicht nur den Interessen der Benutzer, sondern können auch zu Instabilität im gesamten Ökosystem führen. Zur Veranschaulichung betrachten wir ein hypothetisches Beispiel mit einem gefälschten Projekt namens "rats". Dieses gefälschte "rats" ist einem legitimen sehr ähnlich benannt und verwendet ähnliche ASCII-Zeichen. Wenn Benutzer die Benennung nicht sorgfältig unterscheiden, könnten sie dazu verleitet werden, gefälschte "rats"-Token zu kaufen, was zu finanziellen Verlusten führt.
Zusätzlich zu gefälschten Inschriften verleiten einige Betrugsinschriften Benutzer sogar dazu, während des Minting-Prozesses zusätzliche Gelder zu senden. Zum Beispiel fordert die betrügerische Webseite, wie im Bild gezeigt, während des Minting von Inschriften auf einer Bitmap den Benutzer auf, eine Zahlung an eine bestimmte Adresse zu leisten. Wenn der Benutzer den geforderten Zahlungsbetrag nicht bemerkt, kann er erhebliche finanzielle Verluste erleiden.
**Gegenmaßnahmen: Keine Inschriften von nicht verifizierten Quellen minten **Die verfügbaren Kanäle zum Minten von Inschriften sind sehr vielfältig und umfassen nach den von uns angetroffenen Arten: 1. Die eigene Vertriebswebsite des Projekts. 2. Hilfsprogramme von Wallets wie Unisat. 3. Von Drittanbietern bereitgestellte Werkzeuge. Diese verschiedenen Kanäle zum Minten von Inschriften können Benutzer verwirren, unfähig machen, die Korrektheit und Sicherheit der Kanäle zu beurteilen, und so in die Falle von Betrugsinschriften tappen. Wir raten Benutzern, hauptsächlich offizielle Vertriebswebsites von Wallet-Diensten oder dem Projektteam zu nutzen, um Inschriften zu minten. Es wird empfohlen, die Authentizität der Website vor dem Minten zu überprüfen und den erforderlichen Minting-Betrag sorgfältig zu prüfen. Für groß angelegte Batch-Mints empfehlen wir die Verwendung von Hilfsprogrammen, die von Wallets bereitgestellt werden, um die Fund-Sicherheit weiter zu erhöhen.
2. Risiko versehentlicher Überweisungen und Verbrennungen
Erstens beziehen sich versehentliche Überweisungen auf Situationen, in denen der Träger einer Inschrift bei Transaktionen als normale Bitcoin behandelt wird. Da Inschriften an Bitcoin-Transaktionen angehängt sind, berücksichtigen herkömmliche BTC-Wallets nicht den zusätzlichen Wert, der von den Inschriften getragen wird, und zeigen nur den Wert der im UTXO-Modell gesperrten Satoshis an. Einige Benutzer führen möglicherweise herkömmliche Transaktionen durch, ohne Inschriften vollständig zu verstehen. Dies kann dazu führen, dass Wallets Inschriften für gewöhnliche Bitcoin-Assets halten und sie mit anderen UTXOs zusammenführen, die dann an eine falsche Adresse gesendet werden, was zu irreversiblen Verlusten führt.
Zweitens bezieht sich die versehentliche Verbrennung (burn) auf das Szenario, in dem Inschriften zerstört oder gelöscht werden, da sie als wertlos oder bedeutungslos betrachtet werden. Da Inschriften den Besitz oder Wert von Bitcoin im Splitting-Modell nicht direkt beeinflussen, glauben einige Benutzer möglicherweise fälschlicherweise, dass Bitcoin, die Inschriften tragen, von geringerem Papierwert sind, unwichtig oder ungültig, und entscheiden sich, sie mit anderen UTXOs zu verschmelzen. Dies kann zu einem dauerhaften Verlust wichtiger Informationen oder Assets führen, die mit den Inschriften verbunden sind.
Zum Beispiel, wie im Bild veranschaulicht, hat das Wallet fälschlicherweise die Inschrift innerhalb einer Bitcoin-Transaktion nicht erkannt, die sie hätte schützen sollen. Infolgedessen wurde sie als Staub behandelt und herausgenommen, was zu einem Verlust führte.
https://twitter.com/wizzwallet/status/1714385677985661245?s=20
**Gegenmaßnahmen: Dedizierte Inschriftenadressen und Wallets vorbereiten **Im Splitting-Modell wird Benutzern empfohlen, dedizierte Adressen und Wallets speziell für ihre Inschriften vorzubereiten, um zu verhindern, dass sie versehentlich hochwertige Inschriften-Assets übertragen oder verbrennen. Eine solche Praxis kann das Risiko versehentlicher Operationen wirksam reduzieren und die Sicherheit von Inschriften-Assets gewährleisten. Diese Adresse sollte sich von regulären Transaktionsadressen unterscheiden, um Verwechslungen mit Standard-Bitcoin-Transaktionsadressen zu vermeiden. Durch die Isolierung von Inschriften-Transaktionen von anderen Transaktionen können Benutzer ihre Inschriften-Assets besser kontrollieren und verwalten.
3. Risiko zentralisierter Werkzeuge
Das dezentrale Design der Blockchain ermöglicht es Benutzern, direkt am Blockchain-Ökosystem teilzunehmen. Der Beitritt zum Blockchain-Ökosystem über komplexe RPC-Protokolle ist jedoch übermäßig kompliziert. Infolgedessen zieht die überwiegende Mehrheit der Benutzer es vor, sich auf Hilfsprogramme zu verlassen, um an den Minting- und Handelsprozessen im Inschriften-Ökosystem teilzunehmen.
Da Inschriften ein neues Konzept sind und ihr Ökosystem im Vergleich zum ausgereiften ERC20-Framework noch in den Kinderschuhen steckt, sind viele Hilfsprogramme schnell entstanden. Die meisten dieser Werkzeuge konzentrieren sich auf die funktionale Implementierung und vernachlässigen manchmal Sicherheitsaspekte. Zum Beispiel erfordern einige Werkzeuge, dass Benutzer ihre privaten Schlüssel zum Signieren von Transaktionen importieren, oder Benutzer vertrauen ihre Assets einer Plattform zum Handeln an. Diese Praktiken setzen die privaten Schlüssel der Benutzer offen und zentralisierte Werkzeuge kontrollieren im Wesentlichen alle Benutzer-Assets, was zu "Rug Pull"-Risiken und anderen Formen zentralisierter Schwachstellen führen kann. Diese Risiken ähneln Fällen, in denen einige Wallet-Unternehmen nach Erhalt der privaten Schlüssel mit allen Benutzer-Assets geflohen sind und anschließend Insolvenz angemeldet haben.
Zum Beispiel stiehlt das folgende Proxy-Tool direkt Geld aus den Wallets der Benutzer, indem es deren private Schlüssel erhält.
**Gegenmaßnahmen: Sichere Hilfsprogramme für Inschriften verwenden
Um die Sicherheit von Inschriften-Assets zu erhöhen, sollten Benutzer auf bekannten Inschriften-Marktplätzen handeln und agieren. Beispielsweise bieten weithin anerkannte Inschriften-Erkundungs- und Marktplattformen wie Geniidata (https://geniidata.com/Ordinals/index/brc20), Ordiscan (https://ordiscan.com/) und Etch Market (https://www.etch.market/market) eine sichere Handelsumgebung und zuverlässige Inschrifteninformationen. Das Minting, der Handel und andere Operationen von Inschriften auf diesen renommierten Plattformen erhöhen die Sicherheit für Benutzer. Darüber hinaus sollten Benutzer wachsam bleiben und den von unbekannten Websites angebotenen Inschriften-Minting- und Handelsdiensten nicht blind vertrauen. Vor der Durchführung von Operationen sollten die Reputation und die Sicherheitsmaßnahmen der Website gründlich recherchiert und bestätigt werden. Darüber hinaus müssen Benutzer sicherstellen, dass sie ihre privaten Schlüssel oder andere sensible Informationen nicht an unzuverlässige Dritte weitergeben, um Phishing- oder Diebstahlvorfälle zu verhindern.
Zusammenfassung
Nachdem wir die Risiken von Inschriftenbetrügereien, die Gefahren fehlerhafter Überweisungen und versehentlicher Verbrennungen sowie die potenziellen Bedrohungen durch zentralisierte Werkzeuge besser verstanden haben, können wir erkennen, dass das Inschriften-Ökosystem zwar voller Aussichten und Möglichkeiten ist, aber auch zahlreiche Risiken und Herausforderungen birgt. Benutzer müssen bei Transaktionen und der Speicherung von Inschriften äußerst wachsam und vorsichtig sein. Vom Gebrauch offizieller Kanäle zum Minten von Inschriften und der Vorbereitung dedizierter Inschriftenadressen und Wallets bis hin zur Auswahl sicherer Inschriften-Hilfsprogramme können diese vorbeugenden Maßnahmen Risiken erheblich reduzieren und die Sicherheit von Benutzer-Assets gewährleisten. Zusammenfassend ermutigen wir alle Benutzer, bei der Teilnahme am Inschriftenmarkt vorsichtig zu sein; in der Welt der digitalen Assets hat Sicherheit immer oberste Priorität.
Über MetaSleuth
MetaSleuth ist eine umfassende Plattform, die von BlockSec entwickelt wurde, um Benutzern bei der effektiven Verfolgung und Untersuchung aller Krypto-Aktivitäten zu helfen. Mit MetaSleuth können Benutzer problemlos Gelder verfolgen, Geldflüsse visualisieren, Echtzeit-Geldtransfers überwachen, wichtige Informationen speichern und durch das Teilen ihrer Erkenntnisse mit anderen zusammenarbeiten. Derzeit unterstützen wir 13 verschiedene Blockchains, darunter Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) und mehr.
Website: https://metasleuth.io/
Twitter: @MetaSleuth
Telegram: https://t.me/MetaSleuthTeam
