Contexto
À medida que o conceito de inscrições aquece em níveis sem precedentes, com os preços das principais inscrições disparando dezenas de milhares de vezes, criminosos já aproveitaram a oportunidade para explorar a complexidade e novidade das inscrições para perpetrar várias formas de fraude, um fenômeno que está se tornando cada vez mais desenfreado. Essas ações representam uma séria ameaça não apenas à segurança financeira dos investidores, mas também afetam negativamente o desenvolvimento saudável de todo o ecossistema de inscrições. Em resposta a isso, delineamos meticulosamente três casos típicos de ataques a inscrições, incluindo os riscos de projetos fraudulentos, os perigos de transferências errôneas e queimas acidentais, e os riscos associados a ferramentas centralizadas, bem como as medidas preventivas correspondentes que os usuários podem adotar.
Riscos de Segurança em Inscrições e Contramedidas
1. Risco de Projetos Fraudulentos
Sob o protocolo Bitcoin atual, a identificação de projetos depende principalmente do nome do projeto especificado durante a operação de implantação, com um ID único usado para identificá-lo no indexador. No entanto, usuários comuns geralmente se lembram apenas do nome do projeto e o utilizam como base para transações. Esse método de transação dependente de nome carrega certos riscos porque existe uma infinidade de strings ASCII visualmente semelhantes, mas diferentes, o que abre oportunidades para enganos visuais. Atores maliciosos podem explorar essas strings de aparência similar para enganar usuários, fazendo-os acreditar que estão transacionando com um projeto bem conhecido, emitindo assim tokens para projetos falsos que se assemelham muito aos legítimos. Essas fraudes geralmente ocorrem durante o processo de mineração de tokens, onde os atores maliciosos levam os usuários a pagar taxas para adquirir tokens ou outros ativos virtuais que, na realidade, podem ser sem valor. Essas atividades fraudulentas não apenas prejudicam os interesses dos usuários, mas também podem causar instabilidade em todo o ecossistema. Para ilustrar, consideremos um exemplo hipotético com um projeto falso chamado "rats." Esse "rats" falso tem um nome muito similar ao legítimo, usando caracteres ASCII semelhantes. Se os usuários não discernirem cuidadosamente a nomenclatura, poderiam ser induzidos a comprar tokens "rats" falsos, resultando em perdas financeiras.

Além das inscrições falsas, algumas inscrições fraudulentas até enganam os usuários para que enviem fundos extras durante o processo de mineração. Por exemplo, conforme mostrado na imagem, ao minerar inscrições em um bitmap, a página web fraudulenta também solicita que o usuário faça um pagamento para um endereço específico. Se o usuário não perceber o valor do pagamento solicitado, poderá sofrer perdas financeiras significativas.

**Contramedidas: Evite Minerar Inscrições de Fontes Não Verificadas **Os canais disponíveis para minerar inscrições são bastante variados e, pelos tipos que encontramos, incluem: 1. O próprio site de distribuição do projeto. 2. Ferramentas auxiliares de carteiras como Unisat. 3. Outras ferramentas fornecidas por terceiros. Esses diferentes canais para minerar inscrições podem deixar os usuários confusos, incapazes de discernir a correção e segurança dos canais, caindo assim na armadilha de inscrições fraudulentas. Aconselhamos os usuários a usar principalmente os sites de distribuição oficiais de serviços de carteira ou da equipe do projeto para minerar inscrições. Recomenda-se verificar a autenticidade do site antes de minerar e revisar cuidadosamente o valor de mineração necessário. Para minerações em lote de grande escala, sugerimos usar ferramentas auxiliares fornecidas por carteiras para aumentar ainda mais a segurança dos fundos.
2. Risco de Transferências Acidentais e Queimas
Em primeiro lugar, transferências acidentais referem-se a situações em que o portador de uma inscrição é tratado como um Bitcoin normal durante transações. Como as inscrições estão anexadas a transações Bitcoin, as carteiras BTC tradicionais não consideram o valor adicional carregado pelas inscrições e exibem apenas o valor dos satoshis bloqueados no modelo UTXO. Alguns usuários podem realizar transações tradicionais sem compreender completamente as inscrições. Isso pode levar as carteiras a confundirem inscrições com ativos Bitcoin comuns e mesclá-las com outros UTXOs, que são então enviados para um endereço incorreto, resultando em perdas irreversíveis.
Em segundo lugar, a queima acidental (burn) refere-se ao cenário em que inscrições são destruídas ou excluídas por serem consideradas sem valor ou sem sentido. Como as inscrições não afetam diretamente a propriedade ou o valor do Bitcoin no modelo de divisão, alguns usuários podem erroneamente acreditar que Bitcoins carregando inscrições têm menor valor nominal, são sem importância ou inválidos, e optam por mesclá-los com outros UTXOs. Isso pode resultar na perda permanente de informações ou ativos importantes associados às inscrições.
Por exemplo, conforme ilustrado na imagem, a carteira incorretamente falhou em identificar a inscrição dentro de uma transação Bitcoin que deveria tê-la protegido. Como resultado, foi tratada como dust e movida para fora, levando a uma perda.
https://twitter.com/wizzwallet/status/1714385677985661245?s=20

**Contramedidas: Prepare Endereços e Carteiras Dedicados para Inscrições **No modelo de divisão, para evitar que os usuários transfiram ou queimem acidentalmente ativos de inscrição de alto valor, recomenda-se que os usuários preparem endereços e carteiras dedicados especificamente para suas inscrições. Essa prática pode efetivamente reduzir o risco de operações acidentais e garantir a segurança dos ativos de inscrição. Esse endereço deve ser distinto dos endereços de transação regulares para evitar confusão com endereços de transação Bitcoin padrão. Ao isolar transações de inscrição de outras transações, os usuários podem controlar e gerenciar melhor seus ativos de inscrição.
3. Risco de Ferramentas Centralizadas
O design descentralizado do blockchain permite que os usuários participem diretamente do ecossistema blockchain; no entanto, ingressar no ecossistema blockchain diretamente via protocolos RPC complexos é excessivamente complicado. Como resultado, a grande maioria dos usuários opta por depender de ferramentas auxiliares para se envolver nos processos de mineração e negociação dentro do ecossistema de inscrições.
Dado que as inscrições são um novo conceito e seu ecossistema ainda está em sua infância em comparação com o framework ERC20 maduro, muitas ferramentas auxiliares surgiram rapidamente. A maioria dessas ferramentas foca na implementação funcional, às vezes negligenciando considerações de segurança. Por exemplo, algumas ferramentas podem exigir que os usuários importem suas chaves privadas para assinar transações, ou os usuários podem confiar seus ativos a uma plataforma para fins de negociação. Essas práticas expõem as chaves privadas dos usuários, e as ferramentas centralizadas essencialmente controlam todos os ativos do usuário, o que pode levar a riscos de "rug pull" e outras formas de vulnerabilidades centralizadas. Esses riscos são semelhantes a casos em que algumas empresas de carteiras fugiram com todos os ativos dos usuários após obter acesso às chaves privadas, declarando falência posteriormente.
Por exemplo, a seguinte ferramenta proxy rouba dinheiro diretamente das carteiras dos usuários obtendo suas chaves privadas.
Contramedidas: Use Ferramentas Auxiliares de Inscrição Seguras
Para aumentar a segurança dos ativos de inscrição, os usuários devem negociar e operar em mercados de inscrição bem conhecidos. Por exemplo, plataformas de exploração e mercado de inscrições amplamente reconhecidas, como Geniidata (https://geniidata.com/Ordinals/index/brc20), Ordiscan (https://ordiscan.com/) e Etch Market (https://www.etch.market/market), fornecem um ambiente de negociação seguro e informações confiáveis sobre inscrições. Participar da mineração, negociação e outras operações de inscrições nessas plataformas respeitáveis pode aumentar a segurança para os usuários. Além disso, os usuários devem permanecer vigilantes e não confiar cegamente em serviços de mineração e negociação de inscrições oferecidos por sites desconhecidos. Antes de realizar qualquer operação, deve-se pesquisar e confirmar minuciosamente a reputação e as medidas de segurança do site. Além disso, os usuários devem garantir que não revelem suas chaves privadas ou outras informações sensíveis a terceiros não confiáveis para prevenir incidentes de phishing ou roubo.
Resumo
Após obter uma compreensão mais profunda dos riscos associados a fraudes com inscrições, os perigos de transferências errôneas e queimas acidentais, e as ameaças potenciais representadas por ferramentas centralizadas, podemos ver que, embora o ecossistema de inscrições esteja repleto de perspectivas e possibilidades, ele também apresenta inúmeros riscos e desafios. Os usuários devem ser altamente vigilantes e cautelosos em relação às transações e ao armazenamento de inscrições. Desde o uso de canais oficiais para minerar inscrições e a preparação de endereços e carteiras dedicados para inscrições, até a seleção de ferramentas auxiliares de inscrição seguras, essas medidas preventivas podem reduzir significativamente os riscos e proteger a segurança dos ativos dos usuários. Em conclusão, incentivamos todos os usuários a permanecerem cautelosos ao participar do mercado de inscrições; no mundo dos ativos digitais, a segurança é sempre primordial.
Sobre o MetaSleuth
MetaSleuth é uma plataforma abrangente desenvolvida pela BlockSec para ajudar os usuários a rastrear e investigar efetivamente todas as atividades cripto. Com o MetaSleuth, os usuários podem facilmente rastrear fundos, visualizar fluxos de fundos, monitorar movimentos de fundos em tempo real, salvar informações importantes e colaborar compartilhando suas descobertas com outros. Atualmente, suportamos 13 blockchains diferentes, incluindo Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) e mais.
Website: https://metasleuth.io/
Twitter: @MetaSleuth
Telegram: https://t.me/MetaSleuthTeam



