Общие сведения
Поскольку популярность концепции инскрипций (надписей) достигает небывалых высот, а цены на топовые инскрипции взлетают в десятки тысяч раз, преступники уже воспользовались возможностью использовать сложность и новизну инскрипций для совершения различных видов мошенничества — это явление становится все более распространенным. Подобные действия представляют серьезную угрозу не только финансовой безопасности инвесторов, но и негативно влияют на здоровое развитие всей экосистемы инскрипций. В ответ на это мы тщательно описали три типичных случая атак на инскрипции, включая риски скам-проектов, опасность ошибочных переводов и случайного сжигания, а также риски, связанные с централизованными инструментами, и соответствующие превентивные меры, которые могут предпринять пользователи.
Риски безопасности инскрипций и меры противодействия
1. Риск скам-проектов
Согласно текущему протоколу Биткоина, идентификация проекта в основном зависит от имени, указанного во время операции развертывания, при этом для его идентификации в индексаторе используется уникальный ID. Однако обычные пользователи, как правило, запоминают только название проекта и используют его в качестве основы для транзакций. Этот метод транзакций, основанный на имени, несет в себе определенные риски, поскольку существует множество визуально похожих, но разных ASCII-строк, что открывает возможности для визуального обмана. Злоумышленники могут использовать эти похожие строки, чтобы убедить пользователей в том, что они совершают транзакцию с хорошо известным проектом, тем самым выпуская токены для поддельных проектов, которые очень похожи на легитимные. Такие мошенничества часто происходят во время процесса минтинга (выпуска) токенов, когда злоумышленники заставляют пользователей платить комиссии за приобретение токенов или других виртуальных активов, которые в действительности могут быть бесполезными. Эти мошеннические действия не только наносят ущерб интересам пользователей, но и могут вызвать нестабильность во всей экосистеме. Для примера рассмотрим гипотетический случай с фейковым проектом под названием "rats". Этот поддельный "rats" назван очень похоже на легитимный с использованием похожих символов ASCII. Если пользователи не будут внимательно различать названия, они могут быть введены в заблуждение и приобрести поддельные токены "rats", что приведет к финансовым потерям.
Помимо фальшивых инскрипций, некоторые мошеннические проекты даже обманом заставляют пользователей отправлять дополнительные средства во время процесса минтинга. Например, как показано на изображении, при создании инскрипций на битмапах мошенническая веб-страница также запрашивает у пользователя оплату на определенный адрес. Если пользователь не обратит внимание на сумму запрашиваемого платежа, он может понести значительные финансовые потери.
Меры противодействия: Избегайте минтинга инскрипций из непроверенных источников Каналы, доступные для минтинга инскрипций, весьма разнообразны, и к тем типам, с которыми мы сталкивались, относятся: 1. Собственный сайт дистрибуции проекта. 2. Вспомогательные инструменты от кошельков, таких как Unisat. 3. Другие инструменты от сторонних поставщиков. Различные каналы для выпуска инскрипций могут запутать пользователей, неспособных оценить корректность и безопасность этих каналов, что приводит их в ловушку скам-инскрипций. Мы советуем пользователям для выпуска инскрипций в первую очередь использовать официальные сайты дистрибуции сервисов кошельков или команды проекта. Рекомендуется проверять подлинность веб-сайта перед началом минтинга и внимательно проверять требуемую сумму для выпуска. Для масштабного пакетного минтинга мы предлагаем использовать вспомогательные инструменты, предоставляемые кошельками, для дальнейшего повышения безопасности средств.
2. Риск случайных переводов и сжигания
Во-первых, случайные переводы относятся к ситуациям, когда носитель инскрипции рассматривается как обычный Биткоин во время транзакций. Поскольку инскрипции привязаны к транзакциям Биткоина, традиционные кошельки BTC не учитывают дополнительную ценность, которую несут инскрипции, и отображают только стоимость сатоши, заблокированных в модели UTXO. Некоторые пользователи могут совершать традиционные транзакции, не до конца понимая принцип работы инскрипций. Это может привести к тому, что кошельки примут инскрипции за обычные Биткоин-активы и объединят их с другими UTXO, которые затем будут отправлены на неверный адрес, что приведет к необратимым потерям.
Во-вторых, случайное сжигание (burn) относится к сценарию, при котором инскрипции уничтожаются или удаляются, поскольку считаются бесполезными или бессмысленными. Поскольку инскрипции не влияют напрямую на право собственности или стоимость Биткоина в модели разделения (splitting model), некоторые пользователи могут ошибочно полагать, что Биткоины с инскрипциями имеют меньшую номинальную стоимость, неважны или недействительны, и решают объединить их с другими UTXO. Это может привести к безвозвратной потере важной информации или активов, связанных с инскрипциями.
Например, как показано на изображении, кошелек ошибочно не распознал инскрипцию в рамках Биткоин-транзакции, которая должна была её защитить. В результате она была воспринята как "пыль" (dust) и перемещена, что привело к потере.
https://twitter.com/wizzwallet/status/1714385677985661245?s=20
Меры противодействия: Подготовьте выделенные адреса и кошельки для инскрипций В модели разделения, чтобы предотвратить ошибочный перевод или сжигание ценных активов инскрипций, пользователям рекомендуется подготовить выделенные адреса и кошельки специально для своих инскрипций. Такая практика может эффективно снизить риск случайных операций и обеспечить сохранность активов инскрипций. Этот адрес должен отличаться от обычных адресов транзакций, чтобы избежать путаницы со стандартными биткоин-адресами. Изолировав транзакции с инскрипциями от других транзакций, пользователи могут лучше контролировать и управлять своими активами.
3. Риск централизованных инструментов
Децентрализованный дизайн блокчейна позволяет пользователям напрямую участвовать в экосистеме блокчейна; однако прямое присоединение к блокчейн-экосистеме через сложные RPC-протоколы слишком затруднительно. В результате подавляющее большинство пользователей предпочитают полагаться на вспомогательные инструменты для участия в процессах минтинга и торговли в экосистеме инскрипций.
Учитывая, что инскрипции — это новая концепция и их экосистема все еще находится в зачаточном состоянии по сравнению со зрелой инфраструктурой ERC20, многие вспомогательные инструменты появились очень быстро. Большинство из этих инструментов ориентированы на функциональную реализацию, порой пренебрегая вопросами безопасности. Например, некоторые инструменты могут требовать от пользователей импорта своих закрытых ключей для подписи транзакций, или же пользователи доверяют свои активы платформе для целей торговли. Эти практики обнажают закрытые ключи пользователей, а централизованные инструменты, по сути, контролируют все активы пользователя, что может привести к рискам "rug pull" (исчезновение разработчиков с деньгами) и другим видам централизованных уязвимостей. Эти риски похожи на случаи, когда некоторые компании, предоставляющие кошельки, скрывались со всеми активами пользователей после получения доступа к закрытым ключам, после чего объявляли о банкротстве.
Например, следующий прокси-инструмент крадет деньги напрямую из кошельков пользователей, получая доступ к их закрытым ключам.
Меры противодействия: Используйте безопасные вспомогательные инструменты для инскрипций
Для повышения уровня безопасности активов инскрипций пользователям следует торговать и проводить операции на известных маркетплейсах инскрипций. Например, широко признанные платформы для исследования и торговли инскрипциями, такие как Geniidata (https://geniidata.com/Ordinals/index/brc20), Ordiscan (https://ordiscan.com/) и Etch Market (https://www.etch.market/market), обеспечивают безопасную торговую среду и надежную информацию об инскрипциях. Участие в минтинге, торговле и других операциях с инскрипциями на этих авторитетных платформах может повысить безопасность для пользователей. Кроме того, пользователи должны сохранять бдительность и не доверять слепо услугам по минтингу и торговле инскрипциями, предлагаемым неизвестными веб-сайтами. Прежде чем выполнять какие-либо операции, следует тщательно изучить и подтвердить репутацию и меры безопасности веб-сайта. Более того, пользователи должны гарантировать, что они не раскрывают свои закрытые ключи или другую конфиденциальную информацию никаким ненадежным третьим лицам, чтобы предотвратить случаи фишинга или кражи.
Итоги
После более глубокого понимания рисков, связанных с мошенничеством в сфере инскрипций, опасности ошибочных переводов и случайного сжигания, а также потенциальных угроз со стороны централизованных инструментов, мы видим, что, хотя экосистема инскрипций полна перспектив и возможностей, она также сопряжена с многочисленными рисками и проблемами. Пользователи должны проявлять высокую бдительность и осторожность в отношении транзакций и хранения инскрипций. Начиная с использования официальных каналов для минтинга инскрипций и подготовки выделенных адресов и кошельков, заканчивая выбором безопасных вспомогательных инструментов — эти превентивные меры могут значительно снизить риски и защитить безопасность активов пользователей. В заключение мы призываем всех пользователей проявлять осторожность при участии в рынке инскрипций; в мире цифровых активов безопасность всегда превыше всего.
О MetaSleuth
MetaSleuth — это комплексная платформа, разработанная компанией BlockSec, чтобы помочь пользователям эффективно отслеживать и расследовать любую крипто-активность. С помощью MetaSleuth пользователи могут легко отслеживать средства, визуализировать потоки активов, отслеживать движения средств в реальном времени, сохранять важную информацию и сотрудничать, делясь своими результатами с другими. В настоящее время мы поддерживаем 13 различных блокчейнов, включая Биткоин (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) и другие.
Веб-сайт: https://metasleuth.io/
Twitter: @MetaSleuth
Telegram: https://t.me/MetaSleuthTeam
