背景
隨著銘文概念熱度達到空前水準,頂級銘文的價格飆升了數萬倍,犯罪分子已趁機利用銘文的複雜性和新穎性來實施各種形式的詐騙,這種現象正變得越來越猖獗。這些行為不僅對投資者的財務安全構成嚴重威脅,還對整個銘文生態系統的健康發展產生了不利影響。對此,我們詳細概述了三種典型的銘文攻擊案例,包括詐騙項目風險、錯誤轉移與意外銷毀的危險,以及與中心化工具相關的風險,並提出了用戶可以採取的相應預防措施。
銘文安全風險與應對措施
1. 詐騙項目風險
在當前的比特幣協議下,項目識別主要依賴於部署操作期間指定的項目名稱,並使用唯一 ID 在索引器中進行識別。然而,普通用戶通常只記住項目名稱,並將其作為交易的基礎。這種依賴名稱的交易方法存在一定的風險,因為存在大量視覺上相似但不同的 ASCII 字串,這為視覺欺騙提供了機會。惡意行為者可以利用這些看起來相似的字串誘騙用戶,讓他們誤以為正在與知名項目進行交易,從而發行與合法項目極為相似的虛假項目代幣。這類詐騙通常發生在代幣鑄造過程中,惡意行為者誘導用戶支付費用以獲取價值可能為零的代幣或其他虛擬資產。這些欺詐活動不僅損害了用戶的利益,還可能導致整個生態系統的不穩定。 舉例來說,讓我們考慮一個虛假項目名稱「rats」的假設案例。這個虛假的「rats」與合法的項目命名非常相似,使用了相似的 ASCII 字元。如果用戶不仔細辨別命名,他們可能會被誤導購買虛假的「rats」代幣,從而導致經濟損失。
除了虛假銘文外,一些詐騙銘文甚至會欺騙用戶在鑄造過程中發送額外資金。例如,如下圖所示,在位圖(bitmap)上鑄造銘文時,欺詐網頁還會要求用戶向特定地址付款。如果用戶沒有注意到所要求的付款金額,他們可能會蒙受巨大的經濟損失。
應對措施:避免從未經核實的來源鑄造銘文 鑄造銘文的頻道多種多樣,根據我們遇到的類型,包括:1. 項目自己的分發網站。 2. Unisat 等錢包提供的輔助工具。 3. 其他第三方提供的工具。這些不同的銘文鑄造頻道會讓用戶感到困惑,無法分辨頻道的正確性和安全性,從而掉入詐騙銘文的陷阱。我們建議用戶主要使用錢包服務或項目團隊的官方分發網站來鑄造銘文。建議在鑄造前驗證網站的真實性,並仔細審核所需的鑄造金額。 對於大規模批量鑄造,我們建議使用錢包提供的輔助工具,以進一步提高資金安全性。
2. 意外轉移與銷毀的風險
首先,意外轉移是指銘文的載體在交易過程中被當作普通比特幣處理的情況。由於銘文附加在比特幣交易中,傳統的 BTC 錢包不會考慮銘文所攜帶的額外價值,僅顯示 UTXO 模型中鎖定的聰(satoshis)價值。有些用戶可能在未完全了解銘文的情況下進行傳統交易。這會導致錢包將銘文誤認為普通比特幣資產,並將其與其他 UTXO 合併,隨後被發送到錯誤的地址,從而導致不可挽回的損失。
其次,意外銷毀(burn)是指由於銘文被認為沒有價值或毫無意義而被銷毀或刪除的場景。由於銘文不直接影響分離模型中比特幣的所有權或價值,一些用戶可能會錯誤地認為帶有銘文的比特幣紙面價值較低、不重要或無效,並選擇將其與其他 UTXO 合併。這可能導致與銘文相關的重要資訊或資產永久丟失。
例如,如下圖所示,錢包錯誤地未能識別出本應受到保護的比特幣交易中的銘文。結果,它被當作粉塵(dust)處理並轉移了出去,導致了損失。
https://twitter.com/wizzwallet/status/1714385677985661245?s=20
應對措施:準備專用的銘文地址與錢包 在分離模型中,為了防止用戶錯誤轉移或銷毀高價值銘文資產,建議用戶為其銘文準備專用的地址和錢包。這種做法可以有效降低意外操作的風險,並確保銘文資產的安全。該地址應與常規交易地址區分開來,以防止與標準比特幣交易地址混淆。透過將銘文交易與其他交易隔離,用戶可以更好地控制和管理其銘文資產。
3. 中心化工具風險
區塊鏈的去中心化設計允許用戶直接參與區塊鏈生態系統;然而,透過複雜的 RPC 協議直接加入區塊鏈生態系統過於複雜。因此,絕大多數用戶選擇依賴輔助工具來參與銘文生態系統中的鑄造和交易過程。
鑑於銘文是一個新概念,且其生態系統相較於成熟的 ERC20 框架仍處於初期階段,許多輔助工具迅速湧現。這些工具大多專注於功能實現,而有時忽略了安全性考量。**例如,某些工具可能要求用戶導入私鑰以簽署交易,或者用戶將其資產託付給平台進行交易。**這些做法會暴露用戶的私鑰,而中心化工具本質上控制了用戶的所有資產,這可能導致「撤資(rug pull)」風險和其他形式的中心化漏洞。這些風險類似於一些錢包公司在獲取用戶私鑰後捲款潛逃並隨後宣布破產的案例。
例如,以下代理工具透過獲取用戶的私鑰直接從用戶錢包中竊取資金。
應對措施:使用安全的銘文輔助工具
為了提高銘文資產的安全性,用戶應在知名的銘文市場進行交易和營運。例如,廣受認可的銘文探索和市場平台,如 Geniidata (https://geniidata.com/Ordinals/index/brc20)、Ordiscan (https://ordiscan.com/) 和 Etch Market (https://www.etch.market/market) 提供了安全的交易環境和可靠的銘文資訊。在這些信譽良好的平台上進行銘文的鑄造、交易和其他操作可以提高用戶的安全性。此外,用戶應保持警惕,不要盲目信任未知網站提供的銘文鑄造和交易服務。在進行任何操作之前,應徹底研究並確認該網站的信譽和安全措施。此外,用戶必須確保不向任何不受信任的第三方洩露其私鑰或其他敏感資訊,以防止網絡釣魚或盜竊事件。
總結
在深入了解了銘文詐騙風險、錯誤轉移與意外銷毀的危險以及中心化工具帶來的潛在威脅後,我們可以看出,儘管銘文生態系統充滿了前景和可能性,但也伴隨著眾多風險與挑戰。用戶必須對銘文的交易與儲存保持高度的警惕與謹慎。從使用官方管道鑄造銘文、準備專用的銘文地址與錢包,到選擇安全的銘文輔助工具,這些預防措施能夠顯著降低風險並保護用戶的資產安全。總之,我們鼓勵所有用戶在參與銘文市場時保持謹慎;在數位資產的世界中,安全永遠是第一位的。
關於 MetaSleuth
MetaSleuth 是由 BlockSec 開發的一個綜合平台,旨在協助用戶有效地追蹤與調查所有加密貨幣活動。透過 MetaSleuth,用戶可以輕鬆追蹤資金、視覺化資金流向、監控即時資金變動、保存重要資訊,並透過與他人分享發現來進行協作。目前,我們支援 13 種不同的區塊鏈,包括比特幣(BTC)、以太坊(ETH)、波場(TRX)、Polygon(MATIC)等。
Twitter:@MetaSleuth
Telegram:https://t.me/MetaSleuthTeam
