背景
随着铭文概念的升温达到前所未有的水平,顶级铭文的价格飙升了数万倍,不法分子已抓住机会,利用铭文的复杂性和新颖性实施各种欺诈行为,这一现象日益猖獗。这些行为不仅对投资者的财务安全构成严重威胁,而且不利于整个铭文生态系统的健康发展。为此,我们详细列举了三种典型的铭文攻击案例,包括诈骗项目的风险、错误转账和意外销毁的危险,以及中心化工具相关的风险,并提供了用户可以采取的相应预防措施。
铭文安全风险与对策
1. 诈骗项目风险
在当前的比特币协议下,项目标识主要依赖于部署操作期间指定的项目名称,并通过唯一的ID在索引器中进行识别。然而,普通用户通常只记住项目名称,并以此为依据进行交易。这种依赖名称的交易方式存在一定的风险,因为存在大量外观相似但实际不同的ASCII字符串,这为视觉欺骗提供了机会。恶意行为者可以利用这些外观相似的字符串,让用户误以为正在与知名项目进行交易,从而发行与合法项目极其相似的虚假项目代币。此类诈骗活动通常发生在代币铸造过程中,此时恶意行为者诱导用户支付费用来获取实际上可能毫无价值的代币或其他虚拟资产。这些欺诈活动不仅损害用户利益,还可能导致整个生态系统不稳定。 举例来说,考虑一个名为“rats”的虚假项目。这个虚假的“rats”项目使用了与合法项目非常相似的ASCII字符命名。如果用户不仔细辨别名称,可能会被误导购买虚假的“rats”代币,导致经济损失。
除了虚假铭文外,一些诈骗铭文甚至会诱骗用户在铸造过程中支付额外资金。例如,如图所示,在铸造位图铭文时,欺诈性网页还会要求用户向特定地址付款。如果用户未能注意到要求的付款金额,他们可能会遭受重大的经济损失。
对策:避免从未经验证的来源铸造铭文 铸造铭文的渠道多种多样,根据我们遇到的类型,包括:1. 项目自身的发行网站。2. Unisat等钱包的辅助工具。3. 其他第三方提供的工具。这些不同的铸造渠道可能会让用户感到困惑,无法辨别渠道的正确性和安全性,从而落入诈骗铭文的陷阱。我们建议用户主要使用钱包服务商或项目团队的官方发行网站来铸造铭文。建议在铸造前验证网站的真实性,并仔细审查所需的铸造金额。 对于大规模批量铸造,我们建议使用钱包提供的辅助工具,以进一步增强资金安全。
2. 意外转账和销毁的风险
首先,意外转账是指铭文的载体在交易中被视为普通比特币的情况。由于铭文附加在比特币交易上,传统的BTC钱包不会考虑铭文附加的额外价值,而只显示UTXO模型中锁定的聪的价值。一些用户可能在不完全理解铭文的情况下进行传统交易。这可能导致钱包将铭文误认为是普通的比特币资产,并与其他UTXO合并,然后发送到错误的地址,导致不可逆的损失。
其次,意外销毁(burn)是指铭文因被视为没有价值或无意义而被销毁或删除的情况。由于铭文不直接影响比特币在分割模型中的所有权或价值,一些用户可能错误地认为携带铭文的比特币纸面价值较低,不重要或无效,并选择将其与其他UTXO合并。这可能导致与铭文相关的重要信息或资产永久丢失。
例如,如图所示,钱包错误地未能识别本应受保护的比特币交易中的铭文。结果,它被当作尘埃移出,导致损失。
https://twitter.com/wizzwallet/status/1714385677985661245?s=20
对策:准备专用的铭文地址和钱包 在分割模型中,为防止用户误转账或销毁高价值的铭文资产,建议用户为铭文准备专用的地址和钱包。这种做法可以有效降低意外操作的风险,确保铭文资产的安全。此地址应与常规交易地址区分开,以避免与标准比特币交易地址混淆。通过将铭文交易与其他交易隔离开来,用户可以更好地控制和管理其铭文资产。
3. 中心化工具风险
区块链的去中心化设计允许用户直接参与区块链生态系统;然而,通过复杂的RPC协议直接加入区块链生态系统过于复杂。因此,绝大多数用户选择依赖辅助工具在铭文生态系统中进行铸造和交易。
鉴于铭文是一个新概念,其生态系统与成熟的ERC20框架相比仍处于初级阶段,许多辅助工具迅速涌现。其中大多数工具侧重于功能实现,有时却忽略了安全考虑。例如,一些工具可能要求用户导入私钥进行交易签名,或者用户可能将资产委托给平台进行交易。 这些做法会暴露用户的私钥,而中心化工具实质上控制着用户的所有资产,这可能导致“拉盘”风险和其他形式的中心化漏洞。这些风险与一些钱包公司在获得私钥后卷走用户所有资产并随后宣布破产的案例类似。
例如,以下代理工具通过获取用户的私钥直接从用户的钱包窃取资金。
对策:使用安全的铭文辅助工具
为提高铭文资产的安全性,用户应在知名铭文市场上进行交易和操作。例如,像Geniidata (https://geniidata.com/Ordinals/index/brc20)、Ordiscan (https://ordiscan.com/) 和Etch Market (https://www.etch.market/market) 这样的知名铭文探索和市场平台,提供了安全的交易环境和可靠的铭文信息。在这些信誉良好的平台上进行铭文的铸造、交易和其他操作,可以提高用户的安全性。此外,用户应保持警惕,不要盲目信任未知网站提供的铭文铸造和交易服务。在进行任何操作之前,应彻底研究并确认网站的声誉和安全措施。此外,用户必须确保不向任何不可信的第三方透露其私钥或其他敏感信息,以防止网络钓鱼或盗窃事件。
总结
通过对铭文诈骗的风险、错误转账和意外销毁的危险,以及中心化工具的潜在威胁有了更深入的了解,我们可以看到,尽管铭文生态系统充满了前景和可能性,但同时也伴随着诸多风险和挑战。用户在进行铭文的交易和存储时必须保持高度警惕和谨慎。从使用官方渠道铸造铭文,准备专用的铭文地址和钱包,到选择安全的铭文辅助工具,这些预防措施可以显著降低风险,保护用户资产的安全。总之,我们鼓励所有用户在参与铭文市场时保持谨慎;在数字资产的世界里,安全永远是第一位的。
关于 MetaSleuth
MetaSleuth 是 BlockSec 开发的一个综合平台,旨在帮助用户有效跟踪和调查所有加密活动。通过 MetaSleuth,用户可以轻松跟踪资金、可视化资金流、监控实时资金流动、保存重要信息,并通过与他人分享其发现来进行协作。目前,我们支持包括比特币(BTC)、以太坊(ETH)、波场(TRX)、Polygon(MATIC)等在内的13种不同的区块链。
Twitter:@MetaSleuth
Telegram:https://t.me/MetaSleuthTeam
