# 欺骗亦是crypto的商业模式？——钱包安全是最高优先级

By [pruce](https://paragraph.com/@pruce) · 2024-08-20

---

**极致省流版：胆大心细，反复检查，不要乱点，分层保护。**

TL;DR

*   资金盘见仁见智：很多gamefi项目就是资金盘，如果你觉得自己足够聪明，或者运气足够好，能够在这场游戏里胜出，冲入资金盘也无可厚非。
    
*   貔貅盘心中有数：**检查合约地址！检查合约地址！检查合约地址！**
    
*   主动提供私钥：禁止**在任何情况下**主动提供私钥，警惕假冒官方工作人员，警惕任何向你询问私钥的人。
    
*   获得知名代币空投+虚假网址虚假社区：**看到任何链接都不要乱点**，从官方渠道验证信息，比如找到Twitter，或者从[Coingecko](https://www.coingecko.com/)、[CoinMarketCap](https://coinmarketcap.com/)等网站去验证该网址是否是官方网址
    
*   诱导受害者下载**假钱包：确保自己**只从官方渠道下载钱包插件。最推荐的是通过权威平台审核的渠道下载，Chrome插件可以在[Chrome应用商店](https://chrome.google.com/webstore/category/extensions?utm_source=chrome-ntp-icon)**下载，手机端APP则尽量在Google的**Play商店、苹果外区的**App Store下载**，通过主流平台审核过的钱包更能放心。 不得不从网站下载安装包的情况，一定要加倍小心，特别是**不能轻信搜索引擎的搜索结果**，那可能是假网站通过竞价排名或者SEO手段获得的靠前位置。
    
*   诱导受害者（例如KOL)**主动下载，并点开下载的恶意程序：看到任何文件都不要乱点，Windows系统打开未知文件时应当考虑**虚拟机。警惕**将恶意程序包装成试用的软件，诱导受害人下载并运行**。
    
*   保护措施：**多钱包和分层保护，定期转移资产**
    
*   web3交易不能无脑微信支付逻辑：仔细看一遍含有**Approve, SetApproveForAll, Transfer,0x开头的交易**
    
*   **钓鱼网站！钓鱼网站！钓鱼网站！**
    

下次更新：**修改转账地址；恶意签名攻击 ；permit2 恶意签名攻击**

1.土狗币资金盘
========

### 1.1 资金盘

![](https://storage.googleapis.com/papyrus_images/9865b9697b2540cb3f3372c211227175b988f728707fb28e024e176951354b83.png)

1.  **控制流动性**：项目方或者庄家掌握了大部分的代币流通量和流动性。他们可能通过预挖矿、预售、大量持仓等方式掌握代币的绝大多数份额。
    
2.  **宣传造势**：项目方通过社交媒体、广告、KOL（意见领袖）等渠道疯狂宣传，制造代币即将上涨的氛围，以吸引散户和不明真相的投资者进场。
    
3.  **拉盘吸引资金**：通过短期拉盘，项目方故意制造代币价格快速上涨的假象，刺激投资者追高买入，形成价格泡沫。
    
4.  **抛售获利**：当吸引到足够多的资金后，项目方会在高点抛售手中的大量代币，或者通过撤出流动性池来套现。这通常会导致代币价格暴跌，最终投资者蒙受损失，而项目方则攫取了大量有价值的加密货币（例如ETH）。
    

这种模式与传统金融市场中的“**庞氏骗局**”或“**庄家操盘**”有相似之处，但由于区块链和加密货币市场的去中心化和匿名性，更加难以追踪和监管。因此，投资者在参与此类项目时需要保持高度警惕，避免陷入此类骗局。

这一点我们可以通过**在EtherScan搜索代币合约**，点击**Token Tracker**，点击**Holder**页面来发现蛛丝马迹。

Holder的集中度提现了巨鲸的持有情况，提现了项目方的做庄可能，但也不能完全杜绝，有心掩盖痕迹的项目方可以用大量小号来分仓，掩饰自己控制了大部分代币筹码的事实。

疑问：

gamefi都是资金盘吗？

### 1.2 同名山寨币

“同名山寨币”指的是那些名字和已有主流加密货币相同或相似的山寨币。山寨币（Altcoin）是指除了比特币之外的所有加密货币。由于山寨币的创建门槛相对较低，一些新的加密货币可能会使用与已有主流货币相同或相似的名字，目的是为了吸引投资者或利用已有货币的声誉。

例如，如果一个新的加密货币叫做“比特币现金”，这可能会与实际的“比特币现金”（Bitcoin Cash）混淆。这样的做法可能会误导投资者，导致他们在投资时产生混淆和潜在的损失。

投资加密货币时，了解项目的背景和真实性是非常重要的，确保你投资的是真正值得信赖的项目。如果你遇到“同名山寨币”，建议仔细研究其白皮书、团队背景和社区评价，避免陷入诈骗或投资风险。

2.貔貅盘
=====

在加密货币交易中，“貔貅盘”是一种特指的骗局，描述的是一种交易策略，其中代币在买入时没有任何限制，但在卖出时却被施加了各种限制，使得用户无法将代币出售或取回投资。这里的“貔貅”是中国古代神话中的一种神兽，象征着只吃不吐，在加密世界中用来形容这些让投资者在购买后无法轻松出售的代币。

### **貔貅盘的主要形式包括：**

1.  **只能买不能卖**：
    
    *   **描述**：这种情况的代币只允许被转入，但不允许转出。用户购买代币后，实际上无法将代币出售，因为出售操作被限制，只允许特定的白名单地址进行转出。
        
    *   **后果**：投资者买入这些代币后，无法出售它们，从而损失了投资的资金。通常这种限制会在代币合约中设置，导致买入后的资金无法追回。
        

### **工具和检测方法：**

*   **工具**：
    
    *   [**Honeypot.is**](http://Honeypot.is)（ETH、BSC）：这些工具可以帮助用户检测是否存在“只能买不能卖”的情况。用户输入代币的合约地址后，这些工具会检查代币是否具有限制交易的功能。
        
    *   [**Rugdoc.io**](http://Rugdoc.io)（BSC、Polygon、Avalanche、Fantom）：这个工具可以提供类似的检测功能，并且支持多个区块链网络。
        
*   **检测方法**：
    
    *   **输入代币合约地址**：使用这些工具时，你需要输入你想检测的代币的合约地址。
        
    *   **检查结果**：工具会告诉你是否该代币存在卖出限制，或者是否可能是一个潜在的“貔貅盘”。
        

### **为什么会出现这种代币？**

*   **欺诈**：创建者可能故意设计这些代币以便自己能够从投资者那里获利，而让投资者无法轻易退出。
    
*   **市场操控**：这些代币可能被用于市场操控或其他不正当的经济活动。
    

### **如何避免这种风险？**

1.  **仔细研究项目**：在投资之前，确保对代币的背景、团队和技术有充分的了解。
    
2.  **使用检测工具**：利用上述工具来检测代币是否存在交易限制。
    
3.  **选择信誉良好的平台**：在交易所或平台上交易时，选择信誉良好的平台，避免不知名或新创建的代币。
    

总的来说，了解这些潜在的陷阱并做好充分的研究可以帮助你在加密货币投资中保护自己的资金，避免落入“貔貅盘”的骗局。

3.私聊盗取私钥攻击
==========

### **3.1 私钥的形式**

1.  **私钥原始格式**：
    
    *   **描述**：这是私钥的基本格式，通常是一个长串的十六进制字符。例如：`8e304f6cb302b452f07f961637ec3ed7749a9e497f289348e5e43a3de34b42a4`。
        
    *   **用途**：用来直接签名交易和访问区块链上的资产。
        
2.  **助记词格式**：
    
    *   **描述**：这是一组由12个或24个单词组成的助记词，用于生成私钥。这种形式更容易记忆和备份。例如：`decorate divert life youth black argue rare define sense boost lazy gaze`。
        
    *   **用途**：在助记词生成的过程中，它们与私钥具有一对一的关系，并且可以用来恢复钱包中的资产。
        
3.  **加密的KeyStore文件**：
    
    *   **描述**：这种文件将私钥加密，并需要一个密码来解密。即使黑客盗取了KeyStore文件，没有密码也无法直接获取私钥。
        
    *   **用途**：提供了一种额外的保护层，防止直接获取私钥的情况。
        

### **盗取私钥的特点和后果**

*   **私钥泄露的后果**：
    
    *   一旦黑客获得了私钥，他们就可以控制相应的账户。可以进行包括转账在内的各种操作，因为持有私钥就相当于拥有账户的完全控制权。
        
    *   **转移ETH**：ETH是以太坊网络的原生代币，能够进行转账操作是高权限的特征。智能合约通常不能直接转移ETH，它们可以转移代币，但不能直接操作ETH。如果你的ETH被转移，说明黑客有权限控制你的账户，可能是由于私钥泄露。
        
*   **检测私钥泄露**：
    
    *   如果发现账户内的ETH被转移而你没有进行此操作，这表明你的私钥很可能已被盗取。这种情况下，你的资产可能已经处于危险之中。
        

### 3.2 盗取私钥的常见手段

#### 1\. 社会工程学手段

社会工程学手段利用心理操控来获取敏感信息。以下是一些常见的手法：

1.  **伪装成官方人员**：
    
    *   骗子常常伪装成官方支持团队成员，假装提供帮助时诱导受害者提供私钥。例如，他们可能会要求受害者在某个虚假的网站上输入助记词，称这是“重置账户”或解决其他问题的步骤。
        
    *   骗子会要求受害者删除相关的求助记录，声称是为了保持版面整洁。这种方式可以减少其他人警告受害者的机会。
        
    *   **防范措施**：如果接收到需要输入助记词的请求，要特别警惕。可以截图并在官方渠道验证对方身份，或在官方群里询问其他成员，以确认对方是否真实可靠。
        
2.  **虚假奖励或空投**：
    
    *   骗子利用虚假的白名单、代币空投等吸引受害者，诱使其访问伪造的网站或填写敏感信息。
        
    *   **防范措施**：验证任何奖励或空投的信息，可以通过官方社交媒体账户或知名的加密货币网站（如CoinGecko、CoinMarketCap）来确认信息的真实性。
        

#### 2\. 黑客手段

黑客手段往往结合社会工程学手段，利用技术手段盗取私钥。

1.  **假钱包**：
    
    *   黑客可能诱导受害者下载假钱包，如伪装成MetaMask插件或假TokenPocket手机钱包。这些假钱包会窃取受害者的私钥。
        
    *   **防范措施**：确保从官方网站或权威平台下载钱包插件或APP。Chrome插件应从Chrome应用商店下载，手机端APP应从Google Play商店或Apple App Store下载。避免从不明网站下载软件。
        
2.  **恶意软件和病毒木马**：
    
    *   **假钱包的诱导**：黑客可能通过假钱包获取私钥。假钱包通过伪装成正规应用诱骗用户安装，用户在导入钱包时相当于直接暴露了自己的私钥。
        
    *   **病毒木马**：黑客通过私聊、钓鱼网站等方式，诱导用户下载恶意程序。这些程序可能具备监控和窃取功能，能够窃取加密后的私钥、浏览器中保存的账号密码，或监控剪贴板内容。
        
        *   **盗取MetaMask私钥**：如果恶意程序只能窃取加密后的私钥，黑客还需破解密码才能获取实际私钥。
            
        *   **盗取浏览器密码**：窃取用户浏览器中保存的密码，若常用密码的习惯明显，会加速暴力破解过程。
            
        *   **监控剪贴板**：监控用户剪贴板内容，可以窃取密码或伪造转账等。
            
    *   **防范措施**：避免下载不明来源的文件，尤其是来源不明的软件。使用主流安全软件进行防护，特别是在Windows系统上，考虑使用虚拟机来隔离潜在威胁。Mac系统相对更安全，但仍需保持警惕。
        
3.  **针对KOL的骗局**：
    
    *   有针对KOL（关键意见领袖）的骗局，以商务合作名义诱导下载恶意程序，这些程序伪装成试用软件。
        
    *   **防范措施**：KOL和公众人物应特别注意商务合作的真实性，避免下载来源不明的软件，尤其是在收到陌生合作提议时要进行彻底的验证。
        

总之，防止私钥被盗的关键在于警惕任何要求输入私钥或助记词的情况，确保软件和插件的来源正规，并使用安全工具保护系统和数据。

### **3.3如何防止私钥泄露**

1.  **绝对保密**：
    
    *   **不要共享**：永远不要与任何人共享你的私钥或助记词，即使是看似可信的人。
        
    *   **不要保存在线**：避免将私钥存储在电子设备上，尤其是云存储和未加密的文件中。
        
2.  **安全存储**：
    
    *   **硬件钱包**：使用硬件钱包来存储私钥，它们提供物理设备保护，减少被远程盗取的风险。
        
    *   **离线备份**：将助记词或私钥的备份保存在离线设备上，如纸质备份或离线硬件钱包。
        
3.  **警惕钓鱼和恶意软件**：
    
    *   **使用防病毒软件**：确保你的设备上有最新的防病毒软件，以防止恶意软件盗取你的私钥。
        
    *   **小心钓鱼攻击**：不要点击可疑的链接或下载不明软件，避免泄露私钥信息。
        

总之，保护你的私钥是确保加密资产安全的关键。了解私钥泄露的风险和预防措施，能够帮助你更好地保护自己的数字资产。

4\. 保护私钥
========

### 1\. **冷钱包（硬件钱包）**

冷钱包是保护私钥的最佳方式之一，因为它们从生成到使用都不会连接到互联网，极大减少了被黑客攻击的风险。

*   **硬件钱包**：如 **Ledger**、**KeyStone**、**Onekey** 等设备，专门为私钥的安全存储而设计。它们可以在离线状态下生成并保存私钥，所有的交易都是在硬件设备内签名，私钥从不离开设备。这种方式能确保即使在联网的计算机上操作，也不会暴露私钥。
    
*   **安全措施**：
    
    *   **购买渠道**：从官方或可信的渠道购买硬件钱包，避免买到被篡改的设备。
        
    *   **备份恢复种子**：在设置硬件钱包时，会生成一组助记词（种子），用于恢复钱包。这组助记词应该离线保存，避免拍照、截图或以任何电子形式存储。
        

### 2\. **旧手机冷钱包**

使用一台不再联网的旧手机作为冷钱包，也是保护私钥的有效方法，尤其对于那些刚进入区块链领域的人，或那些不愿投资硬件钱包的用户。

*   **操作步骤**：
    
    *   **初始设置**：格式化旧手机后，只在必要时连接网络，安装钱包APP如 **imToken**、**TokenPocket** 等。生成钱包后断开网络连接，之后所有操作都在离线状态下进行。
        
    *   **二维码授权**：冷钱包与热钱包通过二维码进行离线授权。虽然旧手机冷钱包的二维码有容量限制，但对于大多数普通交易场景已足够使用。
        
    *   **复杂交易问题**：对于批量操作（如购买多个NFT），可以考虑分批处理或使用支持大容量数据传输的硬件钱包。
        
*   **优缺点**：
    
    *   **优点**：无需额外购买设备，成本低。
        
    *   **缺点**：二维码容量有限，操作复杂时可能不便。同时，旧手机的物理损坏风险需要考虑。
        

### 3\. **Rabby 钱包与手机冷钱包的配合**

使用 **Rabby** 钱包浏览器插件与手机冷钱包配合，是一种较为灵活和安全的方式。通过二维码授权功能，避免了私钥在电脑端的暴露。

*   **操作流程**：
    
    *   **Rabby 钱包插件**：在电脑浏览器中安装 **Rabby** 插件，认准官方网站（如 [https://rabby.io/），安装后与手机端的钱包APP通过二维码功能链接。](https://rabby.io/%EF%BC%89%EF%BC%8C%E5%AE%89%E8%A3%85%E5%90%8E%E4%B8%8E%E6%89%8B%E6%9C%BA%E7%AB%AF%E7%9A%84%E9%92%B1%E5%8C%85APP%E9%80%9A%E8%BF%87%E4%BA%8C%E7%BB%B4%E7%A0%81%E5%8A%9F%E8%83%BD%E9%93%BE%E6%8E%A5%E3%80%82)
        
    *   **手机端授权**：在手机端进行授权，确保私钥在冷钱包中始终不触网。
        
    *   **分隔热钱包与冷钱包**：即便使用热钱包（如 MetaMask），也应避免在同一台电脑上导入所有钱包。定期将热钱包资产转移到冷钱包，减少长期暴露在网络中的资产量。
        

### 4\. **多钱包和分层安全**

*   **分层保护**：将不同用途、不同风险级别的资产分开管理。小额资产放在热钱包中，用于日常交易；大额资产放在冷钱包中，长期储存。
    
*   **定期转移资产**：热钱包积累到一定数量的资产后，定期转移到冷钱包，确保重要资产始终在安全的环境中存储。
    

### **总结**

核心原则是减少私钥暴露在网络的可能性，通过冷钱包、旧手机冷钱包以及合理的操作习惯来确保资产的安全。这些策略对于任何关心数字资产安全的用户来说，都是非常值得实践和遵循的。

5\. 恶意授权、虚假交易攻击
===============

在区块链和加密货币的世界里，保护自己的资产安全至关重要。下列提到的这些操作，需要特别警惕，原因如下：

**Approve：授权某ERC20代币的使用额度**当你执行`Approve`操作时，你实际上是在授权某个合约可以使用你钱包中的特定ERC20代币。这种授权可能是无限额度的，也就是说，合约可以随时从你的钱包中提取代币。如果你授予了恶意合约这种权限，它可能会消耗你所有的代币。因此，在授权时务必谨慎，只授予可信的合约，并尽量设定合理的授权额度。

**SetApproveForAll：授权某系列的NFT的全部使用权**`SetApproveForAll`是用来授权某个地址可以管理你所有特定系列的NFT（如BAYC等）。如果你批准了一个恶意合约，它就能随意转移或出售你所有的NFT。因此，除非非常必要，否则尽量避免使用这个函数，特别是在不确定对方合约安全性的情况下。

**Transfer：意味着转账**`Transfer`是直接将资产从一个钱包转移到另一个钱包的操作。如果你批准了恶意交易或授权了恶意合约，黑客可能会直接调用`Transfer`函数，将你钱包中的资产转移走。这是最直接的资产损失方式，因此在确认转账操作时一定要仔细检查地址和交易目的。

**0x开头的交易：复杂交易的标志**交易显示为`0x`开头的Method ID（方法标识符），通常意味着交易涉及到复杂的合约调用。当你进行一些普通操作如`Swap`（交换代币）或`Claim`（领取奖励）时，正常情况下会显示出特定的交易名称，而不是仅显示为`0x`开头的编码。如果你看到这种情况，且你并不清楚交易的具体内容，就要非常小心，因为这可能表明你在不知情的情况下参与了一些复杂且潜在风险的操作。

恶意授权和虚假交易攻击是目前在加密货币和区块链领域中常见的攻击手段，尤其是通过钓鱼网站实施。这类攻击的核心目标是欺骗用户授予恶意合约不必要的权限，从而窃取用户的资产。以下是两种常见的攻击手法：

### 1\. **仿冒知名DApp网站进行授权诈骗**

*   **手段描述**：攻击者会搭建一个外观和功能都与知名DApp（如UniSwap）高度相似的网站。这种仿冒网站通常以“低手续费”、“限时优惠”等诱人的理由吸引用户访问。用户在不察觉的情况下，将钱包连接到这个假网站上，并被诱导进行授权操作。
    
*   **攻击过程**：当用户在仿冒网站上进行交易（如尝试兑换代币）时，网站会提示用户进行授权操作（通常是ERC20代币的`Approve`）。但实际上，这个授权并不是用户想要的交易，而是对恶意合约的授权。完成授权后，黑客就能利用这个权限，直接将用户钱包中的所有相应代币转走。
    

### 2\. **假借“Mint热门NFT”或“领取空投”实施敏感交易攻击**

*   **手段描述**：这种攻击方法利用用户对热门NFT项目或空投奖励的兴趣，诱导用户点击链接进入钓鱼网站。通常这些网站会打着“Mint”（铸造NFT）或“Claim”（领取奖励）的旗号，营造出一种限时机会或稀有资源的紧迫感。
    
*   **攻击过程**：当用户在钓鱼网站上点击“Mint”或“Claim”按钮时，实际上触发的交易不是铸造NFT或领取奖励，而是执行`Approve`、`SetApproveForAll`或`Transfer`等敏感操作。例如，`SetApproveForAll`允许恶意合约管理用户所有的NFT，`Transfer`则直接转移用户的资产。这种攻击手段非常隐蔽，许多用户在授权或签署交易时并没有仔细检查交易内容，导致资产被盗。甚至像周杰伦这样的知名人士也曾中招，说明这种攻击的高效性和隐蔽性。
    

### **防范措施**

*   **确认网站的真实性**：始终通过书签或直接输入网址的方式访问DApp，避免通过未知链接或搜索引擎结果进入网站。
    
*   **使用安全工具**：利用浏览器插件或区块链分析工具来检测网站的安全性，或者使用诸如Etherscan或Revoke.cash等工具定期审查并撤销不必要的授权。
    
*   **提高警惕**：尤其是在面对突然的、未经证实的空投或铸造机会时，保持冷静，不轻易点击链接或授权。特别是在执行看不懂的交易时，务必多加留意，确保你了解并信任交易的具体内容。
    
*   **授权最小化**：尽量减少对合约的授权，不要轻易授予无限额度或所有NFT的使用权。

---

*Originally published on [pruce](https://paragraph.com/@pruce/crypto)*