加密欺诈,你会中招吗? 译文
作者丨Tolu Ajetunmobi
译者丨朱先忠
审校丨Noe
去中心化金融(Decentralized Finance,简称DeFi)是个快速增长、颇具潜力的发展领域,但它仍处于成熟的早期。巨大的诱惑很容易扭曲投资者的预期,并吸引了大量投机者、欺诈者、黑客等等。
从黑客攻击到协议之间的意外循环反馈,使DeFi服务如此强大的灵活性、可编程性和可组合性也暴露了新的风险。随着主流使用量的增长,监管方面的顾虑将日益突出。了解DeFi领域的常见骗局和应对策略,有助于你在暗流汹涌的数字资产世界里全身而退。
什么是加密欺诈?
加密欺诈通常是指恶意方案,旨在抢劫加密用户的资产。加密骗局可以像赠品一样简单,也可以像拉地毯骗局(DeFi-rug-pulls)一样复杂。
根据Chainanalysis 2021的加密犯罪报告,2021年非法钱包地址收到了高达140亿美元的收入。这比2021年的78亿美元增长了近80%。
大多数情况下,加密骗子的目标是访问用户的私人信息,或诱骗他们将加密资产发送到受损的数字钱包中。
加密欺诈的问题在于,由于区块链技术的隐私和分散性,被盗资金通常无法追踪。
DeFi欺诈
DeFi骗局是专门为DeFi空间精心设计的方案。与其他加密领域一样,DeFi也容易受到欺诈和犯罪的影响。在过去的一年中,该领域的欺诈行为大幅增长。
但是,这种增长也引起了骗子和恶意行为者的注意。区块链分析公司Elicipation的一份报告称,在2021年1月至11月间,DeFi欺诈损失超过100亿美元。
主要原因是,由于完全的权力下放,维持治安面临更大的挑战。由于用户控制着他们自己的资产,因此没有监管机构来执行和防止欺诈。此外,DeFi领域的快速增长吸引了包括恶意行为者在内的各种人的注意。
例如,闪电贷(Flash Loan)——一种无抵押的即时借款——已成为欺诈的主要领域。恶意行为人使用智能合约欺骗贷款人贷款已经偿还。
然而,这并没有掩盖DeFi的众多好处。用户只有更加小心,才能避免落入骗局。
DeFi骗局的类型
DeFi诈骗可大致分为两类:
涉及将用户资产直接转移到骗子的加密钱包的诈骗。这可能是由于冒充或欺诈性投资,如拉地毯骗局。
涉及恶意参与者访问用户钱包或私钥等安全信息的骗局。有时,这可能是窃取用户的物理钱包,即冷钱包。然后,恶意参与者将加密资产转移到另一个钱包。
社会工程骗局
DeFi社会工程骗局与普通互联网社会工程骗案一样。在这种情况下,骗子利用心理操纵,如模仿和欺骗,从用户那里获取重要信息。
大多数情况下,用户被操纵,以为他们在与技术支持、商业机构、社区成员等值得信赖的组织或人打交道。诈骗者可以与受害者建立长期的关系,以获得受害者的信任,避免怀疑。
在恶意行为人获得受害者的信任后,他们试图让受害者透露他们的私人信息或将钱汇到骗子的钱包。社会工程骗局的例子包括浪漫骗局、敲诈、勒索等等。
投资或商业机会骗局
恶意行为者引诱毫无戒心的加密货币持有者进行虚假投资。他们通过提供有保证的回报和夸张的投资回报率来实现这一点。
一旦用户将资产发送到平台,他们发现无法从投资或商业机会中获得资金。在大多数情况下,这些虚假投资的承诺总是被虚假的承诺夸大。
俗话说:
“如果这听起来太好了,简直不像真的,那么很可能这就不是真的。”
如果你计划参与任何加密投资或商业机会,请千万记住这一点。
常见的DeFi骗局以及识别方法
DeFi拉地毯骗局(Rug Pull)
拉地毯骗局是目前最常见的DeFi骗局之一。在这些精心策划的骗局中,恶意开发人员推销看起来令人兴奋的和具有巨大潜力的革命性项目。他们在社交媒体平台和加密社区获得了大量关注和炒作。
当他们收集到足够的钱——几十万美元,有时是数百万美元——他们就简单地卖掉代币,然后带着钱消失。这些恶意开发人员从一开始就从未打算构建什么项目。
有时,这些开发人员在项目的智能合同中设置后门,允许他们退出项目。这使得投资者无法出售。投资者突然之间就剩下了毫无价值的代币,项目也停止了,因此被称为“拉地毯”。
2021,鱿鱼游戏币(SQUID)骗局之后,“拉地毯”(Rug Pulls)受到了广泛关注。11月,模因币SQUID被创建,并以流行的韩国NetFlix系列《鱿鱼游戏》命名。SQUID开始以1美分的价格销售,之后在恶意开发商崩溃之前,价格飙升至90美元以上。
恶意开发商进行拉地毯的另一种方式是通过流动性储备资金(Liquidity pools)。这些开发者在DEX(去中心化交易所)上创建新的代币,并将其与比特币或以太坊等大型加密货币配对。
这些恶意开发商让投资者将两种代币存入流动性池(即新代币和比特币)。此外,为了获得新代币,投资者必须将比特币换成新代币。
然后,骗子会耗尽BIG币的流动性储备资金(在这种情况下一般指比特币),将代币的价格降至零,给投资者留下一文不值的代币。
如何识别拉地毯骗局?
如果你注意的话,会发现拉地毯骗局是最容易识别的骗局之一。这里有一些你应该注意的关键特征:
团队信誉度低或没有什么信誉度:在大多数情况下,你在网上找不到关于创始团队的任何信息。还有一些情况下,团队看起来就可疑。
含糊不清的白皮书:一个重要的危险信号是,白皮书上没有明确指出项目的具体内容。如果白皮书不能准确说明预期结果,这将是一个巨大的危险信号。
不切实际的预测:就像骗局投资或商业交易一样,如果项目回报听起来太好而不真实,那么可能就不真实。
过度营销和推广:虽然并非所有过度促销的DeFi项目都是骗局,但如果你注意到过度营销策略知识,则应谨慎行事。这是因为不太可信的开发者和创始人往往会在促销上过度补偿。因此,在投资之前需先做研究。
少数代币持有人或仅在一个DEX(去中心化交易所)上市:投资前,确保你使用区块浏览器工具(如Etherscan)验证代币持有人的数量。对Coingecko或Coin市值进行简单、快速的搜索,将显示有关该代币或项目的更多信息。检查代币是否在热门交易所上市,以及代币持有人的数量。如果你的结果不令人满意,这可能是一个重要的危险信号。
查看社交媒体:在Reddit、Twitter和Telegram上查看该项目。其他用户或开发人员对项目有什么看法?你可能很快从你搜索到的评论中发现其他危险信号。
炒高再抛售(Pump and Dump)骗局
在股票市场上,炒高再抛售是一种古老的骗局策略,用来迅速提高无价值资产的价格,通常是一只廉价股票。当价格上涨时,经纪人出售资产,抛售资产价格并获利。
在炒高再抛售加密骗局中,无价值资产(有时是模因币)的价格通过精心策划的营销而膨胀。
创始人/骗子可能使用不同的营销技巧,包括社交媒体帖子、联名签名、影响者和虚假/误导性陈述。围绕这些币种的炒作是将其定位为热门购买,并在投资者中引起FOMO(担心错过:Fear of Missing Out)。
“随着价格上涨,炒高的创造者将他们的资产抛售到他们所生成的FOMO中,导致价格崩溃,使得新买家持有大量资产,但这些资产现在的价值低于购买时的价值,从而造成了重大且往往无法收回的损失。”
CTFC(The Commodities Futures Trading Commission:商品期货交易委员会)于2018年发布了其第一份“炒高再抛售虚拟货币客户保护咨询声明”。
根据声明:
“客户应该知道,这些欺诈已经演变并在网络上普遍存在。即使是经验丰富的投资者也可能成为专业欺诈者的目标,他们擅长利用看似可信的信息进行欺骗。”
如何确定炒高再抛售骗局
炒高再抛售骗局通常利用快速吸引投资者投资;其实,这一切都是即时炒作。所以,在你投资之前,这里有一些快速提示,帮助你发现炒高再抛售币类骗局。
这类代币的用途是什么?大多数情况下,炒高再抛售币都是模因币——这些代币背后没有具体的使用实例。炒高再抛售骗局组织者只是利用社交媒体的炒作。
避免仅仅基于社交媒体炒作而购买。不要根据谣言和影响者的话投资或购买这类代币。尽量做你自己的研究并核实谣言。
根据CFTC:
“客户应避免购买基于社交媒体上分享提示的虚拟货币或代币。这些计划的组织者通常会散布谣言,敦促立即购买。
受害者通常会对货币或代币价格上涨做出反应,而不会核实谣言。然后开始转储。
价格下跌,受害者只剩下价值远低于预期的货币或代币。从头到尾,这些骗局可以在短短几分钟内结束。”
网络钓鱼
加密网络钓鱼骗局是以前的互联网网络钓鱼骗术的一种变体——恶意参与者假装是合法的公司或网站,从受害者那里收集个人信息。
加密世界中的钓鱼者对获取用户的加密钱包私钥非常感兴趣。然后,骗子使用密钥访问钱包中的资金并将资产发送出去。
以下是骗子对加密用户进行网络钓鱼的常见方式:
网络钓鱼电子邮件
DeFi网络钓鱼可以通过电子邮件进行;坏人假装是交易平台或DeFi协议。
电子邮件通知用户他们的帐户已被泄露,要解决这个问题,他们需要这些用户的钱包地址和密码。在某些情况下,骗子要求用户为其钱包安全发送资金。
在某些情况下,网络钓鱼电子邮件可能链接到需要用户输入其钱包详细信息的虚假网站。在这样的网站上输入你的钱包详细信息会导致骗子获取你的私人信息。
网站钓鱼
骗子“钓取”你的私人信息的另一种方式是通过Metamask等分散加密钱包。
当你使用Metamask与Web 3.0或分布式应用程序交互时,你是匿名的。然而,网站将显示你拥有加密钱包;这足以让骗子发起网络钓鱼攻击。
被锁定的Metamask钱包相应的公共地址是隐藏的,骗子无法查看任何钱包历史记录。但是,恶意参与者有几种策略可以让你解锁钱包。
一个例子是:骗子向钱包发送一个虚假的传入交易警报或虚假的Metamask弹出窗口,让你解锁钱包。在某些情况下,他们只是等待用户解锁钱包。
解锁的Metamask钱包将在你打开的所有网页上显示你的公共地址;如果在帐户之间切换,也会显示该帐户的地址。通过公共地址,骗子可以查看加密钱包的余额和你的金融交易历史记录。
利用交易历史记录,骗子就可以创建虚假交易警报,从而:
声明上一个传出事务失败,并要求你的身份验证密钥重试。
要求你签署新的传入(虚假交易),从而使得骗子可以利用对这些用户信息的访问。
另一种方法是向你发送有关你的交易的另一个Metamask弹出窗口,其中包含正确的详细信息,但最后一个交易除外——它报告为失败。于是,提示用户重试前一交易。
除目的地钱包地址外,所有信息都正确。骗子更改有关地址;如果更改成功,用户会在不知不觉中把自己的密码发送给钓鱼者设定的地址。
假谷歌广告
当用户搜索某个特定项目时,骗子还可以贴出一个虚假的谷歌广告来抢占第一个位置。点击该广告的用户会被引导到骗子的错误网站。
如何发现网络钓鱼攻击
不要点击可疑链接
网络钓鱼攻击的中心是受害者在虚假网站上输入他们的详细信息。确保你始终检查你的电子邮件和联系地址。大多数情况下,网络钓鱼电子邮件联系人地址充满了随机字符。
不要链接或跟踪可疑电子邮件地址的任何链接。此外,正常的网络交换或协议不会通过电子邮件要求你输入私钥。
在网上要小心
始终仔细检查以确保你处于正确的网站上。克隆网站通常使用原始网站地址的变体,如更改域或添加/删除域中的某个字母。
例如不是使用域名Metamask.io,克隆地址可以使用Metamask.com或者Metamaskk.io。
为避免成为受害者,请始终仔细检查网站URL。此外,请确保URL具有安全证书(HTTPS://nothttp)。你可以选择手动导航网站,而不是跟随来自其他来源的链接。
钱包除尘(Wallet Dusting)
钱包除尘,或简称“除尘”,是一种针对热门钱包的复杂骗局策略。这在去中心化钱包中尤其常见,如Metamask或Trust Wallet。在除尘骗局中,骗子们会将少量不知名的代币放入你的钱包。
除尘诈骗通常涉及数万个钱包。骗子主要使用除尘骗局,从而实现:
识别持有大量加密货币的个人。此时,他们发送到钱包的代币便起到了跟踪器作用。
一旦你出售或交易这些代币,骗子就可以开始追踪区块链上的交易,直到你持有其他代币的钱包。如果他们能够成功识别钱包,他们就可以开始有针对性的网络钓鱼攻击来破解钱包。
如何避免除尘骗局
如果你不确定代币的来源,请避免交易这些代币,尤其是在交易量较小的情况下。
蜜罐技术
蜜罐骗局与炒高再抛售骗局非常相似。不同的是:在这种情况下,只有开发商可以出售他们的股份。
创始人通过高价格预测和营销吸引投资者投资他们的项目。随着越来越多的人投资,资产的价格会无限上涨。
当投资者决定移除他们的利润时,问题就开始了,你会收到一条错误消息,如“由于未定义的错误,交易无法成功;这可能是由于你交换的某个代币出现问题。”
骗子已经在智能合约中插入了一行代码,使投资者无法出售其持有的股票。
如何发现蜜罐骗局
就像发现蜜罐骗局与炒高再抛售骗局一样,在投资任何DeFi项目之前,确保你做了详尽的调查。
云挖掘骗局
在这种投资计划中,欺诈平台说服投资者和零售买家投入前期资金,以确保持续的采矿权。
云采矿公司允许你租用采矿硬件,他们将以固定的首付进行运营。作为回报,投资者将获得部分收入。这样,投资者无需购买昂贵的硬件即可远程采矿。
云采矿骗局公司的问题在于,这些平台并不拥有他们所说的散列率。因此,投资者将失去他们的资本,并且无法从首期付款中获得任何回报。
NFT骗局
NFT(全称为“Non-Fungible Token”,指非同质化通证)诈骗有多种方式,包括拉地毯、网络钓鱼、钱包除尘、假冒NFT和竞价诈骗。以下是常见的NFT骗局:
NFT拉地毯:作为骗子的创造者停止支持NFT,并在价格上涨后拿走投资者的钱。因此,NFT转储和值几乎降至零。
网络钓鱼攻击:黑客试图获取你的私钥以入侵NFT集合。一个常见的变体是钱包除尘;黑客向你的钱包发送了一个假的NFT空投。与你钱包中的NFT通信可以让他们进入你的钱包。
假冒NFT:在这种情况下,骗子窃取艺术家/创作者的作品,并在另一个NFT市场上打开假冒NFT。如果不小心,毫无戒心的买家会购买假冒的NFT。你应该始终确保你从原始艺术家那里购买,以避免这种情况。
炒高再抛售:当一群人人为抬高某些NFT的价值时,就会发生这种情况,诱骗用户认为它们是有价值的。一旦出价上涨,诈骗者就会抛售NFT,导致投资者亏损。
竞价欺诈:竞价欺诈发生在竞价者将你的首选货币转换为较低价值的货币时,而你没有察觉到。当投资者希望在二级市场出售其非金融票据时,就会发生这种情况。
空投(Airdrop)骗局
空投是DeFi协议向社区成员分发免费代币的方式之一。一些协议使用空投来提高对新项目的认识。
用户被要求执行一些简单的任务,比如在推特上发布项目或加入社区。之后,他们得到空投奖励。
然而,并非所有的加密钱包空投都是真实的。在某些情况下,这是黑客访问你钱包的一种方式。
骗子欺骗人们,让他们以为他们在一个可疑的项目/网站后收到了价值数千美元的空投。但是,空投只能通过将你的钱包连接到该网站来兑换。
棘手的是空投没有流动性。如果你将钱包连接到该网站,则会让恶意智能合约访问你的钱包。于是,骗子可以侵入你的钱包并提取你的资产。
如何防止空投诈骗
空投诈骗完全取决于你将钱包连接到恶意智能合约。因此,如果你不确定空投的来源,请不要赎回空投。
ICO骗局
ICO,全称是“Initial Coin Offering(首次代币发行)”,是加密项目为其新项目筹集资金的不受监管的手段。基本想法是,创始人以较低的价格向投资者出售一些代币。
投资者通常在项目启动的悬崖期(cliff period)获得代币股票。
在ICO骗局中,投资者不会在悬崖尽头获得任何代币份额,因为该项目是骗局。这些开发商可以不遗余力地让项目“合法”,包括投资高水平营销和伪造法律文件。
社交媒体骗局
浪漫骗局(杀猪)
浪漫骗局通常始于在线约会网站;骗子使用有吸引力的个人资料图片(鲶鱼)引诱受害者(猪)。
骗子通过在线消息与受害者建立关系。当受害者接近并信任他们时,骗子会告诉他们加密货币投资和他们获得的巨大收益。
之后,他们让受害者跟进一些虚假投资。他们说服受害者将大量加密资产发送到骗局钱包。
骗子和赠品骗局
骗局账户在加密空间中冒充名人和影响者。然后,这些冒名顶替者就一个新项目或赠品向冒名顶替者或毫无戒心的受害者伸出援手。然后,他们要求人们在获得这些赠品之前发送一些加密资产。
例如,在2020年9月至2021年4月间,有报道称Twitter上有超过200万美元转移给了Elon Musk的模仿者。根据联邦贸易委员会的数据,所有类型的冒名顶替骗局中有14%是加密货币。
结论
我在本文中介绍了当前主流的DeFi骗局,但这还不是全部。恶意参与者总是想出新的方法来骗取投资者的加密资产。
总之,为了避免成为受害者,你需要小心你的在线活动。不要跟踪任何可疑链接,并确保在同意之前验证所有交易。
原文链接:https://hackernoon.com/10-common-defi-scams-and-how-to-avoid-them
译者简介
朱先忠,51CTO社区编辑,51CTO专家博客、讲师,潍坊一所高校计算机教师,自由编程界老兵一枚。