早在2021年，加密货币骗局是一个不断增长的攻击载体，欺骗受害者投资加密货币领域。据CNBC报道（原文链接如下），2021年，加密货币骗局所损失超过10亿美元，其中最常见的类型包括虚假投资和浪漫骗局。# M( j" f+ B) e3 o$ ~$ n2 G' [
从那时起，2022年就表明，骗子们越来越有创造力。8 W& c1 Y' K6 n0 _- C$ T3 a: M! \+ F8 P
作为保障BNB链生态系统安全的领导者，我们有责任确保BNB 链生态系统总是比这些骗子领先一步，从而确保系统中用户的安全。以下是今年最流行的骗局：
2 F" O  p( f7 Z& B. T+ ]1、钓鱼网站链接诈骗
) p" J( u$ y& ?2 |5 f钓鱼网站已经是Web2中骗子们常用的技术，这是因为骗子们可以直接创建一个恶意网站，随后将大量链接发给受害者。在这里，我们将主要关注骗子们试图窃取你的私钥的方法。
5 M9 ^7 K2 _1 m2 g/ d$ C在Web 3中，骗子通常通过Web3社区所在的不同媒介发送他们的钓鱼网站链接，如Discord、Twitter、Telegram，甚至是链上的链接。
1 o4 n8 F/ w  k! K3 B+ H
9 _3 M% ?! ]1 H( s# \& R钓鱼网站通常看起来像真正的网站，但有不同的网址名称。它们可以是关于一个新的赠品或NFT前期活动，基本上是任何能让用户感到兴奋（FOMO - 害怕错过）而不直接思考的情况。骗子利用了用户的情绪不稳定性。
( A( `( ]5 q, z  s- H他们可以明目张胆地要求用户提供他的种子短语或私钥。例如，在社交媒体上联系用户，以钱包软件支持的名义伸出援手，并直接使用欺骗信息作为交换支持，直接窃取用户的私钥。, _3 |# [8 I/ J: @$ ]
另一种方式是，骗子会开发看起来与合法软件类似的chrome扩展程序，如Metamask。通过模拟真正的应用程序，用户往往会放松警惕，并提供他们的私钥来使用新的应用程序。
# r3 K# D" M  o我们注意到一个有趣的策略，骗子也会试图欺骗用户，让他们以为现有的应用程序有一个新的错误/漏洞，并且有一个新的软件升级。我们发现一个骗子，试图欺骗用户以为当前的Metamask版本有错误，用户应该升级到新版本。骗子在信息中宣称，新的升级版还没有出来，所以这次升级必须要手动完成。随后，给出一套指令，目的是欺骗用户提供他的metamask密码，从而将他的私钥暴露给骗子。
) e4 `% ^5 g3 H$ `; ?. `& z+ {2 n在这种情况下，用户应该始终等待Metamask的官方公告，并从官方渠道升级其Metamask版本。& u$ `& z2 w+ S. v
要升级扩展，只需前往chrome://extensions/，点击更新按钮。2 F' ~5 `3 B5 T4 ?
6 X" E% n" S+ K$ f
这将相应地更新你的所有扩展。
: s% D, v$ B9 E2 m' o4 v; W: L一个友好的提醒：0 D: ~# q! I/ b* `
正常的应用程序升级不会要求用户提供敏感信息，如登录凭证。
. G( W, y3 q+ m2、Ice-Phishing2 E0 [9 T& Q, [1 J1 N" w
这是一种策略，用户被欺骗签署一项交易，使攻击者控制用户的代币，而不泄露私钥。这是网络钓鱼技术的一个延伸。
' |+ ?9 W: ^/ C2 ^5 P- p4 r4 p! H对于某些背景，当用户使用DeFi应用程序（如PancakeSwap）并与主要的代币标准（如ERC-20，ERC-721和ERC-1155）交互时，批准方法会显示在他们的metamask窗口。这是一个要求用户将授权委托给第三方，代表该用户对这些代币进行处理。然后，用户可以执行其他操作，如执行交换。
+ R! M6 E8 Z. @# E- f攻击者会引导用户进入该网络钓鱼网站，并诱使他们签署一些他们没有要求的交易。例如，有交互作用的合约甚至可能不是合约，而是攻击者的地址。一旦批准交易完成，攻击者就有权从受害者的钱包中转移资金。: A' {) R" K3 W
通常，诈骗网站有一个算法来扫描受害者的钱包，以检测有价值的资产，如昂贵的BAYC NFT或WBTC和WETH等加密货币。通常情况下，该网站会不断显示metamask窗口，提示用户签署另一笔交易，尽管他们可能已经签署过一次。
3 f7 `5 S! J! l! `0 h) r7 U6 y0 e另一种防止成为Ice-Phishing的受害者的方法是避免签署eth_sign交易。它们通常看起来是这样的：
7 M( n8 J, w' j' V
5 Z( j8 a/ J3 P1 ^% ^eth_sign方法是一种开放式的签署方法，允许签署任意的哈希值，这意味着它可以用来签署不明确的交易，或任何其他数据，使其成为一种危险的网络钓鱼风险。% j' m7 }$ Y" M5 r
这里的任意哈希值意味着，通常怀疑批准或批准所有方法并不是唯一可能的方法，骗子可以让你签署像原生代币转移或合约调用这样的交易。从本质上讲，几乎完全控制了你的账户，甚至不需要持有你的私钥!7 w+ x. L0 U& W4 B% q% s. I; m
虽然MetaMask在签署eth_sign请求时，会显示风险警告，但与其他钓鱼技术相结合，没有安全经验的用户仍有可能落入这些陷阱。
" U0 c# N1 I. }) {, @3 i3、事件欺骗和NFT睡眠铸币术
# T( j6 v$ o  }9 d事件欺骗9 [) s1 D3 Y3 F, ?( \2 W
事件欺骗是一种策略，骗子将BEP20代币随机转移给用户，并提示用户与之交互。问题是，即使骗子是转移代币的人，但从BscScan这样的区块链管理器，会显示资金来源是来自一个独立的钱包，比如Binance热钱包。然后，他们将被引诱与这些新的“免费”代币互动，通过显示代币名称或代码本身的链接，将用户引向钓鱼网站。这是对钓鱼技术的一个延伸。! ?  r/ O3 ~' c& ?. ?
这种方法利用了区块链管理器显示事件的方式。
) v& p2 P) V( }例如，这张来自BscScan的屏幕截图显示，CHI被从Null Address发送到地址0x7aa3 ; Q4 y1 ^6 |) V3 s4 B+ O6 v

! B, s+ l  Z2 h9 c; P从代码的角度来看，这意味着在线发出转移(...)
2 p  C7 C5 e4 [3 s+ N4 Hmsg.sender -> Null address (_from)5 W8 Z# g- K& Y7 H) A  y6 f
_to -> 0x7aa3
2 a( P9 J# L' v0 `# d7 m9 y_value -> 294
7 g7 {6 p0 k: {" ^: t4 V8 V% ]
4 J4 ~& f" d, u1 K6 N" B2 |. I( W然而，区块链管理器会盲目地使用发出事件的参数。如果_from地址被改为另一个地址，例如0xhashdit，那么BscScan将显示CHI从0xhashdit被发送到接收地址。注意：这并不是区块链管理器的特别错误，而更多的是更改参数的灵活性，因为BscScan无法确定参数是否准确。因此，骗子可以利用这一点，欺骗资金的来源。
* Q6 m8 d3 u  b+ j. ~  e请看我们的twitter帖子，这样一个例子!
; b* @2 [, c/ @  {7 X5 phttps://twitter.com/HashDit/status/1557536292979855360, |: V+ G* H8 p& k/ J
NFT睡眠铸币$ q9 U0 v9 l7 @2 P- `
基于普通的BEP20事件欺骗，骗子可以创造性地执行他们的骗局。NFT睡眠铸币是指骗子直接铸造NFT到著名创作者的钱包。然而，NFT代码有一个后门方法，诈骗者可以把NFT收回来。这就造成了这样的假象：(1)著名创作者真正为自己铸造了一个NFT；然后(2)将该NFT发送给了骗子。基于“链上”的来源，骗子可以声称他们拥有一个由著名的创作者铸造的NFT，并以更高的价值出售，在这个过程中伪造价值。/ \3 s8 u2 I- @" f& e% o( z. l
睡眠铸币的欺骗性来自一个事实，即你可以在事件日志中发出任何数据。人们会认为，如果用户发送交易来转移NFT，那么你的地址应该在事件日志中作为 “来自”字段。然而，当诈骗者从一个著名的创造者那里收回睡眠铸币的NFT时，情况就不是这样了。骗子可以人为地将著名创作者的地址放在转移事件的 “来自”字段中，从而完成错觉。
4 T0 d9 V$ ^, B+ \& u例如，我们可以看一下Beeple的账户，发现有几个NFT是铸给他的，但不完全是他铸的
* y9 s8 L5 W% h7 i4 K4、庞氏骗局# ~: s+ l7 A1 i) I  d5 t
在这些骗局中，通常没有真正的策略来赚取奖励或利润。本质上，整个计划使用新投资者的钱来支付老投资者。一旦没有更多的新钱进来支持这个计划，整个系统就会失败。9 G3 r  E, e4 D4 h9 }# Z) d+ w
在加密货币庞氏骗局中，有几个明显的迹象：
$ {" h- E" P% N首先，项目方收取税费，这些费用使用户在生态系统中保持更长的时间。
, a: X! Z7 t0 i3 P+ {, Z由于每次质押/复利行动都会产生某种费用，这意味着用户必须复利更长的时间，才能达到收支平衡。这些费用也被用来偿还那些想要索赔的用户的红利。
$ H; \" _! S0 k# F# ^第二，没有办法提取用户的初始投资资金。- j& b1 a; e  d+ f( h' t
一旦一个用户存入他们的初始代币，他就没有办法取回他的初始投资资金。用户要取回任何资金的唯一途径是索回红利。
* K/ t" Q+ e% [, C* @: L( a' X第三种方式是使用推荐系统。
% }1 ?# K% `- H+ a# K该项目鼓励参与者通过推荐人的利益来积极推广和推荐他人。当下线执行某些行动时，上线就会获得额外的奖励。此外，为了让用户开始参与协议，他必须有一个上线地址才能启动。这就创建了一个系统，其中每个地址都链接到另一个地址，类似于一个传销计划。拥有超过5个下线地址的人也会有更多的奖金。2 m* k; z, m2 C9 ?5 u7 O! ~
人们会看到一个共同的主题，合约开始时锁定的资金急剧上升，通常是由团队通过营销或团队自己注入的资金产生的最初炒作所驱动。一旦合约的余额达到了一个拐点，这就意味着没有新的资金进入。这将慢慢导致该计划崩溃，新投资者恐慌，尽可能多地提取红利。% o+ h. B* t$ \* Q4 R+ R
9 w9 s1 @+ w3 q) o, G5 j+ `- A
最后，单纯赚取税费的项目方将成为此类庞氏骗局项目的最大受益者。$ r1 l/ O/ y: ]( A( D5 {1 {
5、CHI Gas代币的养殖
  [4 a8 ^0 K6 v4 Y. ^6 Q  y& jChi Gas代币是1inch项目的一项举措，其中Chi Gas代币是一种BEP20代币，是为了在1inch交易时使用，支付交易成本。Chi与该网络的GAS价格挂钩。当GAS价格低时，Chi价格也低，反之亦然。3 M( V* e0 H& r+ V% x
骗子如何利用这一点是非常有趣的。首先，他们会随机空投一堆BEP20代币。当用户批准PancakeSwap出售这些代币时，在这些代币的批准方法中，会硬编码消耗大量（如90%以上）用户的GAS限额来铸造Chi Gas代币，可以用来补贴GAS费用，这些铸造的Chi Gas代币就是骗子的利润。
. m: y6 X3 {1 L" M) i9 l7 M建议在一些空投代币中调用批准的功能前，注意审批交易中GAS费的消耗情况。# ^  V7 G) {- \" C9 P/ b
总的来说，不要随便碰空投给你的代币。
) J8 Q- u: N0 q( ?/ C6 }6、MEV诈骗/诈骗事件
) L! r& c/ D" t  t加密术语
" D0 F/ ?8 b. v2 P0 i; o骗子使用“MEV（最大可提取价值）”、“套利交易机器人”、“狙击手机器人”、“前端运行机器人”等加密术语，承诺每天获得几千美元的被动收入，吸引用户参与。这些产品通常在Twitter、Tiktok和区块链管理器等平台上进行推广。
, m& r$ u  c4 {+ ?" `$ Z通常，骗子会在帖子中附上一个视频链接，受害者被带到Youtube和Vimeo等视频托管平台。
. q" j9 B( a* h: U 例子：
4 @8 z+ H' w) q9 W% d5 ^9 A8 j0 b& J* `% N0 S" |$ `
从本质上讲，诈骗视频引导用户使用Remix IDE部署他们的恶意代码，通常是在视频描述中的粘贴bin网址。+ H9 v3 f4 M( ~+ F2 R- |

  {5 {( U8 j+ T5 M5 M: _9 P' |随着代码在链上的部署，用户将被告知接下来要准备一些本地资金，以执行“前期运行或套利”。诈骗视频将提示用户准备更多的本地资金，这样当你执行“前期运行或套利”操作时，你将能够获得更多的利润，以此欺骗用户。一旦用户将资金注入合约并“开始运行”，就不是像骗子声称的那样为他赚取利润，而是资金直接转给了骗子。8 v2 n) L1 F3 c: O6 [1 r) K5 ^
另一种相对较新的方式，是骗子提供一个CEX（中心化交易所）交易机器人的链接，如下截图：4 @. ]! }( [" Z3 b

4 Y2 {; q& A8 b) h* u系统将提示用户下载一个恶意文件，并按照相关说明进行操作。通常，想在Binance交易所自动交易的用户会有一个API密钥。这个骗局视频欺骗用户使用他们的交易机器人，并要求用户交出他们的API密钥和密码。一旦用户这样做，骗子就能够接收用户的凭证，并用用户的资金进行交易。
6 W$ E& U6 i2 G8 s; T加密事件
# c$ q, s9 u3 a4 ~" m" D在这种情况下，骗子还利用社交媒体散布加密货币交易所或项目等领域的知名人士正在进行赠送的虚假信息。
( n* t6 D% p6 T/ y" {! S; ~$ R( }* `3 u7 @3 z
用户会被提示输入此链接，并被指示先“验证”他们的地址。为此，他们必须发送一些BTC或BNB到指定的地址，作为回报，他们将得到10倍的金额。与此同时，该诈骗网站显示了赠品的交易历史记录，以欺骗用户认为赠品是真实有效的。然而，实际上，一旦用户发送了加密货币，这些资金将会被骗子骗走，最终也不会得到任何奖励。
9 D4 @! ~! ~( ~. f( i( n$ r) S很多时候，骗子可能会使用旧的视频，甚至不惜深度伪造一个受欢迎的人物，来欺骗用户，让他们以为这个人在代言和推广一个新的赠品。而实际上，这与事实相差甚远。
2 d6 {, p5 e2 ?( d/ R这些案例中一个共同的相似点，在视频的评论区会有虚假的参与。这是为了从心理上欺骗用户，让他们认为这个交易机器人真的很有效。
: o2 P1 E# o- k: a" s* q% o+ |; O
- q: u* ^6 e: J, w" K" }另外，如果描述中出现这种情况，就赶紧跑吧。这是一个巨大的危险信号。 : Z+ Q& z; [% i6 E

7 L8 S. O% \# ?5 l0 ^% ^结论
1 l9 H! G7 e( W  k4 L1 f在加密货币这样一个去中心化的环境中，诈骗将继续增长，所以我们每个人都要对自己的安全负责，这是至关重要的。为了加强BNB链中用户的安全保障，Hashdit一直在与PancakeSwap和AvengerDAO等生态系统的参与者合作，以尽快发现骗局。在未来，我们将努力为BNB链上的协议用户和智能合约开发者建立一个安全的生态系统。
6 R  ~& F  m) c( H6 |$ a, \如果你觉得这篇文章有用，请在Twitter上分享并标记我们 如果你希望我们也能报道任何骗局，请给我们留言!
# j5 L/ \4 V& N! l! _请记住黄金法则：如果它好得不像真的，它可能就是真的。在那之前，请注意安全。