转发原文标题:《揭露蜜罐诈骗》
深入研究代币代码并保护 Web3 安全
前言如果您是去中心化平台的用户,那么“蜜罐骗局(Honeypot Scam)”的概念对您来说并不陌生。即使您以前没有听说过这个术语,但您也可能遇到过这类的欺诈活动。
“蜜罐”其实是一个比喻,本质上是指故意引诱他人落入陷阱。就蜜罐代币而言,会制造各种假象(例如极高的流动性和价格上涨)来吸引投资者购买代币。然而,在他们购买后,他们意识到由于合约中部署了恶意代码,他们根本无法出售这些代币。这就是蜜罐骗局。
为了利用用户,蜜罐方案经常不断更新和迭代合约代码。他们采用日益复杂的实现逻辑来掩盖自己的真实动机,旨在逃避安全机制的警惕或提高安全专家的分析难度。
蜜罐诈骗攻击的特征GoPlus 数据显示,2022 年加密市场蜜罐代币总数大幅增加,新增的蜜罐代币有 64,661 个。与 2021 年同期相比,这一数字增长了83.39% ,令人印象深刻。其中,92.8% 的蜜罐代币源自 BNB 链,6.6% 来自以太坊。这两个区块链在代币方面也脱颖而出,成为最活跃和最流行的网络之一。
蜜罐代币急剧上涨的促成因素之一可归因于以下因素的影响: 2022年底FTX事件。大量用户将数字资产从中心化交易所转移到去中心化钱包,导致链上活跃用户激增。因此,攻击者也变得更加活跃。 数据显示,FTX事件发生后短短一周内,就出现了超过120种新的蜜罐攻击方式,攻击频率增加了6倍。
除了绝对数量的增加,蜜罐令牌的特征也变得更加多样化和复杂。通过分析过去一年的安全数据,GoPlus 发现蜜罐令牌攻击已经变得越来越难以检测,也更加隐蔽。总的来说,它们表现出以下关键特征:
代码混淆: 攻击者通过降低代码可读性、引入无关逻辑或混淆调用关系等方式,创建复杂的实现逻辑,增加安全引擎的分析难度。伪造众所周知的合同: 此类攻击合约通过使用虚假合约名称和实施流程来冒充信誉良好的项目合约,误导引擎,从而增加误判风险的可能性。采用隐蔽的触发机制: 这些攻击合约将触发条件深埋在内部,通常将其隐藏在用户交易行为中。他们还可能利用对交易行为的复杂操作,例如在调用停止交易、增加供应或转移资产等操作之前嵌套多层条件检查。这使得合约状态可以实时修改,并有利于用户资产被盗。伪造交易数据: 为了使交易显得更加真实,攻击者可能会随机触发空投或清洗交易等操作。这有双重目的:吸引更多用户并使交易行为看起来更自然。
案例分析该代币在 ETH 主网上发行,合约地址: 0x43571a39f5f7799607075883d9ccD10427AF69Be。
分析合约代码后可以发现,该合约试图对持有者账户地址实现“转账黑名单机制”,如果转账地址在黑名单中,则转账交易会失败,这是典型的蜜罐代币机制,最终目的是防止持有者出售资产。
然而,对于大多数用户来说,他们可能没有阅读和分析代码的能力,这使得通过代码审计来识别这些安全风险具有挑战性。 本文列出了市场上可用于分析 EVM 智能合约欺诈风险的主流工具。 如果您希望评估已部署的智能合约的欺诈风险,可以使用以下工具,以上述合约地址为例:
GoPlus 安全
打开 GoPlus 网站并选择区块链网络,例如以太坊主网或其他 Layer2 网络。
输入您要查询的合约地址,点击“查询(check)” 按钮即可获取合约风险信息。查询结果显示有“蜜罐风险”的风险提示,表示该合约存在转账黑名单。
Token Sniffer
打开Token Sniffer,输入要查询的合约地址,在搜索结果中选择对应的合约。
随后显示风险查询结果。我们可以看到,在“互换分析(Swap Analysis)”部分,该合约没有通过本次测试,说明该合约本身存在蜜罐风险。
利用上述分析工具,用户可以快速识别智能合约中的欺诈风险并分析其危害。一旦检测到蜜罐风险,强烈建议不要参与,以免成为此类合约的牺牲品。
结论随着黑客攻击策略的不断演变,安全防御变得越来越具有挑战性。作为区块链用户,面对蜜罐诈骗时,我们需要注意以下几点:
在购买代币之前,彻底了解代币的真实性质(包括其流动性、价格趋势等)至关重要。仔细检查代币合约代码以检查是否存在恶意代码或任何异常情况。如果您没有编码技能,您可以使用工具或访问信誉良好的市场网站来评估与代币合约相关的风险。不要轻易相信所谓的空投或“哄抬股价后抛售”计划,因为这些通常是骗局的一部分。避免在未知的交易所或钱包上购买代币;选择信誉良好的交易所或钱包。
了解加密货币安全性应该是一个持续的过程。只有这样,才能有效应对新兴和不断发展的安全风险所带来的挑战。
免责声明:
本文转载自【Medium】。转发原文标题:《揭露蜜罐诈骗》,所有版权均属于原作者【GoPlus Security】所有。若对本次转载有异议,请联系 Gate Learn 团队,他们会及时处理。免责声明:本文表达的观点和意见仅代表作者个人观点,不构成投资建议。Gate Learn 团队将该文章翻译成其他语言。除非另有说明,否则禁止复制、分发或抄袭翻译文章。