揭祕2022年六大加密騙術

　　自去年起，加密詐騙案件就屢增不減。據 CNBC 報導， 2021 年，加密詐騙損失超過 10 億美元，其中最常見的類型包括虛假投資和殺豬盤。而到了 2022 年，加密詐騙的手法更加讓人眼花繚亂。

　　以下是 2022 年最常見的六種加密騙局。

1. 網路釣魚連結

　　網路釣魚是 Web2 中騙子常用的一種手法。騙子創建一個惡意網站，然後大量發送連結給他們的受害者。在這裡，我們將主要關注騙子竊取私密金鑰的方法。

　　在 Web3 中，騙子通常通過不同的媒介將他們的釣魚連結發送到 Web3 社區，如 Discord、Twitter、Telegram，甚至是鏈上。

　　釣魚網站通常與真正的網站非常相似，但使用不同的 URL 名稱。網站內容可能是新的 Giveaway 或 NFT 免費鑄造，騙子利用投資者的 FOMO 心理將用戶玩弄於股掌之中。

　　他們可以明目張膽地要求用戶提供他們的助記詞或私密金鑰。例如，在社交媒體上聯繫使用者，以錢包軟體支援服務的身份聯繫使用者，並以交易所支援的身份直接發送詐騙資訊，竊取使用者私密金鑰。

　　另一種方法是，騙子會開發類似於 Metamask 等合法外掛程式的 Chrome 擴展。通過類比真實的應用程式，讓使用者放鬆警惕，提供自己的私密金鑰來使用新應用程式。

　　騙子會試圖讓使用者認為現有的應用程式有一個新的漏洞，並且有新的軟體升級。如騙子試圖讓用戶以為當前的 Metamask 版本存在漏洞，用戶應該升級到新版本。然後在消息中宣稱新的升級還沒有完成，必須手動進行升級。隨後，騙子會給出一組指令，誘騙使用者提供 Metamask 密碼，從而將其私密金鑰暴露給騙子。

　　在這種情況下，使用者應該繼續等待 Metamask 的官方公告，並從官方來源升級他們的 Metamask 版本。

　　要升級擴展，只需轉到 chrome://extensions/，按一下更新按鈕，如下圖。

　　友情提醒：正常的應用程式升級不需要使用者提供登錄憑證等敏感資訊。

2. Ice-Phishing （空手套白狼）騙局

　　Ice Phishing 是一種欺騙使用者簽署交易的策略，攻擊者可以控制用戶的代幣，但又不獲取用戶的私密金鑰。這是網路釣魚技術的新手段。

　　在某些背景下，當使用者使用 DeFi 應用程式（例如 PancakeSwap）並與主代幣標準（例如 ERC-20、ERC-721 和 ERC-1155 ）交互時，批准方法會顯示在他們的 Metamask 視窗中。這是用戶向協力廠商授權以代表該用戶對這些代幣進行操作的請求。之後，使用者可以執行其他操作，如執行交易。

　　攻擊者會將用戶引導到釣魚網站，誘使他們簽署一些他們沒有申請的交易。例如，交互的合約可能是攻擊者的位址。一旦批准交易完成，攻擊者就有權將代幣從受害者的錢包中轉出。

　　通常，詐騙網站有一種演算法來掃描受害者的錢包，目的是檢測有價值的資產，如昂貴的 BAYC NFT 或 wBTC/wETH 等加密貨幣。通常，網站會不斷顯示 Metamask 視窗，提示使用者簽署另一筆交易，即使他們可能已經簽署了一次。

　　防止成為 Ice Phishing 受害者的另一種方法是遠離簽署 eth_sign（空白支票）交易。通常如圖所示：

　　eth_sign 是一種開放式簽名方法，允許對任意雜湊進行簽名，它可以用於對不明確的交易或任何其他資料進行簽名，這是一種危險的網路釣魚類型。

　　這裡的任意雜湊意味著對“批准”（approve）或“批准一切”（approve for all）等操作保持警惕還不夠，騙子可以讓你簽署原生代幣轉移或合約調用等交易。騙子幾乎可以完全控制你的帳戶，而不用持有你的私密金鑰。

　　儘管 MetaMask 在簽署 eth_sign 請求時會顯示風險警告，但當與其他網路釣魚技術結合時，沒有安全經驗的用戶仍有可能落入這些陷阱。

3. Event 詐騙手法 & NFT Sleep Minting

Event 詐騙手法

　　Event 詐騙是騙子將隨機的 BEP 20 代幣轉移給用戶的策略，並提示用戶與之交互。即使騙子是從 BscScan 等區塊鏈流覽器轉移代幣，它也會顯示資金來源來自一個單獨的錢包，例如幣安熱錢包。然後，用戶將被誘騙與這些新的“免費”代幣進行交互，通過在代幣名稱或代碼本身中顯示連結，可以將使用者引導到釣魚網站。這是網路釣魚技術的新手段。

　　這種方法利用了區塊鏈流覽器顯示 Event 的方式。

　　例如，這張來自 BscScan 的截圖顯示 CHI 從 Null Address 發送到地址 0x7aa3……

　　區塊鏈流覽器將盲目地使用 emit event（發送事件）的參數。如果_from 位址被更改為另一個位址，例如 0xhashdit，那麼 BscScan 將顯示從 0xhashdit發送到接收位址的 CHI。

　　注意：這並不是區塊鏈流覽器特有的 bug，而是更改參數的靈活性，因為 BscScan 不能確定參數是否準確。因此，騙子可以利用這一點來欺騙代幣的來源。

NFT Sleep Minting

　　NFT Sleep Minting 是指騙子直接在著名創作者的錢包裡鑄造 NFT，並從創作者的錢包中回收 NFT。

　　NFT Sleep Minting 創造了一種假像：

　　著名的創作者為自己鑄造了一個 NFT；

　　將 NFT 發送給騙子。

　　根據“鏈上”的來源，騙子可以聲稱自己擁有由著名創作者鑄造的 NFT，並以更高的價格出售，在這個過程中偽造價值。

　　例如，從 Beeple 的帳戶中可觀察到他的幾個 NFT 不是由他鑄造的。

4. 加密龐氏騙局

　　龐氏騙局使用新投資者的錢支付給老投資者。一旦沒有更多的新資金來支援這個計畫，整個系統就會崩潰。

　　加密龐氏騙局有幾個標誌：

　　首先，項目方收取稅費，這些稅費可以讓使用者在生態系統中停留更長時間。

　　由於每次存款/複利操作都會產生某種費用，這意味著用戶必須複利較長一段時間才能收支平衡。這些費用還用於償還希望索賠的用戶的紅利。

　　第二，無法提取用戶的初始投資資金。

　　一旦用戶存入了他們的初始代幣，他就沒有辦法提取他的初始投資資金。用戶要拿回任何資金的唯一方法是收回股息。

　　第三，使用介紹人機制。

　　該專案鼓勵參與者通過推薦人福利積極推廣和推薦他人。每當下線執行特定的操作時，上線將獲得額外的獎勵。此外，為了讓使用者開始參與協議，他必須有一個上行位址才能開始。這創建了一個系統，每個位址都連接到另一個位址，類似於金字塔獎勵方案（傳銷）。擁有 5 個以上的下線地址也會增加獎金。

　　常見的方式是一開始就鎖定在合約中的資金急劇增加，通常是由團隊通過行銷進行的初始炒作或團隊自己為創造活動而注入的資金推動的。一旦合約餘額達到拐點，這意味著沒有新的資金流入。這將慢慢導致該計畫分崩離析，新投資者恐慌地盡可能多地收回股息。

　　最終，僅賺取稅費的項目方將是此類龐氏騙局項目的最大受益者。

5. CHI Gas Token farming

　　CHI Gas Token 是 1inch專案的一個方案，其中 CHI Gas Token 是一個 BEP20 代幣，用於 1inch 交易所支付交易成本。CHI 與該網路的 gas 價格掛鉤。當 gas 價格低時，CHI 價格也低，反之亦然。

　　騙子首先會空投一堆隨機的 BEP20 代幣。當用戶批准 PancakeSwap 出售這些代幣時，在這些代幣的批准（approve）方法中，它將代碼寫死（hard coded：把資料直接寫在代碼裡，不會根據輸入而改），從而消耗大量（例如超過 90% ）用戶的 gas 限制來鑄造 CHI Gas Token，可以用來補貼 gas 費，鑄造的 CHI Gas Token 則是騙子的利潤。

　　建議在某些空投代幣中調用 approve 函數之前，注意審批交易中的 gas 費消耗情況。一般來說，不要碰空投給你的隨機代幣。

6. MEV 騙局 & 虛假名人騙局

MEV 騙局

　　騙子會利用 MEV（最大可提取價值）、套利交易機器人、狙擊機器人、搶跑機器人等加密工具，承諾每天能獲得幾千美元的被動收入，吸引用戶參與。這些通常在推特、TikTok 和區塊鏈流覽器等平台上推廣。

　　通常，騙子會在帖子上附加一個視頻連結，將上當的使用者引流到 Youtube 和 Vimeo 等視頻託管平台。

　　詐騙視頻將引導使用者使用 Remix IDE 部署他們的惡意程式碼，騙子將在視頻描述中的 pastebin URL 中提供惡意程式碼。

　　當惡意程式碼部署在鏈上後，用戶將被指示下一步準備一些本地資金來執行“搶跑或套利交易”。詐騙視頻會提示使用者準備更多的原生資金，這樣當你執行“搶跑或套利交易”操作時，你就能獲得更多的利潤，從而欺騙用戶。一旦用戶將資金注入到合約中並“開始搶跑交易”，資金將直接轉移到騙子手中，而不是像騙子聲稱的那樣賺取利潤，

　　另一種相對較新的方式是騙子提供 CEX 交易機器人的連結，如下圖。

　　系統會提示使用者下載惡意檔並按照提示操作。通常，想要在幣安交易所自動交易的使用者會有一個 API 私密金鑰。這個詐騙視頻誘騙使用者使用他們的交易機器人，並要求使用者放棄他們的 API 私密金鑰和密碼。一旦用戶從而入套，騙子將能夠在他們的終端接收使用者的憑證，並使用使用者的資金進行交易。

虛假名人騙局

　　騙子還利用社交媒體，傳播加密交易所或項目等領域知名玩家正在進行 Giveaway 的虛假資訊。

　　使用者將被提示進入這個連結，並被指示先“驗證”他們的地址。為此，他們必須向指定地址發送一些比特幣或 BNB，並將得到 10 倍回報。與此同時，該騙局網站顯示了 Giveaway 記錄的交易歷史，讓使用者相信 Giveaway 是真實且有效。然而在現實中，一旦用戶發送加密貨幣，代幣就進入騙子口袋，最終也不會收到任何獎勵。

　　通常情況下，騙子可能會利用舊視頻，甚至採取偽造知名人物的手段，讓用戶認為這個人是在支持和推廣一個新的 Giveaway，但實際上並不存在。

　　這些案例的一個共同點是，視頻的評論區會出現虛假的評論。這是在心理上欺騙用戶，讓他們相信這個交易機器人真的很好用。

　　如果下圖出現在描述中，請打起十二分警惕。

總結

　　在 Crypto 這樣的去中心化環境中，騙局只會只增不減。因此，對我們每個人來說，對自己的資產安全負責至關重要。

　　記住黃金法則：如果一件事太完美，那它很可能就有問題（too good to be true）。