新手必備安全打銘文手冊

23-12-15 17:44

閱讀本文需 10 分鐘

AI 總結

看總結

原文標題：《小白必備安全打銘文手冊》

原文來源：GoPlus Security

隨著ORDI 價格突破歷史新高，市值超10 億美金，最高漲幅數萬倍，比特幣生態、BRC20 各式銘文進入狂熱牛市，用戶安全領跑者GoPlus 發現各類利用銘文的騙局開始百花齊放，特整理四種銘文典型攻擊案例（釣魚網站、真假銘文、Mint 資訊、危險Mint 資訊詐騙）與應對方案，請用戶交易時注意，避免財產損失。

第一種：釣魚網站

案例：詐騙集團創建了一個與官方Unisat錢包平台極為相似的網站（unisats.io），並透過購買Google 搜尋關鍵字，誘導用戶造訪。這導致許多用戶誤將資產轉移到釣魚網站，損失了以太幣和比特幣。

如何應對：

1.在造訪任何平台之前，請務必透過官方推特或社群頻道進行連結確認，避免造訪偽造網站

2.推薦使用一些安全性偵測的瀏覽器外掛程式如Scamsniffer來偵測網站安全性

第二種：真假銘文

< /p>

案例：在銘文交易平台上，使用者面臨辨別真假銘文的挑戰。這些平台常展示多個同名銘文，使用者難以區分它們的特定協議。詐騙者利用這一點，透過添加無效欄位來偽造銘文。在 NFT 市場也存在這類問題，騙子透過銘刻相同的圖片來創建偽造 NFT，真偽僅在序數上有差異。

舉例 https://evm.ink/tokens 上，DOGI 銘文看似完全相同，實際背後大不相同。

因為平台只抓去特定的欄位在前段展示，詐騙者可以利用以下手法，偽造銘文< /p>

NFT 銘文也存在相關的問題，在早期市場中，經常出現NFT 元屬性相同，但是序數不同的情況，以BTC 銘文NFT 舉例，一個Collection 系列只會包含特定序數的NFT，如果不在這個序數集合中，就不屬於該系列。因此騙子往往會偽造同一個系列的某個 NFT 來騙取交易，對於用戶來講，很難去分辨序數是否屬於該系列。

如何應對：

1.建議選擇一些成熟的交易平台進行銘文交易，它們在安全體驗上會做的更好，能夠在前端很好的區分真假銘文

2 .在進行交易之前，多次確認和比對，是否和想要交易的銘文格式以及協議相同（會在第四種銘文陷阱中，解釋如何從區塊鏈瀏覽器查看銘文數據，進行對比）< /p>

第三種：Mint 陷阱

案例：在一些公鏈上，詐騙團隊利用使用者對新銘文的FOMO 心理，構造欺詐性Mint 合約。這些合約誘導用戶進行交互，導致用戶誤以為自己獲得了銘文。然而，實際上用戶得到的是無價值的 NFT，並在互動過程中支付了高額的購買稅。在 Sui 鏈上的一個案例中，用戶在銘刻一個看似合法的銘文時實際上獲得了假 NFT，並支付了 SUI 代幣給詐騙者，短時間內詐騙者就收集了超過 5000 個 SUI。

如何應對：

1.在參與任何Mint 活動前，務必徹底研究和驗證合約的合法性。

2.參與未經驗證的 Mint 項目，特別注意合約中是否設定了不合理的費用結構。

3.在對應的區塊鏈瀏覽器中，仔細分析已經成交的交易訊息，看是否有潛在的安全陷阱

第四種：危險Mint 資訊詐騙

案例：GoPlus 觀察到，在使用者社群中流傳危險的Mint 資訊。這些資訊一旦發布，許多用戶會急於操作，使用銘文腳本工具將私鑰和交易資訊複製貼上，進行批量操作。這些操作可能導致資產被盜。詐騙集團透過建構特殊的 JSON 欄位並編碼為 hex，誘導使用者進行銘刻操作，結果使用者的資產可能被轉移。另外，他們可能會設定誘騙性的 Mint 合約，使用戶在高昂的 gas 費用之後得到無價值的假銘文代幣。

以此圖為例：一般代幣類銘文的Mint 都是以地址自轉，並且在Input data 中加入一串代幣協議的Json 內容，實現銘刻的過程。許多用戶在操作的時候，會使用錢包自帶的自訂 Hex 來將代幣協議的 Json 內容經過轉義後變成 16 進位輸入進去。對於使用者來講，一般會直接貼上訊息來源中的 16 進位字串，但該字串很可能是一串惡意字串，是由其他的 Json 格式轉義的。