freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Web3 安全入门避坑指南|貔貅盘骗局
2024-09-10 15:25:58

背景

在上一期Web3 安全入门避坑指南中,我们分析了常见的假矿池骗局,本期我们将聚焦于貔貅盘骗局。传说中,貔貅是一种神奇的生物,据说吞入的财宝无法再从其体内取出。这一形象恰如其分地描述了貔貅盘骗局:用户投入资金后,价格迅速上涨,引发跟风购买,但最终发现自己无法卖出,资金被套牢。

本期内容包括用户陷入貔貅盘的原因,貔貅盘骗局的典型套路,以及相应的安全建议,希望可以帮助大家提高警惕,避免踩坑。

陷入貔貅盘的原因

我们先来看看用户陷入貔貅盘的几个常见原因:

仿盘

不单现实世界里有假币,虚拟货币也有假币。一些仿盘项目会复制知名项目的名称和标识,创建相同名称的代币合约。用户可能因为没有仔细检查代币的合约地址而误入貔貅盘,结果陷入无法卖出的困境。

1725952717657219.jpg

“赛跑”心态

有些用户明知项目不可靠,甚至已经察觉其中的可疑之处(蜡烛图的柱体是接连的绿色),但抱有“跑得快就没事”的侥幸心理,实际上进去就基本出不来了。用户原本以为可以在上涨趋势中迅速买入,再择机卖出,那不是稳赚不赔的吗?但当他们试图卖出时,要么完全无法操作,要么只能卖出极少量的代币。

1725952745615651.jpg

受骗子诱导投资

还有一种常见的情况是用户被骗子的花言巧语所诱惑,继而投资了貔貅盘。某位貔貅盘骗局的受害者描述了自己的经历:“我当时在 Telegram 群组提了一个问题,有个人热心回答了我很多问题,也教了我很多东西,在我们私聊了两天之后,我觉得他人挺不错的。于是他提议带我去一级市场购买新代币,并在 PancakeSwap 上给我提供了一个币种的合约地址。我购买之后,这个币一直在猛涨,他告诉我这是半年一遇的黄金机会,建议我立即加大投资。我感觉事情没这么简单就没采纳他的建议,他就一直催我,一催我意识到可能被欺骗了,我便请群里的其他人帮忙查询,结果发现这确实是貔貅币,我也试过了只能买不能卖。当骗子发现我不再加仓时,他也将我拉黑。”

貔貅盘典型套路

1725952773402107.jpg

了解了用户常见的踩坑原因后,我们再看看貔貅盘骗子是怎么操纵骗局的。骗子首先部署一个带有陷阱的智能合约,然后通过社群营销、拉盘等操作抛出高利润的诱饵,吸引用户购入。有的骗子还把持有的代币发送给钱包和交易所,造成有很多人参与的假象,或是故意往加密 KOL 的地址转币,伪造名人买入的假象。

1725952791345989.jpg

用户购买貔貅币后,通常会看到代币快速升值,于是想等到代币的涨幅足够大了再尝试兑换,然而合约本身却用多种方式限制用户卖出:

将买家地址加入黑名单

一旦受害者购买了貔貅币,骗子就会把用户的地址拉入黑名单,限制卖出操作。我们以貔貅币 GROKAI 为例,看看骗子是如何把用户加入黑名单使得用户无法卖出代币的。

1725952815766524.jpg

GROKAI 部署者的地址是 0x2052C307a5e6d50F6a908a91fF7e605Eb0e0a2EC,骗子创建貔貅币 GROKAI 后,将 GROKAI 代币的 Router 更改为 Aontroller 合约地址 0x7a85810414C3311A45486b03ceCCD3a32590E61E,骗子为什么要这样做呢?

1725952832445986.jpg

我们查看 Aontroller 合约代码,结果发现合约所有者可以通过调用函数将地址列入黑名单,导致用户无法出售 GROKAI 代币。

1725952855215871.jpg

1725952874691870.jpg

更改地址内的代币数量

骗子还可以通过智能合约操控用户的代币余额,将用户的代币余额改为极低的数值,并仅记录在合约内部。这种操作不会在区块链浏览器上更新余额,意味着用户在区块链浏览器上仍能看到自己持有的代币,但是实际上无法出售超过合约记录数量的代币。

设置卖出门槛

部分貔貅盘允许用户出售代币,但设有卖出门槛,要求用户必须超过设定的代币数量才能交易。有时这个门槛设定得非常高,超出用户实际持有量,或附加高额的交易税。更狡猾的方式是动态调整门槛,例如,用户有 1000 枚代币,当用户尝试卖出时,最低门槛可能被设为 1200 枚。用户为了达到卖出条件会进一步买入貔貅币,但当用户的持有量达到 1200 枚时,门槛又提高到 1400 枚,如此循环,用户永远无法满足卖出条件。

1725952910162118.jpg

总结

本期我们分析了用户陷入貔貅盘的原因及貔貅盘的典型套路,希望帮助大家了解并识别此类骗局。为避免误入貔貅盘,用户可以采取以下措施:

  • 了解相关的虚拟货币信息并评估项目方背景,提高自我防范意识。警惕提供高回报的虚拟货币,超高的回报通常意味着更大的风险。

  • 使用 MistTrack 查看相关地址的风险情况,或通过 GoPlus 的 Token 安全检测工具识别貔貅币并进行交易决策。

  • 搜索代币时应搜索合约地址而非代币名称,避免落入仿盘陷阱。

  • 在 Etherscan、BscScan 等区块浏览器上检查代码是否经过了审计和验证,并参考社区评论。

# 安全科普
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者