Web3安全入门避坑指南:假矿池骗局
原文作者:慢雾安全团队
背景
在上一期 Web3 安全入门避坑指南中,我们通过分析一些典型的空投骗局,讲解了用户在领取空投时可能面临的各种风险。近期,慢雾 AML 团队在分析受害者提交的 MistTrack 被盗表单时注意到,因假矿池骗局而受损的用户数量显著增加。因此,本期我们将深入解析几类常见的假矿池骗局,并提出相应的安全建议,帮助用户避坑。
你图他息,他图你本
假矿池骗局主要针对 Web3 新用户,骗子利用新用户对加密货币市场的了解不足和对高收益的渴望,通过一系列精心设计的步骤诱骗他们投入资金。这些骗局通常依赖于「资金需要在池子里存放一段时间才能产生收益」的机制,使得用户在短时间内难以察觉自己受骗了。在骗子的引导下,用户为了追求更高的利息,往往还会持续投入更多资金。当用户无法继续提供资金时,骗子便会威胁说这样会导致无法赎回本金,最终用户在重重压力下不断受损。
根据多位受害者的描述,骗子在 Telegram 上冒充知名交易所建立诈骗群组,这种诈骗群的组员动辄几千上万人,很容易让人放松警惕。不少用户在 Telegram 上搜索官方账号时会把群人数当作辨别账号真伪的因素之一。官方群的人数会比较多是没错,但是这个逻辑倒推回来就不一定对了。难以想象,骗子建立一个有上万人的群竟是为了骗几只「羊」,甚至里面的「闲聊」都是诱饵。值得注意的是,一个有五万多人的群,在线人数却不足一百人,参考其他万人群的在线人数情况,用户们或许能意识到有些不对劲了。
对于新手用户,骗子还贴心配备了详细的操作教程,教用户如何查看矿池质押情况、如何下载钱包以及如何把资金转入骗子的合约地址。利用流动性挖矿经济激励机制的假象,骗子成功吸引到用户投入资金。用户往合约地址打款后,收到了返利,便想投入更多的资金以获得更多的收益,此举正中骗子的圈套,最后用户投入的资金都被骗子卷走。
更可恶的是,还有些骗子在给用户返利时,返回的甚至是假币,不明所以的新用户以为真的收到了返利,直到尝试交易返利的币时才发现这是假币,毫无价值。
下图中的骗局则是通过诱导用户进行恶意授权,从而盗取用户资金。骗子冒充官方声称有「超级节点挖矿活动」,邀请用户参与挖矿。用户按照操作指南点击钓鱼链接后,被诱导进行恶意授权,最终导致资金被盗。
还有一种骗局是骗子先将用户引导至诈骗平台,并通过操控平台数据制造出用户「盈利」的假象。然而,这些盈利只存在于平台的显示上,并不代表实际的资产增加。在这一阶段,用户已经被骗子「高超」的投资能力所迷惑。接下来,骗子进一步邀请用户参与矿池活动,并规定用户每天需要向充币账户充值总资产的 5% 或 8% 的 USDT 以激活矿池。为了获得分红,并在「如果不继续充值就无法赎回本金」的压力下,用户不断向骗子提供的账户充值。看到这里大家也明白了,这个玩法意味着用户每一天都要比前一天充更多的 USDT。
综合看上面几种假矿池骗局,相信读者们应该注意到,这类骗局实际上并没有使用多高超的技术,但这些新奇的玩法和看似正规的操作流程对于 Web3 新用户来说极具迷惑性,缺乏经验的新用户很容易掉入陷阱。
总结
本期我们通过分析几类常见的假矿池骗局,希望能够帮助用户在碰到类似情况时提高警惕,避免中招。我们也提供一些安全建议来帮助用户增强防范能力:
警惕不现实的收益承诺:如果一个投资机会承诺的收益过于诱人,那么往往是骗局。
不要随意授权:避免点击未知链接并进行授权操作。
保持怀疑态度:仔细核实群组的真实性,不要仅凭群人数多寡来判断其可信度。对涉及资金转移的操作也应保持怀疑态度,多方确认活动的真实性。
比特币行情
——
一、只有尾部的链和应用才需要链抽象,头部不需要
我们从两个角度论证这种观念的错误之处:
现状并非 「只有头部链和应用有流量」。
未来不可能建立在单链之上,也不会 「只有头部链和应用有流量」。
目前的多链生态并非 「只有头部链和应用有流量,所以不需要链抽象」。
需要明确的一点是,C 端用户的社交媒体流量感知与链的实际运营状况之间并不对等。
1)风头正盛的 Base 链的真正起量始于 3 月,距今也只有 8 个月的历史。从向以太坊提交的 blob 数量看,Base 的优势并非碾压性的。
2)从 TVL 角度,一些 C 端用户当下感知不明显的 L2,比如 Arbitrum, Mantle 等沉淀了大量的 TVL,而链抽象可以将这部分沉淀的流动性真正利用起来。
3)从月活角度,Solana 遥遥领先,500 万月活以上的公链共有 9 个, TON 和 Aptos 都超过了 Ethereum。
4)从费用角度,排名前 5 位的是 Ethereum, Tron, Bitcoin, Solana 和 BNB,就连 10 名开外的 Polygon, Blast, TON, Starknet 一年也可以产生 2000-3000 万美元的费用收入,认为这些链「没有流量」是不合理的。
面对破碎的多链现状,有两种「去碎片化」思路:
一种认为多链是未来,链抽象帮助解决碎片化问题,让用户在多链之间畅通无阻。
一种认为单链是未来,目前的小碎片之后都会灭亡,应该集中资源发展强势 L1。
单链未来显然是站不住脚的。
1)任何单体链的扩容都不可能是无限的。如果你对 Web3 的未来有信心,就不会天真地认为能将整个 Web3 建立在一个状态机上。
2)不存在完美的链,区块链不可能三角之间总要做权衡,不同链的优势是相对场景而言的。
3)依赖单一链=集中风险,如果出问题,整个生态系统可能受到严重影响。
4)单一、集中的生态系统是对创新性的扼杀和去中心化精神的背离。
未来也不可能「只有头部链和应用有流量,所以不需要链抽象」。
1)愈发多元的 L2 生态:目前 L2 Beat 收录的 L2 超过了 100 条,待上线的超过 80 条。Unichain, Movement 等也将登场,我们无法预测一年后前三大 L2 的位置是否还和今日一致。
2)新 EVM L1 的崛起:新兴的并行 EVM L1,如 Monad, Sei 等因可扩展性优势受到了广泛关注和资本青睐。Berachain 也吸引了大量社区成员。
3)非 EVM 生态的活跃:Solana 上出现了 Sonic 这样 EVM 兼容的 L2 项目。Move 语言的 Sui, Aptos 因技术创新备受青睐,生态也初具规模。
4)Appchain 部署门槛持续降低:@AndreCronjeTech 曾发文表示 L2/Appchain 的建造复杂性被低估了,而评论区的 @ItsAlwaysZonny 和 @0xkatz 在十几分钟内就部署好了一条 andrechain,并且表示每个月的运营成本只需要一千美元。
总结来说,我们面临的是一个不可逆转的多链未来,链抽象的到来不以任何个人意志为转移。
二、链抽象把风险也抽象了,会带来安全问题
对这个问题的回答包括三个要点:
在链抽象的交易逻辑下,用户对每笔交易的底层交互逻辑保有知情权。
链抽象的出发点并非去干涉用户与什么 dApp 交互的决策,而是使用户做好的决策更无感、更高效地得到执行。
有很多种方案可以帮助用户判断要不要信任 dApp。
首先,链抽象并没有剥夺用户知情权,或者掩盖底层交互。用户随时可以检查每一笔交易的详情。
其次,链抽象也不会平白无故提高用户和所谓不安全 dApp 的交互意愿和频率。
一个事实是:当用户计划使用一款 dApp 的时候,已经默认「该 dApp 会选择一个值得信任的链,并且产生值得信任的交互」。
是用户的信任驱使其做出与 dApp 交互的决策,链抽象并非干涉用户决策,只是在用户决策之后提高了交互效率。
所以交互安全问题的核心还是用户如何决策,而不在于决策后如何执行。目前已经有很多方案去帮助用户思考和决策要不要信任某个 dApp,链抽象方案的风控层是其中之一。
三、链抽象并没有根本上解决碎片化问题
这个问题的提出和大单体链沙文主义有异曲同工之处,说白了这不是链抽象的问题,而是提问者的幻想。
我们从两个受众群体出发去定义碎片化问题的解决。
对于用户来说,碎片化带来的最直接的问题就是:需要在多链之间手动桥接,需要准备不同的 gas 代币,需要频繁在多链之间管理余额。
而链抽象已经解决了这个问题,允许用户使用任意链的任意代币余额和任意 dApp 交互,任意链上的流动性在购买力上都是等效的。
对于开发者来说,碎片化问题的解决有两种思路:
1)全链部署智能合约,但用户侧体验的割裂依然存在。
2)只在一条链上部署,但可以被任意链的用户访问,可以无缝引入其余链的流动性,这就是链抽象的解决方案。
所以链抽象已经可以从用户侧和开发者侧都解决碎片化问题。
至于所谓的完全统一底层区块链流动性,这是不可行的。不同区块链之间存在共识机制、数据结构和经济模型等的根本差异,不可能做到原子化的等效,否则就还是回到了要在单一链上建立整个 Web3 的问题。
关于「链抽象」的常见误解
关于「链抽象」的常见误解 作者:HelloLydia¹³ 来...
