de acordo com relatórios da cointelegraph, a fraude mais uma vez se tornou um grande impulsionador do crime de criptomoeda, causando perdas diretas de 4,6 bilhões de dólares no ano passado (2023).

De acordo com um relatório de dados da Certik, houve 223 incidentes significativos de segurança on-chain no setor de criptomoedas apenas no primeiro trimestre de 2024, resultando em perdas totais de 500 milhões de dólares. Além disso, um recente relatório da SlowMist destacou que houve mais de 31 incidentes de segurança notáveis ​​no mês passado (maio), causando perdas de 124 milhões de dólares devido a hacking, phishing, roubo de contas e rug pulls. Isso representa um aumento de cerca de 52,5% em comparação com abril.

Além disso, o incidente amplamente discutido envolvendo o roubo de grandes quantias de fundos dos usuários da OKX, segundo relatos, não apenas esgotou fundos substanciais de alguns usuários, mas também levou à retirada de 630 milhões de dólares dos fundos dos usuários da bolsa neste mês.

estes incidentes são apenas aqueles que conhecemos. Muitos golpes, como esquemas de 'açougue de porco' que visam novatos no campo, são difíceis de quantificar.

é por isso que sempre enfatizo dois princípios fundamentais para iniciantes nesta área: primeiro, proteger seu capital inicial e, segundo, evitar coisas que você não entende. Em outras palavras, sempre priorize a conscientização de segurança. Já resumimos alguns pontos sobre segurança em artigos anteriores. Hoje, continuaremos esta discussão destacando alguns problemas de segurança comuns:

1. vulnerabilidades do protocolo defi

As vulnerabilidades comuns no DeFi incluem ataques de empréstimos instantâneos e manipulação de oráculos, ambos os quais podem drenar os recursos de um protocolo DeFi.

Os empréstimos instantâneos são um produto DeFi inovador que permite aos usuários emprestar qualquer quantidade de ativos criptográficos de um pool de protocolo sem garantia, desde que o principal e os juros sejam reembolsados na mesma transação (um bloco). A vantagem dos empréstimos instantâneos é que eles permitem aos usuários explorar oportunidades de arbitragem de mercado, realizando operações de baixo custo e alto retorno. O risco é que se o usuário não puder reembolsar dentro do tempo especificado, a transação é cancelada, resultando em perda de taxas de transação e juros.

Os ataques de empréstimo instantâneo funcionam executando rapidamente várias operações de empréstimo e negociação na mesma rede de blockchain, causando erros em contratos inteligentes e permitindo que os atacantes obtenham benefícios indevidos. Por exemplo, em 14 de maio, o protocolo de empréstimo nativo do otimismo Sonne Finance, baseado no Compound, sofreu um ataque de empréstimo instantâneo, perdendo mais de 20 milhões de dólares.

Os oráculos são aplicações que obtêm, verificam e transmitem informações externas (dados off-chain) para contratos inteligentes na blockchain. Além de puxar dados off-chain e transmiti-los no Ethereum, os oráculos também podem enviar informações da blockchain para sistemas externos. Por exemplo, uma fechadura inteligente pode ser desbloqueada assim que um utilizador enviar uma taxa através de uma transação Ethereum. Sem oráculos, os contratos inteligentes estariam limitados a utilizar apenas dados on-chain.

A manipulação de oráculos pode resultar em oráculos a reportar dados incorretos sobre eventos externos ou condições do mundo real. Por exemplo, considere um ativo criptográfico negociado em cinco exchanges, onde 85% do volume de negociação ocorre em duas delas. Se o oráculo cobrir apenas as outras três exchanges com menor liquidez, a sua cobertura será insuficiente. Um atacante pode manipular os preços nessas três exchanges de baixa liquidez, fazendo com que o oráculo reporte preços que se desviam dos preços reais do mercado, criando assim um risco de manipulação.

por exemplo, em 10 de junho, a plataforma de empréstimo uwu lend foi atacada, resultando numa perda de aproximadamente 19,3 milhões de dólares. O cerne deste ataque envolveu o atacante a manipular o oráculo de preço fazendo grandes negociações na pool curvefinance, o que afetou o preço do token susde. O atacante depois explorou o preço manipulado para retirar outros ativos da pool.

Portanto, ao usar protocolos defi, é importante diversificar seus investimentos e evitar o uso de protocolos que não tenham sido auditados ou tenham pools de liquidez baixa.

2. vários sites de phishing

Muitos utilizadores provavelmente já se depararam com sites de phishing. Os vigaristas criam sites falsos oficiais que parecem legítimos e os espalham amplamente através das redes sociais, e-mails, grupos de discussão e outros canais. Se um utilizador visitar um site falso e, tentado por alguns benefícios, conectar a sua carteira e conceder autorização, os ativos na sua carteira podem ser automaticamente roubados.

para evitar isso, sempre verifique o domínio do dapp (url) ao visitar sites, especialmente aqueles que requerem autorização de carteira, como plataformas dex. é melhor marcar os sites oficiais que você usa com frequência em vez de procurá-los no twitter ou no google cada vez, já que os resultados da pesquisa às vezes podem ser enganosos. Além disso, evite clicar em anúncios de projetos em vários sites, já que os golpistas muitas vezes colocam anúncios falsos.

evite clicar em links enviados por estranhos. por exemplo, um golpe comum no Discord envolve golpistas enviando mensagens com links para páginas ou postagens falsas no Twitter (o link da postagem do Twitter pode estar correto, mas ele contém um link fraudulento).

se precisar de instalar plugins do navegador, apenas instale aqueles com os quais está familiarizado. Recentemente, a 3 de junho, um utilizador reportou ter perdido um milhão de dólares após instalar uma extensão maliciosa do Chrome chamada aggr.

portanto, ao lidar com plugins de navegador (usando o Chrome como exemplo), certifique-se de instalar apenas plugins conhecidos da Chrome Web Store para evitar extensões desconhecidas. Você também pode considerar o uso de plugins de verificação de segurança, como scamsniffer, para navegação mais segura.

Se estiver especialmente preocupado com a segurança, considere criar um perfil de usuário separado no Chrome especificamente para interações DApp que exijam acesso à carteira. Não instale nenhum plugin neste perfil e certifique-se de sair imediatamente após concluir suas transações.

3. verifique sua carteira regularmente

Além de verificar a segurança e confiabilidade dos protocolos ao autorizar vários dapps, é recomendável verificar regularmente o histórico de autorizações da sua carteira e revogar quaisquer autorizações que possam ser arriscadas ou não claras, mesmo que você já tenha desconectado sua carteira.

existem várias ferramentas disponíveis para verificar as autorizações da carteira, sendo o revokecash uma das mais comumente usadas, como ilustrado na imagem abaixo.

além disso, algumas carteiras oferecem recursos para gerenciar autorizações históricas. por exemplo, a carteira rabby, que é uma carteira de criptomoeda da debank, suporta essa funcionalidade, como mostrado na imagem abaixo.

Em relação ao uso da carteira, se você tiver uma quantia significativa de ativos, é aconselhável não manter todos os seus fundos em carteiras quentes como Metamask ou Phantom. Você pode manter uma parte dos seus fundos frequentemente usados em carteiras quentes (distribuídos em várias carteiras quentes), e outra parte em exchanges (distribuídos em diferentes exchanges, mas apenas use os principais). Os fundos restantes devem ser armazenados em carteiras frias.

Além disso, as cold wallets não precisam ser wallets de hardware como Ledger, Trezor ou Ellipal. Pessoalmente, uso dois iPhones separados offline como cold wallets. Para transações diárias, uso um iPhone separado como uma hot wallet (não recomendo usar telefones Android), que também é separado do meu telefone do dia a dia.

4. prevenir falsos airdrops

muitas pessoas, especialmente os recém-chegados, pensam nos airdrops como tokens gratuitos ou nfts que podem reivindicar. Os golpistas aproveitam isso usando airdrops falsos para enganar as pessoas a revelar suas chaves privadas da carteira ou levá-las a sites de phishing onde autorizam suas carteiras.

Por exemplo, pode receber inesperadamente um NFT (uma pequena imagem) na sua carteira com um URL, a convidá-lo a visitar o website. Se visitar o site e autorizar a sua carteira, os seus ativos podem ser drenados instantaneamente.

quando vir endereços de reivindicação de token gratuito ou links de airdrop para projetos populares nas redes sociais, sempre verifique a autenticidade deles através do site oficial do projeto. nunca partilhe a sua frase-semente ou chave privada para reivindicar qualquer airdrop. a sua frase-semente equivale a todos os seus ativos—nunca a divulgue a ninguém.

apenas listamos alguns problemas comuns de segurança e dicas de prevenção aqui. o espaço cripto está repleto de métodos de golpes em evolução. os golpistas continuam pensando em novas maneiras de enganar, enfatizando o ponto que mencionamos anteriormente: quando alguém se concentra em uma área específica e continua pesquisando, pode sair na frente. os golpistas estão sempre aperfeiçoando suas táticas, tornando cada vez mais difícil para a maioria das pessoas se proteger.

para encerrar, vamos dar uma olhada em algumas das últimas notícias quentes dos últimos dias:

• Em 17 de junho, a Binance listou a ZkSync (ZK) às 16:00, horário de Pequim, e abriu pares de negociação de spot relacionados.
• Em 17 de junho, o airdrop da zk nation ficou disponível às 15:00 no horário de Pequim.
• Em 16 de junho, dados da plataforma geniidata mostraram que o rune cook•the•mempool foi totalmente cunhado, com um total de 4.309.311 cunhagens, tornando-o atualmente o rune mais cunhado, com 28.435 endereços de detenção.
• em 15 de junho, a conta do twitter da layerzero foundation publicou uma mensagem com a imagem "06.20.2024". As pessoas especulam que a layerzero possa anunciar as informações sobre o airdrop de seu token no dia 20.
• em 15 de junho, o preço da ton atingiu um máximo histórico. Os projetos de jogos no ecossistema da ton, como pixelverse, momoai, hamster kombat e catizen, estão a ganhar mais atenção. Apesar da queda geral do mercado, a toncoin tornou-se recentemente um ponto brilhante raro no mercado.
• Em 14 de junho, ao (uma camada1 construída na plataforma de armazenamento de dados arweave) anunciou sua tokenomics, com 36% alocados para os titulares de ar e 64% para os usuários cross-chain.
• em 14 de junho, houve relatos de que um etf de eth poderia ser lançado em 2 de julho.
• Em 14 de junho, um artigo da revista Forbes afirmou que cz, atualmente preso nos EUA, é a 24ª pessoa mais rica do mundo, tornando-o a pessoa mais rica já encarcerada, com uma fortuna de 61 bilhões de dólares. A riqueza de cz vem principalmente de sua participação de 90% na binance e de sua posse de 94 milhões de bnb, o que representa 64% do fornecimento em circulação.

disclaimer：

1. este artigo é republicado a partir de [话李话外], todos os direitos autorais pertencem ao autor original [话李话外]. se houver objeções a esta reimpressão, entre em contato com o Gate aprenderequipe, e eles irão lidar com isso prontamente.
2. aviso de responsabilidade: as opiniões expressas neste artigo são exclusivamente as do autor e não constituem qualquer conselho de investimento.
3. as traduções do artigo para outros idiomas são feitas pela equipe de aprendizado da Gate.io. a menos que mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.