Согласно отчетам от Cointelegraph, мошенничество снова стало основной причиной криптовалютных преступлений, приведя к прямым убыткам в размере 4,6 миллиарда долларов в прошлом году (2023 год).

Согласно отчету данных Certik, только в первом квартале 2024 года в секторе криптовалют произошло 223 значительных инцидента безопасности on-chain, приведших к общим потерям в размере 500 миллионов долларов. Кроме того, недавний отчет slowmist подчеркнул, что только в прошлом месяце (май) произошло более 31 заметный инцидент безопасности, приведших к потерям в размере 124 миллиона долларов из-за взломов, рыбных атак, кражи аккаунтов и rug pulls. Это представляет собой увеличение примерно на 52,5% по сравнению с апрелем.

Кроме того, широко обсуждаемый инцидент, связанный с кражей больших сумм средств у пользователей OKX, якобы не только высушил значительные средства у некоторых пользователей, но и привел к выводу 630 миллионов долларов пользовательских средств из биржи в этом месяце.

эти инциденты - только те, о которых мы знаем. многие мошенничества, такие как схемы «убоя свиней», нацелены на новичков в этой области и сложно оценить их масштаб.

поэтому я всегда подчеркиваю два фундаментальных принципа для новичков в этой области: во-первых, защитите свой первоначальный капитал, а во-вторых, избегайте вещей, которые вы не понимаете. Просто говоря, всегда отдавайте приоритет осознанию безопасности. Ранее мы уже подводили некоторые моменты по безопасности в предыдущих статьях. Сегодня мы продолжим это обсуждение, выделив некоторые распространенные проблемы безопасности:

1. уязвимости протокола децентрализованных финансов

Общие уязвимости в DeFi включают атаки с использованием флэш-кредитов и манипуляцию оракулами, которые могут истощить ресурсы протокола DeFi.

Flash-кредиты - это инновационный продукт DeFi, позволяющий пользователям занимать любое количество криптовалютных активов из пула протокола без залога, при условии, что основная сумма и проценты будут возвращены в той же транзакции (в одном блоке). Преимущество flash-кредитов заключается в том, что они позволяют пользователям эксплуатировать арбитражные возможности на рынке, осуществляя операции с низкими затратами и высокой прибылью. Риск заключается в том, что если пользователь не вернет сумму в указанный срок, транзакция будет отменена, что приведет к потере комиссий за транзакцию и процентов.

Атаки на флэш-кредиты работают, быстро выполняя несколько операций по заимствованию и торговле в одной и той же сети блокчейна, вызывая ошибки в смарт-контрактах и позволяя злоумышленникам получать неправомерные преимущества. Например, 14 мая протокол кредитования Sonne Finance, основанный на Compound, подвергся атаке на флэш-кредиты, потеряв более 20 миллионов долларов.

оракулы - это приложения, которые получают, проверяют и передают внешнюю информацию (данные вне цепочки) смарт-контрактам на блокчейне. Помимо получения данных вне цепочки и их трансляции в ethereum, оракулы также могут отправлять информацию с блокчейна во внешние системы. Например, смарт-замок может быть открыт, когда пользователь отправляет комиссию через ethereum-транзакцию. Без оракулов смарт-контракты ограничены использованием только данных в цепочке.

Манипуляции с оракулами могут привести к тому, что оракулы будут сообщать неверные данные о внешних событиях или реальных условиях. Например, рассмотрим криптоактив, торгуемый на пяти биржах, где 85% объема торгов приходится на две из них. Если оракул покрывает только три другие биржи с более низкой ликвидностью, его покрытие недостаточно. Злоумышленник может манипулировать ценами на этих трех биржах с низкой ликвидностью, заставляя оракула сообщать о ценах, которые отклоняются от фактических рыночных цен, тем самым создавая риск манипуляций.

например, 10 июня кредитная платформа UWU Lend была атакована, что привело к потере приблизительно 19,3 миллиона долларов. Ядро этой атаки заключалось в том, что злоумышленник манипулировал оракулом цен, совершая крупные сделки в пуле CurveFinance, что повлияло на цену токена SUSDE. Злоумышленник затем воспользовался манипулированной ценой для вывода других активов из пула.

поэтому, при использовании протоколов Defi важно диверсифицировать ваши инвестиции и избегать использования протоколов, которые не были проверены или имеют низкую ликвидность пулов.

2. различные веб-сайты для рыбалки

многие пользователи, вероятно, сталкивались с фишинговыми веб-сайтами. Мошенники создают фальшивые официальные веб-сайты, которые выглядят легитимно и широко распространяют их через социальные медиа, электронную почту, группы обсуждения и другие каналы. Если пользователь посещает фальшивый веб-сайт и, соблазненный некоторыми выгодами, подключает свой кошелек и предоставляет разрешение, активы в его кошельке могут быть автоматически украдены.

Чтобы избежать этого, всегда дважды проверяйте домен dapp (url), посещая веб-сайты, особенно те, которые требуют авторизации кошелька, такие как платформы dex. Лучше добавить в закладки официальные веб-сайты, которые вы часто используете, вместо того чтобы каждый раз искать их в Twitter или Google, так как результаты поиска иногда могут ввести в заблуждение. Кроме того, избегайте нажатия на рекламу проектов на различных веб-сайтах, так как мошенники часто размещают фальшивые объявления.

избегайте нажимать на ссылки, отправленные незнакомцами. например, распространенным мошенничеством на discord является отправка сообщений со ссылками на фальшивые страницы или твиттер-посты (ссылка на твиттер-пост может быть правильной, но содержит мошенническую ссылку).

если вам нужно установить плагины для браузера, устанавливайте только те, которые вам знакомы. недавно, 3 июня, пользователь сообщил о потере миллиона долларов после установки вредоносного расширения для Chrome под названием aggr.

поэтому, при работе с плагинами браузера (используя chrome в качестве примера), убедитесь, что вы устанавливаете только известные плагины из магазина Chrome Web Store, чтобы избежать неизвестных расширений. Вы также можете рассмотреть возможность использования плагинов проверки безопасности, таких как ScamSniffer, для безопасного просмотра.

если вас особенно беспокоит безопасность, рассмотрите возможность создания отдельного профиля пользователя Chrome специально для взаимодействия с dapp, требующих доступа к кошельку. Не устанавливайте никаких плагинов в этом профиле и убедитесь, что вы вышли из системы сразу после завершения ваших транзакций.

3. проверяйте свой кошелек регулярно

Кроме того, рекомендуется регулярно проверять историю авторизации вашего кошелька и отзывать любые разрешения, которые могут быть рискованными или неясными, даже если вы уже отключили свой кошелек.

Для проверки разрешений кошелька доступно несколько инструментов, одним из наиболее часто используемых является revokecash, как показано на рисунке ниже.

Кроме того, некоторые кошельки предлагают функции управления историческими авторизациями. Например, кошелек Rabby, который является криптовалютным кошельком под управлением DeBank, поддерживает эту функциональность, как показано на изображении ниже.

относительно использования кошелька, если у вас есть значительное количество активов, рекомендуется не держать все ваши средства в горячих кошельках, таких как metamask или phantom. вы можете держать часть ваших часто используемых средств в горячих кошельках (распределенных по нескольким горячим кошелькам), а другую часть на биржах (распределенных по различным биржам, но используйте только основные). оставшиеся средства следует хранить в холодных кошельках.

Кроме того, холодные кошельки не обязательно должны быть аппаратными кошельками, такими как Ledger, Trezor или Ellipal. Лично я использую два отдельных Apple-телефона оффлайн в качестве холодных кошельков. Для ежедневных операций я использую отдельный Apple-телефон в качестве горячего кошелька (не рекомендуется использовать телефоны Android), который также отдельный от моего повседневного телефона.

4. предотвращать ложные раздачи

многие люди, особенно новички, считают раздачи воздуха бесплатными токенами или NFT, которые они могут запросить. Мошенники пользуются этим, используя фальшивые раздачи воздуха, чтобы обмануть людей и заставить их раскрывать свои приватные ключи кошелька или направлять их на фишинговые веб-сайты, где они авторизуют свои кошельки.

например, вы можете неожиданно получить nft (небольшое изображение) в своем кошельке с url-адресом на нем, заманивая вас посетить веб-сайт. если вы посетите сайт и авторизуете свой кошелек, ваши активы могут быть мгновенно выведены.

когда вы видите адреса бесплатного токена или ссылки на раздачу популярных проектов в социальных сетях, всегда проверяйте их подлинность через официальный сайт проекта. никогда не делитесь своей кодовой фразой или приватным ключом, чтобы получить раздачу. ваша кодовая фраза равна всем вашим активам — никогда не раскрывайте ее никому.

мы перечислили здесь только некоторые общие проблемы безопасности и советы по их предотвращению. криптоиндустрия полна постоянно меняющихся методов мошенничества. мошенники постоянно придумывают новые способы обмана, подчеркивая нашу ранее сделанную точку: когда кто-то фокусируется на конкретной области и продолжает исследования, он может опередить. мошенники постоянно усовершенствуют свои тактики, что делает все сложнее для большинства людей оставаться защищенными.

подводя итог, давайте взглянем на несколько последних горячих новостей за последние несколько дней:

• 17 июня Binance добавил ZkSync (ZK) в 16:00 по времени Пекина и открыл соответствующие пары торговли на спотовом рынке.
• 17 июня в 15:00 по времени Пекина стал доступен airdrop zk nation.
• 16 июня данные с платформы geniidata показали, что rune cook•the•mempool полностью отчеканен, общим количеством 4,309,311 отчеканенных монет, что делает его в настоящее время наиболее отчеканенным руном с 28,435 адресами владельцев.
• 15 июня аккаунт Twitter фонда LayerZero опубликовал сообщение с изображением «06.20.2024». Люди предполагают, что LayerZero может объявить информацию о своей токен-эирдропе 20-го числа.
• 15 июня цена TON достигла исторического максимума. Игровые проекты в экосистеме TON, такие как Pixelverse, Momoai, Hamster Kombat и Catizen, привлекают все больше внимания. Несмотря на общий спад рынка, Toncoin в последнее время стал редким ярким местом на рынке.
• 14 июня ao (уровень 1, построенный на платформе хранения данных arweave) объявил свою токеномику, с 36% выделено держателям ar и 64% - пользователям межцепочной связи.
• 14 июня появились сообщения, что ETF на ETH может запуститься 2 июля.
• 14 июня журнал Forbes сообщил, что CZ, в настоящее время находящийся в тюрьме в США, является 24-м богатым человеком в мире, что делает его самым богатым человеком, когда-либо содержавшимся в тюрьме, с состоянием в 61 миллиард долларов. Большую часть богатства CZ составляет его доля в 90% в Binance и его владение 94 миллионами BNB, которые составляют 64% от обращающегося предложения.

дисклеймер:

1. эта статья перепечатана с [话李话外], все авторские права принадлежат оригинальному автору [话李话外]. если у вас есть возражения против этого перепечатывания, пожалуйста, свяжитесь с Шлюз учитькоманда, и они незамедлительно справятся с этим.
2. отказ от ответственности: мнения и взгляды, выраженные в этой статье, являются исключительно мнениями автора и не являются инвестиционными советами.
3. переводы статьи на другие языки выполняются командой Gate.io learn. если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.