GASO 看到越来越多的欺诈性 dApp(在区块链上运行“智能合约”的去中心化应用程序)的受害者,这些欺诈性 dApps 始于在线关系,与“猪屠宰骗局”具有相同的影响。我们在 10 月下旬首次看到这一点,并立即提醒社区和 Coinbase。近日, 的大多数受害者在谈挖矿骗局, 我们在这些诈骗公司中的内部消息人士说,几乎所有人都将他们的脚本转换为这种新的诈骗模式,因为它更有利可图,并且需要骗子的工作更少。这只是最新版本的在线关系投资欺诈,或“杀猪盘”。现在,关系诈骗者不再使用欺骗性网站或应用程序,而是将受害者引导至欺骗性 dApp,通常是通过 Coinbase 钱包应用程序。
背景
加密货币以太坊目前由称为“矿工”的多台计算机(特别是图形处理单元或 GPU)支持,这些计算机验证不同以太坊钱包之间的交易。矿工通过支付少量以太坊验证交易获得奖励,这种验证模型称为工作量证明。然而,随着“以太坊 2.0”(更新名称)的到来,这种使用 GPU 矿工的模式将会改变。在以太坊 2.0 中,交易由钱包所有者验证,钱包所有者每次验证都会获得微薄的利润。这种模型称为权益证明。然而,在权益证明模型中,并非每个钱包所有者都有资格验证交易并获利。只有拥有 32 ETH 或更高的钱包才有资格,拥有更多 ETH 的钱包更有可能被选择来验证交易并赚取利润.
矿池
一些团体正试图让少于 32 ETH 的人通过宣传新的“矿池”来获利,然后这个集体钱包应该验证交易。然后,从这个集体钱包中获得的任何利润都应该分摊给所有贡献者。
问题是:“以太坊 2.0”升级尚未完成,权益证明尚未开始。这意味着目前,所有在没有 GPU 的情况下以这种方式工作并且需要授权进入您的 Coinbase 钱包的以太坊矿池都是骗局。
骗局
矿池骗局是如何运作的?我们看到的挖矿骗局实际上更像是网络钓鱼攻击,需要您单击按钮加入矿池,而是诱使您授权一个隐形的“智能合约”来清算您的所有资产。骗子声称的关于实际矿池的一切都是谎言。
创建加密钱包帐户时,您会获得所谓的公钥和私钥。私钥仅供您(帐户所有者)使用,并使用您的密码进行保护或加密。当您使用像 Coinbase Wallet 这样的应用程序时,您允许 Coinbase 保存您的密码以及您的公钥和私钥。所以现在,你和 Coinbase 都可以访问这些私人信息。当受害者点击链接加入矿池时,她点击了一个按钮,要求她进行一些初始购买以加入矿池(我听说在 10 美元到 50 美元之间)。此初始购买是智能合约的一个前线,它是一种获取您的数字签名签名以授权智能合约的方式。 Coinbase,如果他们正在实施合理的安全措施,会要求您在将您的信息提交到区块链之前授权交易。但是,在 Coinbase 钱包中,他们不这样做,我之前写的这是一个严重的安全漏洞。 Coinbase 实际上为您授权交易,账户用户不知道。 Coinbase Wallet 基本上已经为你“签署”了合同,而没有告诉你。
谁放置了欺骗性的智能合约?骗子拥有它吗?
在这种情况下,诈骗团伙已经在区块链上建立了智能合约。从技术上讲,没有人“拥有”它。智能合约是一组代码指令,实际上可以是任何东西……它需要一些良好的学科水平的专业知识来尝试准确地揭示合约的条款是什么。很可能,合同规定从您的帐户中提取资金一段固定的时间或直到您的钱包为空。资金将转移到另一个未知帐户,他们有密码并且可以从中提取资金。资金流动是通过这份合同实现的,该合同本质上是一组您不幸预先同意的指令,概述了资金如何从您的账户流向他们的账户.
建议
以太坊 2.0 升级后,可能会有真正合法的矿池以上述方式工作。但是,很难从骗局中辨别出合法的矿池。如果您对以太坊 2.0 矿池感兴趣,我应该告诉您,更新将在明年夏天进行。但是,我建议您在有明确证据表明哪些是合法的哪些不是合法的之前,暂时不要加入矿池。如果您可以避免它们,我建议您以不同的方式进行投资并完全避免使用矿池。我当然不会使用它们。
如果有人有更好的知识他们愿意贡献,我也很高兴收到他们的来信。
--doctorpurr
Commenti