以太坊:以太坊上的“欺騙性”(Spoof)代幣_EtherBone

虛假或“spoof”的ERC-20代幣轉賬在以太坊并不是什么新鮮事。然而，去年區塊鏈的廣泛采用導致了這些案例的急劇上升。現在越來越多的問題和最近一個備受矚目的案例需要更深入的研究。

在本文中，我們會介紹：

這是什么“spoof”

如何檢測它

如何避免

想象一下，聽到一個被大肆宣傳的DeFi產品即將進行代幣空投的傳言。作為一個完美的交易者，我們會搜索所有關于這一切的線索。

我們會注意到一個與這個DeFi產品的名稱和符號非常相似的代幣是新鑄造的。更重要的是，我們會看到它被發送到一個我們私下標記為屬于一個人脈廣泛的鯨魚/網紅的地址。

Arbitrum網絡每筆交易的Gas費達7.11美元，已高于以太坊主網:金色財經消息，L2Fees數據顯示，目前Arbitrum網絡進行每筆交易的平均Gas費用約為7.11美元，已高于以太坊主網的3.56美元。此外Arbitrum網絡發送ETH的Gas費用約為0.30美元，也高于其他Layer2網絡。[2022/6/29 1:38:57]

我們想要領先于其他人了解這個代幣，我們從一個剛剛創建的Uniswap V2流動性池中購買許多代幣。一個小時后，LP耗盡了所有ETH，我們意識到自己被耍了。

動態 | Least Authority被以太坊Cat Herders選中審計ProgPow 主要是為了檢查它是否符合其聲明和基準:根據先前的公告，Least Authority被以太坊Cat Herders選中審計ProgPow，主要是為了檢查它是否符合其聲明和基準。這個過程完全取決于社區的資金，如果資金不足，團隊可以在沒有基準或進行審計的情況下繼續進行。以太坊核心開發者Martin Swende評論說，目前的以太坊算法Ethash“設計得相當好”，但它也有一些缺陷，現在可以通過ProgPow予以修復。他補充說，ProgPow使Ethash“對GPU更加友好”。 此外，Swende認為“不會生產ProgPow ASIC”；就算生產了，其規模也會非常小。隨著與PoW的開發進行競爭，ASIC生產商也將保持與英特爾和AMD的標準，因為他們也將生產下一代GPU。[2019/3/30]

這些真實的 OpenSea 代幣也不是由OpenSea: Registry地址轉移的

動態 | 企業以太坊聯盟開發適用于以太坊公鏈和私有鏈的代幣規范:據鏈聞消息，為企業級區塊鏈技術提供開放標準的企業以太坊聯盟（Enterprise Ethereum Alliance，EEA)）宣布組建一個代幣工作小組，該工作組將開發一種代幣的規范，可以讓符合該規范的代幣適用于以太坊公鏈或者各種基于以太坊協議的私有鏈。一旦這種代幣規范推出，采用私有鏈的企業也可以引入代幣激勵體系。企業以太坊聯盟執行總監 Ron Resnick 表示，在完成該代幣規范之后，以太坊聯盟下一個工作重點將是推動以太坊和其他虛擬貨幣直接的交互功能。[2019/2/14]

我們所犯的錯誤是認為代幣轉移實際上是由影響者地址進行的。這種“spoof”通過利用以下兩點來欺騙毫無戒心的用戶：

聲音 | 以太坊聯合創始人Joseph Lubin：ETH價格波動為生態系統吸引了創業者:據CNBC消息，以太坊聯合創始人Joseph Lubin接受采訪時表示：目前以太坊平臺主要是自主開發者，我們專注于開發、基礎建設，而讓價格自行發展。大家都看得到，ETH的價格從最初到現在已經增長了許多。ETH價格的波動其實于我們而言是件好事，因為這為我們的生態系統吸引了創業者、技術咖，所有這些被帶來的興趣點都是最根本的價值。[2018/7/11]

ERC-20標準設計

區塊瀏覽器的透明數據顯示

ERC-20標準的transfer和transferFrom函數可以修改，可以允許任何任意地址作為代幣的發送方，只要在智能合約中進行指定，這會導致代幣從不同于發起地址的地址進行轉賬交易。

通常“spoof”代幣合約不會在Etherscan上進行驗證，因為這有助于掩蓋合約的內部工作原理。

對于ERC-20代幣轉賬，Etherscan 等區塊瀏覽器會顯示傳輸代幣的地址，而不是發起者地址。由于區塊瀏覽器的性質，默認情況下不會審查區塊瀏覽器的數據。

在大多數情況下，傷害程度僅限于持有零值的代幣。但更危險的情況也可能存在，比如帶有恢復錯誤消息的代幣指向竊取用戶私鑰的釣魚網站。ERC-721和ERC-1155代幣(NFT)也可能遇到同樣的問題。

答案相當簡單。對于任何這些代幣傳輸，單擊確切的交易哈希并檢查其詳細信息。發起交易的From地址顯然與代幣轉移的From地址不相同。

要深入挖掘，請在交易輸入數據或合約源代碼中查找“欺騙性”的 From地址。它通常包含在任一位置中。如果合約沒有被驗證，這個步驟會進行的更困難，但同時它會自動地使該代幣看起來更加可疑。

偽造的 OpenSea 代幣看起來好像是由 OpenSea: Registry 在此交易中轉賬的

一個關鍵的警告。并非所有由不同地址發起的代幣轉賬都是假的或有欺騙性的。一個常見的例子是dApp批量發送多個代幣轉賬。這些通常有一個由Etherscan添加的公共名稱標簽。

批量發送代幣的交易

spoof的“近親”是垃圾郵件代幣。雖然這些不是假裝是由有影響力的人的地址發送的，但它們是一起發送到該地址，并使閱讀地址的代幣標簽成為一個痛苦的體驗。

對于一般的用戶，不需要做任何事情，因為這個問題不太可能影響我們。

Etherscan默認不審查數據，但正在探索幫助緩解這個問題的方法。第一步是擴展代幣忽略列表的功能。特性：

自動隱藏ERC-20、ERC-721和ERC-1155標簽中的代幣轉賬，并在地址余額和代幣持有中隱藏它們。

包括一個簡單的選項，讓用戶選擇忽略所有被Etherscan標記為可疑或糟糕的代幣。

我們希望這個功能擴展將有助于保護用戶免受欺騙，同時在網站上享受一個更干凈的用戶體驗。

Source：https://medium.com/etherscan-blog/spoof-tokens-on-ethereum-c2ad882d9cf6

Tags：以太坊ETHHERTHE以太坊幣是哪個國家的幣LETHThe Philosophers StoneEtherBone

SOL