撰文:茉莉
距離以太坊合并還有不到 6 小時,這條被視作下一代互聯網 Web3.0 底層基礎設施的區塊鏈網絡將徹底改變共識機制,從工作量證明的 PoW 機制轉向權益證明的 PoS。
在合并即將到來前,去中心化安全網絡市場 PolySwarm 創始人 Steve Bassi 在接受媒體采訪時提示,詐騙者可能會利用以太坊合并這一市場熱點,針對新手加密用戶發起新的騙局,這些騙局包括假 ETH2.0 代幣置換、欺詐性的 ETH 質押礦池、假空投等形式。
以太坊官網也在最新的「安全性」頁面中提示,合并并不產生任何「ETH2」或其他任何新代幣,不要將 ETH 轉存到任何指定地址以換取虛假的「ETH2」代幣,「永遠不要把你錢包的助記詞和陌生人分享。」
喜羊羊與灰太狼NFT存在Metadata泄露漏洞,項目需警惕:11月26日消息,據Supremacy安全團隊旗下的Sheepdog漏洞監測系統報告, 奧飛娛樂旗下的喜羊羊與灰太狼NFT合約項目存在Supremacy先前所披露的CVE-2022-38217通用型安全漏洞。此漏洞可導致該項目的所有NFT的元數據(metadata)遭到提前泄露,黑客可預先篩選有價值的NFT,之后通過監測Mempool的方式定向mint指定的NFT ,最后在二級市場拋售獲利。此前,Supremacy已嘗試通過Discord聯系官方,截止發文官方并無任何回應。[2022/11/26 20:46:35]
由于以太坊合并,以挖礦維持網絡運行的 PoW 共識將被靠質押成為驗證節點的 PoS 共識取代。按照以太坊規則,質押是向信標鏈存入 32 ETH 以激活驗證器軟件的行為。驗證者將負責存儲數據、處理交易以及向區塊鏈添加新區塊。驗證者在保證以太坊網絡安全運行的同時,可以賺取新的 ETH。
慢霧:警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報,在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置,經多方驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架,建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響,并盡快升級新版本。[2021/12/10 7:30:00]
Steve Bassi 認為,對于 ETH 的眾多持有者來說,如果他們沒有成為獨立驗證者所需的 32 個 ETH,那么加入質押池將是他們從質押獎勵中獲得收益的唯一方式。但聯合質押提供商「自帶風險」,因為它通常要求用戶存入 ETH 并放棄對該資產的控制。
Nexus Mutual:沒有NXM代幣升級計劃 警惕詐騙郵件:1月15日,DeFi保險協議Nexus Mutual官方發推稱,現網絡上流傳一個關于NXM代幣升級的詐騙郵件,Nexus Mutual并沒有升級計劃,請不要按照郵件進行操作。[2021/1/15 16:13:38]
Bassi 表示,新的質押提供商「可能提供非常有吸引力的條款」,但可能會「突然 rug pull(跑路)」,從而影響到池子里的參與者。「這種風險目前存在于 DeFi 平臺的各種資產池或代幣中,詐騙者很可能利用以太坊合并尋找一個新的角色。」
截至目前,除了向信標鏈單獨質押外,諸多為以太坊提供質押的第三方服務模式已經出現,包括質押即服務、集合質押池、中心化交易所提供的質押服務。以太坊官網也列出了采用去中心化質押服務時的風險、回報和要求。
動態 | 西班牙國家證券市場委員會提醒居民警惕部分加密交易騙局:1月14日消息,西班牙國家證券市場委員會更新當地騙局警告列表,增加了23個實體,其中包括BROWN FOX LTD和Black Parrot Ltd等提供加密貨幣交易的實體。CNMV表示,這23家實體未經適當授權在西班牙運營,提醒當地居民不要跟此類公司打交道。[2019/1/14]
ETH 質押服務的對比
以太坊官方強調,這些路徑針對廣泛的用戶,在風險、回報和信任度方面各不相同,「用戶將 ETH 發送到任何地方之前請務必進行自己的研究。」
動態 | 警惕非官方渠道下載的軟件潛藏惡意挖礦代碼:據降維安全實驗室(johnwick.io)消息,最近關注到一起感染用戶進行加密貨幣挖礦的惡意活動。為了感染全球范圍內的用戶,黑客創建了一個惡意克隆版的PDFescape并做了一個細節修改:攻擊者反編譯并修改了一個MSI文件(一個亞洲的字體包)然后加入了含有加密挖礦代碼的惡意payload。據數據統計,共有100個國家的12810位用戶受到此惡意軟件的感染。更多細節和緩解措施請聯系降維安全實驗室。[2018/9/27]
Bassi 還警告了另一種騙局——誘騙用戶簽署欺詐性交易或以「遷移到新的以太坊鏈」為幌子套取用戶的私鑰。
被以太坊官方反復預警的一種升級騙局就是利用「ETH2」這個概念——在合并來臨前,詐騙者很可能會忽悠用戶將他們的 ETH 兌換為「ETH2 代幣」。實際上,合并并不產生任何「ETH2」或者任何其它新代幣,「當前你所擁有的 ETH 在合并后仍然是一樣的 ETH,不用進行任何的兌換。」
需要知道的常識是,早在今年 1 月,以太坊官方就棄用了「ETH1」、「ETH2」這樣的術語,以執行層和共識層取而代之。
在這之前,ETH1 常被指現有的工作量證明鏈,合并后,這條鏈將通過難度炸彈被棄用。用戶和應用程序將遷移到新的權益證明鏈上,該鏈此前習慣被稱為 ETH2。
為了避免混淆、防范騙局,ETH1、ETH2 的說法被棄用,以太坊官方要求核心開發人員停止使用這兩個術語,分別用「執行層」取代 ETH1 術語,以「共識層」取代 ETH2 術語。
因此,但凡以「ETH2」為幌子要求用戶置換新代幣的項目,均可視作騙局。以太坊官網在安全性頁面提示,詐騙者可能會以「技術支持」的面貌出現,告訴用戶需要把手中的 ETH 存到指定地址,以得到「ETH2」。 實際上,這并不是以太坊官方技術支持的,也沒有新代幣,「永遠不要把你錢包的助記詞和陌生人分享。」
同時需要注意的是,有一些衍生代幣或憑證可能代表了被質押的 ETH,比如 Rocket Pool 的 rETH、Lido 的 stETH、Coinbase 的 ETH2,但這些都不需要將 ETH 遷移到并不存在的「新鏈」,用戶無需自行處理 ETH 的底層共識轉換。
除了以上兩種騙局外,Bassi 補充表示,另一種可能的詐騙媒介將以「假空投」的形式出現——說服用戶簽署交易授權或訪問網絡釣魚網站,去接收虛假空投,「ETH 合并將成為這些騙子偽裝成知名的、具有經濟價值的、承諾空投的項目的好借口。」
Bassi 解釋,這些空投可能會將用戶定向到一個網絡釣魚站點,在那里,他們可能會被騙出他們的 ETH 和私鑰,或落入精心設計的交易簽名陷阱。
圍繞以太坊合并這一熱點事件,已經有騙子在使用加 V 的推特賬戶冒充以太坊聯合創始人 Vitalik Buterin,宣傳虛假的 ETH 空投,誘導網友訪問詐騙者的加密錢包,這些地址很可能涉及釣魚欺詐,需要投資者謹慎識別。
冒用 Vitalik Buterin 信息的假推特
除了詐騙之外,針對以太坊合并的黑客攻擊也不容小覷。鑒于之前測試網的經驗,大多數旁觀者預計合并會成功。但是 Bassi 表示,詐騙者或黑客仍有可能找到一種方法來玩弄系統,「我們真的不知道詐騙者或黑客是否已經開發出針對鏈的攻擊或 DDoS 技術,當 ETH 2.0 具有 ETH 1.0 的全部經濟價值時,他們可以在合并后使用攻擊技術。」
如果發生這樣的攻擊,Bassi 認為,它可能只會暫時影響網絡或影響市場,「因為有很多聰明的眼睛在關注合并后的行為。但是,攻擊者可能會尋找機會將任何發現貨幣化。」
東尋
個人專欄
閱讀更多
金色早8點
財經法學
成都鏈安
Bress
鏈捕手
PANews
Odaily星球日報
CeFi暴雷,DeFi盜幣,金融世界,風險叢生。隨著全球趨于局勢動蕩,再加上加密市場參與者又很多樣,機構和用戶如何管理自己的資產成為了一個難題.
1900/1/1 0:00:00胡潤研究院今日于廣州發布《2022年中全球獨角獸榜》(Global Unicorn Index 2022 Half-Year Report),列出了全球成立于2000年之后.
1900/1/1 0:00:00原文作者:以太坊基金會研究員 Justin Drake 和 Bankless 編輯 Lucas Campbell。 編譯:DeFi 之道 以太坊從工作量證明到權益證明的過渡已經計劃了 7 年多.
1900/1/1 0:00:00如果我們可以構建 L2 協議錨定到 L1 ,以實現安全性并增加可擴展性,那么我們就可以構建 L3 協議錨定到 L2.
1900/1/1 0:00:00撰文:李國權、鄭金城、閆黎,分別為新加坡新躍社科大學金融科技和區塊鏈教授、新加坡新躍社科大學 Web3 研究員、新加坡南洋理工大學南洋商學院戰略系高級講師二十一世紀是亞洲的世紀.
1900/1/1 0:00:00當這個倒計時為零時,大多數以太坊生態系統將轉向新的權益證明鏈,除了少數心懷不滿的以太坊礦工將坐在價值數百萬美元的采礦設備上.
1900/1/1 0:00:00