5400万美元的代价：如何避免Rug pull和诈骗事件？

区块链安全公司De.Fi的新报告显示，5月因Rug pull和诈骗事件导致损失超过5400万美元。

该数额约为4月1.015亿美元损失的一半，表明用户与开发者采取了更好的安全措施。但是，5月没有收回人和资金，而4月收回220万美元。

10个BNB Chain生态项目被攻击损失超过3700万美元，以太坊上项目被攻击最少，仅略高于200万美元。

在前10名案例中，Fintoch因智能合约漏洞被攻击损失最高，达3170万美元。

由于Rug pull，Arbitrum上Jimbo Protocol损失750万美元，BNB Chain上的Deus Finance在智能合约漏洞中损失620万美元。

Rug pull事件有12例，损失总额为3700万美元，9起漏洞攻击造成损失880万美元，5起闪电贷攻击造成损失890万美元，退出骗局有2起，损失17.7万美元。

为什么加密诈骗是致命的？

加密货币的一个主要特性是不可逆。

这意味着一旦交易完成，任何人都无法撤销。无论是加密货币矿工，还是加密货币创始人的中本聪（Satoshi Nakamoto），任何人都没有办法做到。

因此，如果有人被骗，就无法取回他们的加密货币。

由于比特币地址使用假名，加密诈骗也是致命的。

它们通常包含大约 30 个与现实世界实体无关的随机链字符。在欺诈的情况下，很难知道欺诈者的身份及其地址。

Rug Pulls项目“套路”

RugPulls（直译：拉地毯，意译：跑路）也被称为“欺诈Token”或“DeFi诈骗”，相关项目会在智能合约中精心设计代码，以从散户投资者窃取资金，其代码设计目标通常涉及：

1、禁止二级销售

2、允许项目开发者自由铸造新代币

3、向买家收取100%销售费用

RugPulls项目方将这些脚本隐藏在代币里，一旦不明真相的散户投资者购买，就会面临巨大风险。

在大多数情况下，RugPulls代币看起来和市场上其他加密货币一模一样，也都会“遵守”区块链的同质化代币标准，但真正的问题其实隐藏在更深一层的智能合约源代码里。

为了执行RugPull，欺诈者往往会将恶意规则以硬编码的方式嵌入到智能合约中，不仅能让自己获得额外权力，也能剥夺买家的基本权利。

一般来说，欺诈者会在部署一个或多个存在漏洞的代币后启动RugPulls项目。

当代币部署完成之后，欺诈者就会在去中心化交易所(DEX) 上创建流动资金池，然后将这个代币与其他“合法”加密货币建立交易对。

接下来，他们会人为大规模制造交易量并通过这种方式夸大代币价值，最终吸引散户投资者的兴趣。

除了上述“常规手段”之外，RugPulls项目还可能通过以下方式“包装”自己的合法性，比如：

1、打造虚假网站和虚假项目发展路线图

2、分享虚假的合作伙伴关系，挂出一些虚假的知名开发者“头像”

3、在Twitter、Discord、Telegram或其他社交媒体上投放广告

随着购买RugPull项目代币的人越来越多，项目背后的欺诈者就会开始酝酿抛售，当有足够多的用户购买代币之后，他们就会快速出售代币并在去中心化交易所里兑换成其他加密货币，比如ETH、USDT等。

短时间内的大规模抛售将会让代币价格迅速归零，这场RugPull阴谋也就此得逞。

RugPulls代币欺诈类型

欺诈者在RugPulls代币的智能合约里部署恶意代码的手段很多，但当前市场主要有三种RugPulls类型，分别是：

1、暗藏部署蜜罐漏洞

蜜罐漏洞通常会阻止代币购买者进行转售，而只有开发人员可以出售自己持有的加密货币，普通投资者在交易时往往会受到类似于“由于错误未定义交易无法成功”这样的提示，造成无法提款。

蜜罐骗局往往会在短时间内导致代币价格上涨，继而诱使更多不明真相的用户购买。

一个比较典型的例子是Squid Game Token(SQUID)，这个项目利用了Netflix热播剧《鱿鱼游戏》的名字吸引了许多人购买。

但项目方却在智能合约中嵌入了一个蜜罐漏洞，让Squid Game Token看起来像是一个很有前途的加密货币，上线短短几天就有超过336万美元资金入场，但最终被项目方洗劫一空。

2、暗藏私造代币功能

私造代币功能，也是欺诈者最常使用的手段之一，他们会赋予一个或多个“外部拥有账户(EOA)”特定权限，让他们可以使用代币合约中的隐藏功能铸造新代币。

当欺诈者成功调用铸币功能之后，会有拥有大量代币然后将其倾销到市场上，结果会导致其他持有者的代币价值大打折扣，甚至变得一文不值。

3、暗藏余额修改后门

部署余额修改后门和部署私造代币功能有些相似，欺诈者会赋予一个或多个“外部拥有账户(EOA)”特定权限，让他们可以修改代币持有者的余额。

当“外部拥有账户(EOA)”将代币持有者的余额设置为零时，他们就不能出售提款，而欺诈者们就能移除流动性或是铸造/出售代币以退出。

比特币诈骗

比特币骗局几乎与比特币一样古老，比特币是第一种加密货币，也是市值最高的加密货币。在所有加密货币中，它是最知名和最广泛采用的加密货币——即使是像富达这样的传统金融公司也将比特币作为其产品的一部分！正因为如此，比特币对许多新投资者来说感觉“安全”，并且通常是加密货币的切入点。

以比特币为目标的最常见骗局之一是网络钓鱼骗局。

黑客经常在电子邮件或短信中冒充听起来合法的服务、公司或个人，并试图诱骗受害者泄露他们的私钥或欺骗他们将比特币发送到骗子的钱包。

NFT骗局

许多刚接触加密货币的人都在通过不可替代的代币 ( NFT ) 寻找进入该领域的途径，无论是通过NBA Top Shot等收藏网站、为社交媒体购买彩色头像，还是通过NFT（也可作为门票）事件。

有时被包括星巴克和 Instagram 在内的大品牌称为“数字收藏品”，有很多骗子同时针对该领域的新手和老专业人士。

NFT 领域独有的一种骗局涉及伪造和伪造。

当一个 NFT 项目的价值开始上升时，诈骗者将通过创建模仿收藏品来瞄准希望“模仿”的人，有时会窃取原始艺术并克隆整个项目以模仿真实的、有价值的项目。

虽然偶尔会有一个蓝筹项目 NFT 以低廉的价格上市（通常是错误的），但如果你看到一个项目的 NFT 以远低于市场价格的价格出售，很可能是假的。

通过NFT 市场OpenSea 的列表页面上蓝色复选标记，可以验证艺术品或收藏品的真实性。

还可以查看 NFT 过去的所有权和销售情况。如有疑问，您可以查找原艺术家的社交帐户，给他们发消息询问是否合法。

社交媒体诈骗

许多加密货币骗局起源于社交媒体上的广告、帖子或消息

从赠品诈骗到欺诈性的“验证”或蓝检账户，社交媒体充斥着欺诈行为。

在你相信来自似乎经过验证的帐户的任何建议或想法之前，请查看他们的其他帖子，了解他们活跃了多长时间以及他们拥有多少关注者。

一个几乎没有关注者的全新帐户，不太可能值得信任。

社交媒体独有的一种骗局来自 YouTube，人们在其中设置虚假直播以骗取观众的加密货币。

诈骗者创建了一个看似合法的 YouTube 直播，通常使用窃取的内容来提升他们的权威，并发布指向赠品或其他看似诱人的内容的链接。

这些链接可能是恶意网络钓鱼尝试，或者只是指示将你的加密货币发送给“专家”进行投资。

检查频道的历史记录，包括它何时开始以及他们发布的其他视频，以避免被骗，同时远离没有视频的新频道。

如何识破加密骗局

加密货币骗局很常见，并不总是很明显。尽管如此，在决定是否投资加密货币时，需要注意的警告信号包括：

1、承诺保证回报

没有任何金融投资可以保证未来的回报，因为投资可以下降也可以上升。

任何承诺一定会赚钱的加密货币产品都是危险信号。

骗局的第一个迹象是公司提供的投资机会似乎好得令人难以置信，比如每周支付回报或提供高达 100% 的回报。

如果该网站看起来好得令人难以置信，这可能是因为他们使用了来自加密货币计划背后的公司支付的真实人员的虚假评论和评级。

2、一份糟糕或不存在的白皮书

每种加密货币都应该有一份白皮书，因为这是首次代币发行最关键的方面之一。白皮书应该解释加密货币是如何设计的以及将如何工作。如果白皮书没有意义 — 或者更糟糕，不存在 — 那么请谨慎行事。

3、过度营销

所有企业都在推销自己。但是，加密货币欺诈者吸引人们的一种方式是投资大量营销，比如在线广告、付费影响者、线下促销等。

这是为了在尽可能短的时间内接触到尽可能多的人，以便快速筹集资金。

如果你觉得加密货币的营销似乎太重，或提出的主张太夸张却没有支持，请暂停并做进一步的研究。

4、未透露姓名的团队成员

对于大多数投资业务，应该可以找出背后的关键人物是谁。通常，这意味着很容易找到进行投资的人的生平以及在社交媒体上活跃存在。

在研究团队时，需要注意一些关键事项。

首先，团队成员是具有可验证身份的真实人吗？其次，他们的业绩如何？他们过去是否参与过成功的项目？第三，他们是否具备完成他们提议的项目所需的技能和专业知识？

如果无法找出谁在运行加密货币，请小心。

5、免费资金

无论是现金还是加密货币，任何承诺免费资金的投资机会都可能是假的。

如何避免加密诈骗

警惕那些看起来好得令人难以置信的投资机会。

如果有人声称他们有，那就跑吧！

1、在投资加密货币之前进行研究

只需一次糟糕的加密货币诈骗经历就会对你的财务造成持久损害，不要因为什么都不做而让这种情况发生。

2、检查访问的网站的URL

为避免陷入网络钓鱼诈骗，请务必检查任何发件人的电子邮件地址并确保他们链接到的网站是合法的，避免上当受骗。

通常，网络钓鱼电子邮件地址会略微拼错真实站点，或者将你带到包含类似错误的站点。

如果您收到来自您的加密货币交易所或其他公司的电子邮件，要求您提供个人信息，请务必在将任何详细信息输入第三方网站之前直接与他们联系。

3、忽略紧急请求

如果与某个项目相关的人不断敦促您向他们汇款或立即采取其他行动，这表明他们正在试图欺骗您。合法的项目绝不会给您施加压力，让您快速投资或采取任何其他行动，而不给您时间研究和做出明智的决定。

4、不要回复不请自来的联系

如果收到自称是加密专家或承诺为您的投资带来难以置信回报的人主动联系你，这很可能是一个骗局。不要回应这些请求，也不要透露你的个人信息或财务细节，删除任何可疑的电子邮件或消息。

5、了解加密骗局的常见迹象

骗局很难被发现，但有一些常见的危险信号需要注意，例如承诺保证或过高的回报、快速投资的压力以及模糊或不存在的投资风险。

如果不确定某事是否是骗局，请谨慎行事，并在您认为有必要时报告。

为避免受骗，请遵循以下准则：如果好得令人难以置信，很可能是骗局。