撰文:BlockSec
随着铭文这个概念的热度触及到了前所未有的高点,头部铭文价格最高涨幅达到数万倍之多。在此背景下,很多人早已伺机而动,利用铭文的复杂性和新颖性实施各种欺诈行为,并且这种现象日渐猖獗。这些不仅对用户的资产安全构成了严重威胁,也对整个铭文生态的健康发展带来了不利影响。
针对此,我们梳理了三种典型的铭文安全案例,包含Scam 项目风险、误转账误 burn 风险、中心化工具风险,以及作为用户,在这些场景中相对应的预防措施是什么。
Scam 项目风险
在目前的比特币协议中,对于项目小白导航的识别主要依赖于在部署(deploy)操作中所指定的项目名称,并通过唯一的 ID 在索引器中进行标识。然而,对于普通用户来说,往往只能记住项目的名称,并以此作为进行交易的依据。这种依赖于名称的交易方式存在一定的风险,因为 ASCII 码中存在大量相似但不同的字符串,这给视觉欺诈提供了机会。恶意方可以利用这些相似但不同的字符串来欺骗用户,让他们误以为正在与一个知名项目进行交易,并大量发行类似项目的代币。
这种欺诈行为常常发生在项目铸造(mint)的过程中。恶意方会引导用户支付费用,以获取代币或其他虚拟资产,但实际上这些代币可能是没有真实价值的。这种欺诈行为不仅损害了用户的利益,还可能造成整个生态系统的不稳定。
这里我们举出一个假的 rats 例子,这里的假 rats 和真的 rats 在命名上非常相像,因为其中使用了类似的 ASCII 码。如果用户没有仔细识别这个命名(注意 rats 里面的「t」),就会被错误的引导购买了假的 rats token,造成经济损失。
除了虚假的铭文外,有些 scam 铭文甚至在 mint 过程中骗取用户的额外资金。
例如图中所示,在铸造 bitmap 上铭文的时候,欺诈网页还额外要求用户付款给一个地址。如果用户没有注意到付款的数额,就会遭受重大的损失。
应对措施:避免从不知名渠道铸造铭文
现在的铭文铸造渠道非常的多样,从目前接触到的种类就有:
-
项目方自己的发行网站
-
Unisat 等钱包的辅助工具
-
其他三方提供的辅助工具
这些不同种类的铭文铸造渠道,会让用户陷入迷茫,无法分辨渠道的正确性和安全性,从而陷入 scam 铭文的欺诈陷阱。这里我们建议用户更多的使用钱包和项目方的官方发行网址来铸造铭文,尽量在铸造铭文前,确认网址的正确性,并仔细观察所需要的铸造金额。如果是大型的批量 mint,我们建议使用钱包的辅助工具,进一步增加资金安全。
误转账 误 burn 风险
首先,误转账是指将铭文的载体当作正常的比特币进行转账的情况。由于铭文是附加在 比特币 交易中的,对于传统的 BTC 钱包来说,他不会考虑铭文所带来的附加价值,从而只显示其中 UTXO 模型里锁定的聪的价值。有些用户可能会在不完全理解铭文的情况下进行传统的转账操作。这可能导致钱包将铭文误以为是普通的比特币资产,并将其和其他 UTXO 进行融合拆分后发送给错误的地址,从而导致不可逆转的损失。
其次,误烧毁(burn)是指将铭文当作无价值或无意义的信息而进行烧毁或删除的情况。由于铭文在拆分模型中并没有直接影响比特币的所有权或价值,有些用户可能会错误地认为这些带有铭文的比特币纸面资产价值较低,不重要或无效,并选择将其和其他 UTXO 模型融合。这可能导致永久性地丢失与铭文相关的重要信息或资产。
例如在图中所示,在本应该保护铭文的 BTC 交易中,钱包错误的未识别铭文,从而将其当作 dust 转移出去,造成了损失。https://twitter.com/wizzwallet/status/1714385677985661245?s=20
应对措施:准备专用的铭文地址和钱包
在拆分模型中,为了防止用户错误地转移或烧毁具有高价值的铭文资产,建议用户准备专用的铭文地址和钱包。这样的做法可以有效降低误操作的风险,并确保铭文资产的安全性。这个地址应该与其他常规交易地址区分开来,避免与普通的比特币交易地址混淆。通过将铭文交易与其他交易隔离开来,用户可以更好地控制和管理铭文资产。
中心化工具风险
区块链的去中心化设计可以让用户直接参与到区块链生态中来,但由于直接使用复杂的 rpc 协议加入区块链生态是一件过于复杂的事情,所以绝大多数的用户选择依赖辅助工具从而参与到铭文生态的铸造,交易过程中。
而由于铭文是一个新的概念,其生态相较于成熟的 ERC20 体系而言仍处于起步阶段。尽管现在的辅助工具如雨后春笋般诞生,但大部分的工具多专注于功能性的实现,而对于安全的考量仍然存在一些缺漏。例如直接让用户导入私钥进行代签名,让用户将资产托管给平台从而实现交易等。这些操作暴露了用户的私钥,中心化工具实质上掌握了用户的全部资产,容易出现 rug 等中心化风险。这类风险就类似于一些钱包公司,掌握了用户的私钥后,私自卷走了用户的所有资产后,宣布公司倒闭。
例如以下这个代打工具就是通过获取用户私钥直接将钱包里的钱盗走的。
应对措施:使用安全的铭文辅助工具
为了提高铭文资产的安全性,用户应该在知名的铭文市场进行交易和操作。
例如:
Geniidata:https://geniidata.com/Ordinals/index/brc20
Ordiscan:https://ordiscan.com/
Etch Market:https://www.etch.market/market
这类被广泛认可的铭文探索和市场平台,它们提供了安全的交易环境和可靠的铭文信息。在这些知名平台上进行铭文的铸造(mint)、交易和其他操作可以增加用户的安全保障。另外,用户应保持警惕,不要盲目相信不知名的网站提供的铭文铸造和交易服务。在进行任何操作之前,应仔细研究并确认网站的信誉和安全性。此外,用户还要确保不向任何不受信任的第三方透露自己的私钥或其他敏感信息,以防止遭受钓鱼或盗窃行为。
总结
在深入了解了铭文 Scam 风险、误转账与误 burn 风险,以及中心化工具的潜在威胁之后,我们可以发现,铭文生态尽管充满了前景与可能性,但也伴随着不少风险与挑战。用户必须对铭文的交易与存储保持高度的警惕性和谨慎性。从使用官方渠道铸造铭文、准备专用的铭文地址和钱包,到选择安全的铭文辅助工具,这些预防措施能够在很大程度上降低风险,保护用户的资产安全。最后,我们鼓励所有用户在参与铭文市场时保持谨慎,在数字资产世界中,安全永远是第一位的。
文章来源于互联网:还没赚钱就被盗?这份铭文防钓鱼指南请拿好
相关推荐: BTC 生态扩容方案巡礼:BitVM,蚀刻的艺术
比特币网络上智能合约是如何实现的? 撰文:Simon shieh 前言回顾 上一篇《BTC 生态扩容方案巡礼:铭文何去何从》中,我们讨论了热门的铭文生态的技术原理和可能存在的安全问题,并且提到了用递归铭文来实现智能合约的可能性。但是因为 Luke 对 Tapr…