揭開原標題: 揭開貔貅盤騙局

深入研究代幣代碼，保障Web3安全

前言

如果你是去中心化平台的用戶，「貔貅盤騙局」這個概念對你來說一定不陌生。即使你以前沒聽過這個詞，你很可能遇到過這種詐騙活動。

“貔貅盤”實際上是一種比喻，基本上是指有意誘使他人陷入陷阱。在貔貅盤代幣的情況下，創造了各種幻覺（如極高的流動性和價格上漲），以吸引投資者購買這些代幣。然而，當他們購買後，他們意識到由於在合約中部署了惡意代碼，他們根本無法出售這些代幣。這就是貔貅盤詐騙。

為了利用他們的用戶，貔貅盤計劃經常不斷更新和迭代合約代碼。他們采用越來越錯綜複雜的實施邏輯來掩蓋他們真正的動機，旨在逃避安全機制的警惕或提高安全專家的分析複雜性。

貔貅盤詐騙攻擊的特徵

根據 GoPlus 的數據顯示，2022 年加密貨幣市場中貔貅盤代幣的總數量大幅增加，新增了 64,661 枚貔貅盤代幣。相比於 2021 年同期，這標誌著驚人的 83.39% 增長。其中，92.8% 的貔貅盤代幣來自 BNB 鏈，而 6.6% 來自以太坊。這兩個區塊鏈也在代幣方面表現活躍且人口稠密。

貔貅盤代幣急劇上漲的一個貢獻因素可以歸因於2022年底FTX事件的影響。大量用戶將他們的數字資產從中心化交易所轉移到去中心化錢包，導致了鏈上活躍用戶的激增。因此，攻擊者也變得更加活躍。根據數據，在FTX事件發生後短短一周內，出現了超過120種新的貔貅盤攻擊方法，攻擊頻率增加了六倍。

除了絕對數量的增加之外，蜜罐代幣的特徵變得更加多樣化和錯綜複雜。通過分析過去一年的安全數據，GoPlus觀察到蜜罐令牌攻擊已經變得越來越難以檢測和更加隱蔽。通常，它們具有以下主要特徵：

1. 代碼混淆：攻擊者通過降低代碼可讀性、引入無關邏輯或混淆調用關係，創建復雜的實現邏輯，從而增加安全引擎的分析難度。
2. 鑄造知名合約：這些類型的攻擊合約通過使用假合約名稱和實施流程來冒充知名項目合約，誤導引擎，從而增加誤判風險的可能性。
3. 使用隱藏的觸發機制：這些攻擊合約將觸發條件深埋其中，常常將它們隱藏在使用者交易行為中。它們還可能利用複雜的交易行為操作，例如在調用操作（如停止交易、增加供應量或轉移資產）之前，嵌套多層條件檢查。這樣可以實時修改合約狀態並促進對使用者資產的盜竊。
4. 篡改交易數據：為了使交易看起來更真實，攻擊者可能會隨機觸發空投或洗盤等操作。這具有雙重目的：吸引更多用戶，並使交易行為看起來更自然。

案例分析

該代幣是在以太坊主網上發行的，合約地址為：0x43571a39f5f7799607075883d9ccD10427AF69Be.

在分析合約代碼後，可以觀察到該合約試圖為持有者帳戶地址實現一個“轉移黑名單機制”。如果轉移地址在黑名單上，轉移交易將失敗。這是一個典型的貔貅盤代幣機制，最終阻止持有者出售其資產。

然而，對於大多數用戶來說，他們可能沒有閱讀和分析代碼的能力，這使得通過代碼審計來識別這些安全風險變得具有挑戰性。本文列出了市場上可用的主流工具，用於分析EVM智能合約中的欺詐風險。如果您希望評估已部署智能合約相關的欺詐風險，您可以使用以下工具，上述合約地址僅作為示例:

GoPlus安全

1. 打開GoPlus網站，並選擇區塊鏈網絡，如以太坊主網或其他Layer2網絡。

1. 輸入您要查詢的合約地址，點擊「勾選」按鈕，獲取合約風險資訊。查詢結果顯示「蜜罐風險」下列出風險提示，表示合約已設置轉移黑名單。

Token Sniffer

1. 打開令牌嗅探器，輸入您想查詢的合約地址，並從搜索結果中選擇相應的合約。

1. 隨後，風險查詢結果將顯示出來。我們可以看到，在“Swap Analysis”部分，該合約沒有通過此測試，表明該合約本身存在貔貅盤風險。

使用上述分析工具，用戶可以快速識別智能合約中的欺詐風險並分析危險。一旦檢測到貔貅盤的風險，強烈建議避免參與，以防止落入這種性質的合約陷阱。

結論

隨著黑客不斷演變其攻擊策略，安全防禦變得越來越具挑戰性。作為區塊鏈用戶，在面對貔貅盤詐騙時，我們需要注意以下幾點：

• 在購買代幣之前，深入了解代幣的真正性質，包括其流動性、價格趨勢等是至關重要的。
• 仔細檢查代幣合約代碼，以檢查惡意代碼或任何異常。如果您沒有編碼技能，您可以使用工具或訪問聲譽良好的市場網站來評估與代幣合約相關的風險。
• 不要輕易相信所謂的空投或“抬高然後倒賣”的計劃，因為這些往往是詐騙的一部分。
• 避免在未知的交易所或錢包上購買代幣；請選擇有信譽的交易所或錢包。

了解加密貨幣安全性應該是一個持續進行的過程。只有通過這樣，人們才能有效應對不斷出現和演變的安全風險所帶來的挑戰。

免責聲明：

1. 本文轉載自[Medium]. 所有版權歸原作者所有 [GoPlus安全]. 如果對此轉載有異議，請聯繫 Gate 學習團隊會儘快處理。
2. 免責聲明：本文中表達的觀點和意見僅代表作者個人觀點和意見，不構成投資建議。
3. Gate Learn團隊將文章翻譯成其他語言。未經許可，禁止複製、分發或剽竊翻譯的文章。