A medida que el precio ORDI supera un máximo histórico, con una capitalización de mercado de más de mil millones de dólares y un aumento máximo de decenas de miles de veces, el ecosistema Bitcoin y varias inscripciones BRC20 han entrado en un mercado alcista frenético. GoPlus, líder en seguridad de usuarios, ha descubierto que están surgiendo innumerables estafas que explotan las inscripciones. Hemos recopilado cuatro casos típicos de ataques de inscripción (sitios web de phishing, inscripciones genuinas y falsas, información de Mint, fraude peligroso de información de Mint) y sus correspondientes contramedidas. Preste atención al realizar transacciones para evitar pérdidas financieras.

Primer tipo: sitios web de phishing

Caso: Un grupo fraudulento creó un sitio web (unisats.io) que es extremadamente similar a la plataforma de billetera oficial de Unisat y atraía a los usuarios a visitarla comprando palabras clave de búsqueda de Google. Esto llevó a que muchos usuarios transfirieran por error sus activos al sitio web de phishing, lo que provocó pérdidas de Ethereum y Bitcoin.

Contramedida:

1. Antes de acceder a cualquier plataforma, asegúrese de verificar el enlace a través de Twitter oficial o canales comunitarios para evitar visitar sitios web falsos.
2. Se recomienda utilizar algunos complementos de navegación segura como Scamsniffer para detectar la seguridad del sitio web.

Segundo tipo: inscripción genuina o falsa

Caso: En la plataforma de comercio de inscripciones, los usuarios se enfrentan al desafío de distinguir las inscripciones auténticas de las falsas. Estas plataformas suelen mostrar varias inscripciones con el mismo nombre, lo que dificulta a los usuarios diferenciar sus protocolos específicos. Los estafadores se aprovechan de esto añadiendo campos no válidos para falsificar inscripciones. Existen problemas similares en el mercado de NFT, donde los estafadores crean NFT falsificados grabando imágenes idénticas, con la única diferencia en los números de serie.

Ejemplo: https://evm.ink/tokens muestra que las inscripciones DOGI pueden parecer completamente idénticas, pero en realidad son significativamente diferentes.

Debido a que la plataforma solo captura campos específicos para mostrarlos en la interfaz, los estafadores pueden usar los siguientes métodos para falsificar inscripciones.

Las inscripciones NFT también tienen problemas relacionados. En el mercado inicial, es común encontrar NFT con los mismos atributos pero con diferentes números ordinales. Tomando como ejemplo la inscripción BTC NFT, una serie de Colección solo incluirá NFT de números ordinales específicos. Si no pertenece a ese conjunto de números ordinales, no pertenece a la serie. Por lo tanto, los estafadores suelen falsificar un determinado NFT de la misma serie para engañar a las transacciones. Para los usuarios resulta difícil distinguir si el número ordinal pertenece a la serie.

Contramedida:

1. Se recomienda elegir plataformas comerciales maduras para el comercio de inscripciones, ya que brindan mayor seguridad y pueden distinguir efectivamente entre inscripciones genuinas y falsas en la interfaz.
2. Antes de realizar una transacción, es importante confirmar y comparar varias veces si el formato y el protocolo de inscripción coinciden con la transacción deseada (en el cuarto tipo de trampa de inscripción, se explicará cómo ver los datos de inscripción en un explorador de blockchain para compararlos).

Tercer tipo: trampa de menta

Caso: En algunas cadenas públicas, los equipos de fraude se aprovechan de la psicología del miedo a perderse algo (FOMO) de los usuarios hacia nuevas inscripciones y crean contratos Mint fraudulentos. Estos contratos inducen a los usuarios a interactuar, haciéndoles creer erróneamente que han obtenido inscripciones. Sin embargo, en realidad, los usuarios reciben NFT sin valor y terminan pagando altos impuestos de compra durante el proceso de interacción. En un caso de la cadena Sui, un usuario grabó lo que parecía ser una inscripción legítima, pero en realidad recibió un NFT falso y pagó tokens SUI al estafador. En poco tiempo, el estafador recolectó más de 5000 tokens SUI.

如何应对:

1. Antes de participar en cualquier actividad de Mint, es esencial investigar a fondo y verificar la legalidad del contrato.
2. Al participar en proyectos Mint no verificados, preste especial atención a si el contrato tiene una estructura de tarifas irrazonable.
3. Analice cuidadosamente la información de las transacciones completadas en el explorador de blockchain correspondiente para identificar posibles problemas de seguridad.

Cuarto tipo: estafa de información peligrosa sobre Mint

Caso: GoPlus ha observado la circulación de información peligrosa de Mint en la comunidad de usuarios. Una vez que se publique esta información, muchos usuarios estarán ansiosos por utilizar la herramienta de secuencia de comandos de inscripción para copiar y pegar claves privadas e información de transacciones para operaciones por lotes. Estas operaciones pueden resultar en robo de activos. Los grupos fraudulentos inducen a los usuarios a realizar operaciones de inscripción mediante la construcción de campos JSON especiales y codificándolos como hexadecimal, lo que potencialmente resulta en la transferencia de los activos de los usuarios. Además, pueden establecer contratos Mint engañosos, lo que hace que los usuarios reciban tokens de inscripción falsos sin valor después de incurrir en altas tarifas de gasolina.

Usando esta imagen como ejemplo: la acuñación de inscripciones generales basadas en tokens generalmente se realiza mediante la rotación automática de la dirección y se agrega una cadena de contenido JSON para el protocolo del token en los datos de entrada para lograr el proceso de inscripción. Muchos usuarios, al realizar operaciones, utilizan el hexadecimal personalizado integrado de la billetera para escapar del contenido JSON del protocolo del token e ingresarlo como hexadecimal. Los usuarios normalmente pegan directamente la cadena hexadecimal del origen del mensaje, pero es probable que esta cadena sea una cadena maliciosa que se escapa de otro formato JSON.

Contramedida:

1. Para cualquier información de Mint publicada en la comunidad, se debe realizar una verificación exhaustiva. Evite el uso directo de herramientas de script no verificadas, especialmente cuando se trata de operaciones con claves privadas e información de transacciones crítica.
2. Obtenga siempre información de fuentes confiables.
3. Puede buscar transacciones exitosas en el explorador de blockchain y verificar si el hexadecimal coincide con el contenido del mensaje.

Usando la inscripción de Ton como ejemplo, comience examinando las direcciones con participaciones de alto rango (que representan a los primeros participantes) en https://tonano.io/ton20/ton.

Haga clic en una de las direcciones, cópiela y péguela en la interfaz del navegador en https://tonscan.org/address y verifique la información de transacción relevante para esa dirección.

La misma consulta del navegador se aplica a cadenas de bloques como Ethereum/Solana.

Verifique los datos de inscripción ingresados contenidos en el paquete "Mensaje" para ver si coinciden con los datos de inscripción ingresados por usted mismo.

Gracias por su interés en los artículos de la serie de seguridad de GoPlus. En este mundo de las criptomonedas que cambia rápidamente, la seguridad es una de las consideraciones más importantes. GoPlus se compromete a monitorear continuamente las tendencias de la industria y brindar protección integral para sus activos digitales. Si nos sigue, podrá mantenerse actualizado con las últimas actualizaciones de seguridad, alertas y mejores prácticas para ayudarlo a navegar de manera segura en esta área de oportunidades y desafíos.。

Acerca de la seguridad de GoPlus

GoPlus es el primer proveedor de servicios de datos de seguridad del cliente y respalda el motor de detección de riesgos con un máximo de más de 30 millones de llamadas cada día. GoPlus tiene el primer estándar de clasificación de riesgo de contratos de activos de código abierto y la biblioteca de muestras de ataques de contratos más grande del mundo, y se ha convertido en el servicio de monitoreo de seguridad de tokens y NFT con la mayor precisión de detección y la mayor capacidad de servicio en el mundo web3. GoPlus ha ofrecido un servicio de datos de seguridad de usuario sostenible a más de 200 socios, incluidos CoinmarketCap, Coingecko, Dextool, DexScreener, Ave, Opera Crypto browser, Safepal, Bitgit Wallet, Token Pocket, MetaMask Snaps y otros.

Descargo de responsabilidad:

1. Este artículo se reimprime de [medio]. Todos los derechos de autor pertenecen al autor original [GoPlus Security]. Si hay objeciones a esta reimpresión, comuníquese con el equipo de Gate Learn y ellos lo manejarán de inmediato.
2. Descargo de responsabilidad: los puntos de vista y opiniones expresados en este artículo son únicamente los del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas están a cargo del equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.