连锁经营必要的防坑指南

区块链技术是当今时代最重要的创新之一，这使得去中心化成为可能。链上每个人对自己的资产都有绝对的控制权，外界不能干预和操作。

这种权利伴随着责任，这意味着用户需要对自己资产的安全承担100%的责任。他们需要特别注意私钥的存储和日常操作。一旦私钥或助记符被盗，所有资产都将面临被盗的风险。虽然许多项目方（如tETHer）理论上可以控制链上的资产，并通过智能合约追回被盗资产，但通常只有在黑客蓄意攻击并造成大量损失时，他们才会给予帮助，由于个人过失造成的资产损失，很难得到项目方的帮助。

可以预见，未来将有越来越多的交易活动转移到连锁企业。遗憾的是，这一链条上仍有大量骗局，出现了许多新形式。不少读者向“链家捕手”反映，自己遭遇了链家诈骗，损失了数万元，但无法挽回。为了帮助更多加密行业的新进入者了解一些行业知识，避免踩坑，链捕器在本文中总结了一些常见的欺骗手法，具体如下：

顾宇著

1、 假币诈骗

案例：小明的项目正在进行IDO。在电报组，她看到有人公布了代币智能合约的地址。在Uniswap中输入地址后，小明发现可以交易，并有价值数十万元的流动资金。后来她买了一台ETH，但当她涨了两倍多准备卖的时候，她发现系统提示不能卖，等于零。

分析：这是一起假币诈骗案。一些诈骗集团会分批发行货币，并以备受关注的货币为名称，建立Uniswap交易池，注入一定的流动性，意图将用户误导为真实货币，然后在一些社交媒体渠道传播智能合约地址。

然而，这种代币的智能合约代码实际上规定，只有发行人才允许出售代币，其他用户只能购买，不能出售。如果用户在社交媒体上看到这个地址并相信它，他们只能坐视它上升，最终归零。

据链捕员观察，Uniswap上的假币大多是由特定的诈骗集团发行的，每个代币发行人的地址都可以通过转账记录关联起来。在过去的两个月里，至少发行了70种假币，获利至少4000 ETH。

在具体方法上，他们还会将一些假币转移到标有币安、vshen和0x-b1的地址，以引起这些地址的跟帖者的注意；每次发行活动的周期约为3-5天。首先，在Uniswap中添加数百个ETH的流动性，在几个买家之后提取所有流动性，然后将所有ETH转移到一个新地址重新发行新货币，新货币将不时通过Tornado.cash 转移资金。

更具误导性的是，这些诈骗集团还制造了一些巨鲸购买这些货币的假象。如下图所示，该地址被普遍认为为孙雨辰所有，拥有数十亿美元资产。在十多天的时间里，以太扫描显示，它的地址从Uniswap购买了几种新货币。

一些巨鲸地址追踪者看到这些记录后可能会“跟进”。不过，如果他们点击具体的交易记录，可以看到交易并不是由地址所有人发起的，而是由假币发行人的地址发起的，发行人使用智能合约直接从Uniswap购买，并将孙玉臣的地址设置为收货地址。

除了孙雨辰的地址，以太扫描显示的许多以太地址都是相似的。

因此，在Uniswap交易时，必须使用正式公布的合约地址或Uniswap推荐列表中的货币。如果在其他渠道看到智能合约地址，要提高警惕，否则可能造成很大损失。

2、 假应用骗局

案例一：小倪换新手机时，看到一个微信群用户显示为imtoken工作人员，发布了一张带有应用下载链接的快讯图片。就在新手机还没有下载imtoken时，他扫描了下载应用程序的代码，输入了私钥，并将其导入钱包。然而，他很快发现，自己住址的资产全部转出，导致损失近2万元。

案例二：据《华盛顿邮报》报道，本月初，当两名用户在苹果应用商店搜索加密硬件钱包特雷兹诺的名字时，出现了一个应用程序，该应用程序使用了与真实特雷兹诺非常相似的徽标和颜色。尽管当时treznor没有推出手机应用，但他们误以为treznor确实推出了手机版，于是下载并导入了私钥，最终分别被盗走了价值17.1比特币和14000美元的ETH。

分析：私钥和助记词意味着对钱包资产的绝对控制。因此，很多骗子都在试图获取用户的私钥，而假冒官方应用是最常见的手段。这类假冒应用伪造为官方快车诱使用户下载，或付费搜索引擎将假冒网站排名靠前，或在苹果/安卓官方应用商店上线，都会高度模仿官方网站和图片信息。一旦用户下载应用程序并导入助记符，钱包资产将立即转移。

因此，在下载钱包和交换应用程序时，切记从官方渠道下载，并检查网站域名等信息是否正确。

3、 假客服骗局

案例：小湛在使用DAPP产品时遇到问题，于是他去电报集团询问这位官员，然后一位著名用户私下聊起了他的询问，并告诉他可以私下聊天。一位官员解决了这个问题，把账号名发给了小占，小占直接点击账号名进入私人聊天界面。

这位官员热情地问小占怎么了，说是因为项目数据库出了问题，正在解决。不过，为了避免出错，有必要重新设置账户，并询问小占该用什么钱包。然后他给了一个链接，让小占在钱包里输入一个助记词，以便进一步操作，但目前，出于警惕，小占没有采取下一步措施，避免助记词外泄。

分析：如今，几乎所有主要社区，如微信和电报，都有伪装成官方客服的账户。它们通过各种手段骗取用户的信任，将话题尽可能引至钱包，诱导用户输入助记符或私钥。一旦用户输入，所有的资产将迅速转移。

因此，当你在各个社区寻求帮助时，你必须确认对方的身份。如果您不确定身份，可以在群中发送一个屏幕截图，并请其他活动用户帮助您确定身份。通常，官方工作人员不会主动与用户聊天并让用户输入私钥，而是让用户在群聊中主动聊天。

4、 空投诈骗

案例：小西看到有人在微信群发布某知名项目的空投信息。只要她在telegraph集团完成几个特定的社交媒体任务，她就可以得到数百美元的象征性奖励。小希按照电报机器人的提示完成了所有任务，但随后机器人提示她需要寄少量代币到合同地址领取空投代币，考虑到费用低廉，小希没有收到空投代币，却白白损失了十余元。

分析：确实存在大量基于社交媒体任务的代币空投，这容易降低用户的警惕性。但也有不少骗子会利用用户松懈的心理实施欺骗，利用空投诱使用户通过智能合约赚钱。虽然单笔金额通常很小，但仍然相当可观。

目前，还没有真正的空投活动需要用户在外部钱包地址键入货币才能获得。我们应该直接忽略需要转移资金的空投活动。

5、 注意事项

除了上述故意实施欺诈行为需要防范外，连锁经营还面临着许多潜在操作失误带来的安全风险，主要表现在：

一是避免对DAPP过度授权，定期清理授权。当用户第一次与DAPP进行交互时，他们需要获得授权，但存在安全隐患。如果以后DAPP受到攻击，他们可以直接使用自己的权限窃取用户资产。因此，我们需要定期清理很少使用的DAPP权限或设置代币传输的上限。

其次，尽量避免使用未经证券公司审计的dapp，尤其是那些声称apy高的dapp，其安全风险可能导致巨额本金损失。

第三，需要再次强调的是，地址的私钥和助记符应存储在未连接互联网的硬件或笔记本上，私钥和助记符不应向任何第三方披露。这是所有安全措施中最重要的一点。

区块链技术衍生出的巨大想象空间，以及更大规模的应用，都依赖于更多的用户在链上拥有更高的操作素养和知识，以免使链成为诈骗猖獗的地方，造成大量用户无缘无故遭受巨大损失。因此，上述科普教育的意义尤为突出。