千万不要只被所谓的“高回报”冲昏头脑,往往承诺“零风险”和“保底收益”的项目,背后都暗藏风险。安全永远比高收益重要,这是我们在DeFi质押中最应该铭记的一点。
本文Hash (SHA1):14f211363c25423b3eb2472ade8865dc95a14513编号: 链源科技 PandaLY Anti-Fraud GuideNo.001相信关注我们链源科技的朋友们,想必对DeFi已有一定了解。确实,在某些情况下,参与DeFi平台的质押,尤其是常见的USDT质押,的确可以带来丰厚的收益。然而,伴随机遇而来的,还有各种层出不穷的骗局。许多不法分子利用投资者对区块链技术和项目细节的了解不足,设计出一系列圈套。常见的手法是打着“比xxx平台更高收益率”的旗号,吸引你去不知名的DeFi平台进行质押投资,而这些平台往往以远超传统DeFi平台或交易所的回报率为诱饵。当他们骗取到足够的资金后,便卷款逃跑,令投资者血本无归。 为了帮助大家避免此类骗局的侵害,今天我们将结合最近发生的一个典型DeFi骗局案例,深入剖析其中的套路和操作手段。同时,我们还将为大家提供一些实用的防范技巧,帮助你在参与DeFi项目时更好地识别潜在风险,保护自己的资产安全。什么是DeFi质押?DeFi质押(Staking)是去中心化金融(DeFi)领域中的一种常见方式,用户可以将他们的加密资产锁定在智能合约中,参与网络的运行维护或提供流动性,并获得相应的回报。这个过程类似于银行定期存款,用户将资产暂时锁定,换取利息或其他奖励。 DeFi质押通常有以下几种形式: 权益质押(Proof of Stake,PoS):在一些基于PoS机制的区块链网络中,用户可以质押一定数量的加密货币来参与区块的验证和网络维护。质押的数量越多,获得验证机会的几率就越大,用户也可以从中获取一定比例的区块奖励。 流动性挖矿: 用户将自己的加密资产存入去中心化交易所或流动性池,提供资产的流动性,促进交易的顺利进行。作为回报,用户可以获得一定比例的手续费收入或平台的原生代币奖励。 借贷质押: 用户可以将加密资产质押到去中心化借贷平台,作为抵押借出另一种资产,同时赚取质押的利息。这个过程中,用户的质押资产依然会产生收益,但他们可以利用借出的资金进行其他操作。 目前来说,流动性挖矿是最常见的DeFi项目,所以今天我们主要来讲讲流动性挖矿。 流动性挖矿骗局近日,我们碰到了一位热心用户向我们举报了一个叫做ve.finance的DeFi网站,举报用户原话如下:I am a victim of the ve.finance scam. The contract address of VE ishttps://etherscan.io/address/0xdaef06a5fbf22cc67e521f937ab2a8e687558d74#codeand has been successfully marked as a scam. But I discovered that they have opened a new website:https://ethnano.com/,the contract address is:https://etherscan.io/address/0xb53653f74c9ba313f764e7404bfeffab3500d25c. Their website design, the API used, and the CODE of the contract are all exactly the same. I still haven’t seen any scam tags. I hope this will reduce the number of victims joining the scam. 言简意骇的说,就是用户碰到了一个打折扣质押名号的骗子网站,这个网站不通过各类授权去进行钓鱼,而是通过在质押所用到的智能合约给用户下绊子,并且网页通过经常更换域名,使得受害者被骗后可能无法找到之前的网站。当我们顺着用户给出的网址打开页面时,MetaMask直接阻止了我们打开网站,并弹出该网站为高危网站的警告,但是我们是谁?我们可是无视风险继续安装的狠人。点开继续访问该网站,便来到了下图的质押骗局网站界面。别说,这个界面做的有模有样的,还真挺像那么一回事。我们点开了用户举报的第一个智能合约地址0xdaef06a5fbf22cc67e521f937ab2a8e687558d74 进行分析,发现这个可恶的骗子在智能合约中设置了超级用户的账户地址。并且设置了一个函数:function adminSendEth(address payable destination, uint amount) public onlyAdmin {destination. transfer (amount);}这个函数是什么意思味着,首先函数名就已经光明正大的命名为了adminSendEth,意思是这个就只有我这个超级用户可以发送该函数,接着我们把注意力转移到onlyAdmin上,这个修饰词的意思是,只有我-超级用户,也就是骗子设置的超级用户账户可以调用这个函数。那函数里是什么意思味着,很简单,就是直接转账我指定的余额“amount”到我指定的账户地址“address”中。 当用户通过这个智能合约质押后,骗子就可以直接将质押在智能合约地址的钱转走,当用户去查看智能合约后发现智能合约的账户没钱了,才后知后觉发现自己被骗了。 接着我们再点开这位热心用户提供的另外一个合约:0xb53653f74c9ba313f764e7404bfeffab3500d25c这个合约和上个合约不同的是,它里面有一个函数,名为Exchange,函数具体实现代码如下: function Exchange(address user) external onlyOwner {require(!_blacklisted[user],