作者丨Tolu Ajetunmobi

譯者丨朱先忠

審校丨Noe

　　去中心化金融(Decentralized Finance，簡稱DeFi)是個快速增長、頗具潛力的發(fā)展領域，但它仍處于成熟的早期。巨大的誘惑很容易扭曲投資者的預期，并吸引了大量投機者、欺詐者、黑客等等。

　　從黑客攻擊到協議之間的意外循環(huán)反饋，使DeFi服務如此強大的靈活性、可編程性和可組合性也暴露了新的風險。隨著主流使用量的增長，監(jiān)管方面的顧慮將日益突出。了解DeFi領域的常見騙局和應對策略，有助于你在暗流洶涌的數字資產世界里全身而退。

什么是加密欺詐？

　　加密欺詐通常是指惡意方案，旨在搶劫加密用戶的資產。加密騙局可以像贈品一樣簡單，也可以像拉地毯騙局（DeFi-rug-pulls）一樣復雜。

　　根據Chainanalysis 2021的加密犯罪報告，2021年非法錢包地址收到了高達140億美元的收入。這比2021年的78億美元增長了近80%。

　　大多數情況下，加密騙子的目標是訪問用戶的私人信息，或誘騙他們將加密資產發(fā)送到受損的數字錢包中。

　　加密欺詐的問題在于，由于區(qū)塊鏈技術的隱私和分散性，被盜資金通常無法追蹤。

DeFi欺詐

　　DeFi騙局是專門為DeFi空間精心設計的方案。與其他加密領域一樣，DeFi也容易受到欺詐和犯罪的影響。在過去的一年中，該領域的欺詐行為大幅增長。

　　但是，這種增長也引起了騙子和惡意行為者的注意。區(qū)塊鏈分析公司Elicipation的一份報告稱，在2021年1月至11月間，DeFi欺詐損失超過100億美元。

　　主要原因是，由于完全的權力下放，維持治安面臨更大的挑戰(zhàn)。由于用戶控制著他們自己的資產，因此沒有監(jiān)管機構來執(zhí)行和防止欺詐。此外，DeFi領域的快速增長吸引了包括惡意行為者在內的各種人的注意。

　　例如，閃電貸(Flash Loan)——一種無抵押的即時借款——已成為欺詐的主要領域。惡意行為人使用智能合約欺騙貸款人貸款已經償還。

　　然而，這并沒有掩蓋DeFi的眾多好處。用戶只有更加小心，才能避免落入騙局。

DeFi騙局的類型

　　DeFi詐騙可大致分為兩類：

　　涉及將用戶資產直接轉移到騙子的加密錢包的詐騙。這可能是由于冒充或欺詐性投資，如拉地毯騙局。

　　涉及惡意參與者訪問用戶錢包或私鑰等安全信息的騙局。有時，這可能是竊取用戶的物理錢包，即冷錢包。然后，惡意參與者將加密資產轉移到另一個錢包。

社會工程騙局

　　DeFi社會工程騙局與普通互聯網社會工程騙案一樣。在這種情況下，騙子利用心理操縱，如模仿和欺騙，從用戶那里獲取重要信息。

　　大多數情況下，用戶被操縱，以為他們在與技術支持、商業(yè)機構、社區(qū)成員等值得信賴的組織或人打交道。詐騙者可以與受害者建立長期的關系，以獲得受害者的信任，避免懷疑。

　　在惡意行為人獲得受害者的信任后，他們試圖讓受害者透露他們的私人信息或將錢匯到騙子的錢包。社會工程騙局的例子包括浪漫騙局、敲詐、勒索等等。

投資或商業(yè)機會騙局

　　惡意行為者引誘毫無戒心的加密貨幣持有者進行虛假投資。他們通過提供有保證的回報和夸張的投資回報率來實現這一點。

　　一旦用戶將資產發(fā)送到平臺，他們發(fā)現無法從投資或商業(yè)機會中獲得資金。在大多數情況下，這些虛假投資的承諾總是被虛假的承諾夸大。

　　俗話說：

　　“如果這聽起來太好了，簡直不像真的，那么很可能這就不是真的?！?/p>

　　如果你計劃參與任何加密投資或商業(yè)機會，請千萬記住這一點。

常見的DeFi騙局以及識別方法

DeFi拉地毯騙局（Rug Pull）

　　拉地毯騙局是目前最常見的DeFi騙局之一。在這些精心策劃的騙局中，惡意開發(fā)人員推銷看起來令人興奮的和具有巨大潛力的革命性項目。他們在社交媒體平臺和加密社區(qū)獲得了大量關注和炒作。

　　當他們收集到足夠的錢——幾十萬美元，有時是數百萬美元——他們就簡單地賣掉代幣，然后帶著錢消失。這些惡意開發(fā)人員從一開始就從未打算構建什么項目。

　　有時，這些開發(fā)人員在項目的智能合同中設置后門，允許他們退出項目。這使得投資者無法出售。投資者突然之間就剩下了毫無價值的代幣，項目也停止了，因此被稱為“拉地毯”。

　　2021，魷魚游戲幣（SQUID）騙局之后，“拉地毯”（Rug Pulls）受到了廣泛關注。11月，模因幣SQUID被創(chuàng)建，并以流行的韓國NetFlix系列《魷魚游戲》命名。SQUID開始以1美分的價格銷售，之后在惡意開發(fā)商崩潰之前，價格飆升至90美元以上。

　　惡意開發(fā)商進行拉地毯的另一種方式是通過流動性儲備資金（Liquidity pools）。這些開發(fā)者在DEX（去中心化交易所）上創(chuàng)建新的代幣，并將其與比特幣或以太坊等大型加密貨幣配對。

　　這些惡意開發(fā)商讓投資者將兩種代幣存入流動性池（即新代幣和比特幣）。此外，為了獲得新代幣，投資者必須將比特幣換成新代幣。

　　然后，騙子會耗盡BIG幣的流動性儲備資金（在這種情況下一般指比特幣），將代幣的價格降至零，給投資者留下一文不值的代幣。

　　如何識別拉地毯騙局？

　　如果你注意的話，會發(fā)現拉地毯騙局是最容易識別的騙局之一。這里有一些你應該注意的關鍵特征：

　　團隊信譽度低或沒有什么信譽度：在大多數情況下，你在網上找不到關于創(chuàng)始團隊的任何信息。還有一些情況下，團隊看起來就可疑。

　　含糊不清的白皮書：一個重要的危險信號是，白皮書上沒有明確指出項目的具體內容。如果白皮書不能準確說明預期結果，這將是一個巨大的危險信號。

　　不切實際的預測：就像騙局投資或商業(yè)交易一樣，如果項目回報聽起來太好而不真實，那么可能就不真實。

　　過度營銷和推廣：雖然并非所有過度促銷的DeFi項目都是騙局，但如果你注意到過度營銷策略知識，則應謹慎行事。這是因為不太可信的開發(fā)者和創(chuàng)始人往往會在促銷上過度補償。因此，在投資之前需先做研究。

　　少數代幣持有人或僅在一個DEX（去中心化交易所）上市：投資前，確保你使用區(qū)塊瀏覽器工具（如Etherscan）驗證代幣持有人的數量。對Coingecko或Coin市值進行簡單、快速的搜索，將顯示有關該代幣或項目的更多信息。檢查代幣是否在熱門交易所上市，以及代幣持有人的數量。如果你的結果不令人滿意，這可能是一個重要的危險信號。

　　查看社交媒體：在Reddit、Twitter和Telegram上查看該項目。其他用戶或開發(fā)人員對項目有什么看法？你可能很快從你搜索到的評論中發(fā)現其他危險信號。

炒高再拋售（Pump and Dump）騙局

　　在股票市場上，炒高再拋售是一種古老的騙局策略，用來迅速提高無價值資產的價格，通常是一只廉價股票。當價格上漲時，經紀人出售資產，拋售資產價格并獲利。

　　在炒高再拋售加密騙局中，無價值資產（有時是模因幣）的價格通過精心策劃的營銷而膨脹。

　　創(chuàng)始人/騙子可能使用不同的營銷技巧，包括社交媒體帖子、聯名簽名、影響者和虛假/誤導性陳述。圍繞這些幣種的炒作是將其定位為熱門購買，并在投資者中引起FOMO（擔心錯過：Fear of Missing Out）。

　　“隨著價格上漲，炒高的創(chuàng)造者將他們的資產拋售到他們所生成的FOMO中，導致價格崩潰，使得新買家持有大量資產，但這些資產現在的價值低于購買時的價值，從而造成了重大且往往無法收回的損失?！?/p>

　　CTFC（The Commodities Futures Trading Commission：商品期貨交易委員會）于2018年發(fā)布了其第一份“炒高再拋售虛擬貨幣客戶保護咨詢聲明”。

　　根據聲明：

　　“客戶應該知道，這些欺詐已經演變并在網絡上普遍存在。即使是經驗豐富的投資者也可能成為專業(yè)欺詐者的目標，他們擅長利用看似可信的信息進行欺騙?！?/p>

　　如何確定炒高再拋售騙局

　　炒高再拋售騙局通常利用快速吸引投資者投資；其實，這一切都是即時炒作。所以，在你投資之前，這里有一些快速提示，幫助你發(fā)現炒高再拋售幣類騙局。

　　這類代幣的用途是什么？大多數情況下，炒高再拋售幣都是模因幣——這些代幣背后沒有具體的使用實例。炒高再拋售騙局組織者只是利用社交媒體的炒作。

　　避免僅僅基于社交媒體炒作而購買。不要根據謠言和影響者的話投資或購買這類代幣。盡量做你自己的研究并核實謠言。

　　根據CFTC：

　　“客戶應避免購買基于社交媒體上分享提示的虛擬貨幣或代幣。這些計劃的組織者通常會散布謠言，敦促立即購買。

　　受害者通常會對貨幣或代幣價格上漲做出反應，而不會核實謠言。然后開始轉儲。

　　價格下跌，受害者只剩下價值遠低于預期的貨幣或代幣。從頭到尾，這些騙局可以在短短幾分鐘內結束?！?/p>

網絡釣魚

　　加密網絡釣魚騙局是以前的互聯網網絡釣魚騙術的一種變體——惡意參與者假裝是合法的公司或網站，從受害者那里收集個人信息。

　　加密世界中的釣魚者對獲取用戶的加密錢包私鑰非常感興趣。然后，騙子使用密鑰訪問錢包中的資金并將資產發(fā)送出去。

　　以下是騙子對加密用戶進行網絡釣魚的常見方式：

　　網絡釣魚電子郵件

　　DeFi網絡釣魚可以通過電子郵件進行；壞人假裝是交易平臺或DeFi協議。

　　電子郵件通知用戶他們的帳戶已被泄露，要解決這個問題，他們需要這些用戶的錢包地址和密碼。在某些情況下，騙子要求用戶為其錢包安全發(fā)送資金。

　　在某些情況下，網絡釣魚電子郵件可能鏈接到需要用戶輸入其錢包詳細信息的虛假網站。在這樣的網站上輸入你的錢包詳細信息會導致騙子獲取你的私人信息。

　　網站釣魚

　　騙子“釣取”你的私人信息的另一種方式是通過Metamask等分散加密錢包。

　　當你使用Metamask與Web 3.0或分布式應用程序交互時，你是匿名的。然而，網站將顯示你擁有加密錢包；這足以讓騙子發(fā)起網絡釣魚攻擊。

　　被鎖定的Metamask錢包相應的公共地址是隱藏的，騙子無法查看任何錢包歷史記錄。但是，惡意參與者有幾種策略可以讓你解鎖錢包。

　　一個例子是：騙子向錢包發(fā)送一個虛假的傳入交易警報或虛假的Metamask彈出窗口，讓你解鎖錢包。在某些情況下，他們只是等待用戶解鎖錢包。

　　解鎖的Metamask錢包將在你打開的所有網頁上顯示你的公共地址；如果在帳戶之間切換，也會顯示該帳戶的地址。通過公共地址，騙子可以查看加密錢包的余額和你的金融交易歷史記錄。

　　利用交易歷史記錄，騙子就可以創(chuàng)建虛假交易警報，從而：

　　聲明上一個傳出事務失敗，并要求你的身份驗證密鑰重試。

　　要求你簽署新的傳入（虛假交易），從而使得騙子可以利用對這些用戶信息的訪問。

　　另一種方法是向你發(fā)送有關你的交易的另一個Metamask彈出窗口，其中包含正確的詳細信息，但最后一個交易除外——它報告為失敗。于是，提示用戶重試前一交易。

　　除目的地錢包地址外，所有信息都正確。騙子更改有關地址；如果更改成功，用戶會在不知不覺中把自己的密碼發(fā)送給釣魚者設定的地址。

　　假谷歌廣告

　　當用戶搜索某個特定項目時，騙子還可以貼出一個虛假的谷歌廣告來搶占第一個位置。點擊該廣告的用戶會被引導到騙子的錯誤網站。

　　如何發(fā)現網絡釣魚攻擊

　　不要點擊可疑鏈接

　　網絡釣魚攻擊的中心是受害者在虛假網站上輸入他們的詳細信息。確保你始終檢查你的電子郵件和聯系地址。大多數情況下，網絡釣魚電子郵件聯系人地址充滿了隨機字符。

　　不要鏈接或跟蹤可疑電子郵件地址的任何鏈接。此外，正常的網絡交換或協議不會通過電子郵件要求你輸入私鑰。

　　在網上要小心

　　始終仔細檢查以確保你處于正確的網站上。克隆網站通常使用原始網站地址的變體，如更改域或添加/刪除域中的某個字母。

　　例如不是使用域名Metamask.io，克隆地址可以使用Metamask.com或者Metamaskk.io。

　　為避免成為受害者，請始終仔細檢查網站URL。此外，請確保URL具有安全證書（HTTPS://nothttp）。你可以選擇手動導航網站，而不是跟隨來自其他來源的鏈接。

錢包除塵（Wallet Dusting）

　　錢包除塵，或簡稱“除塵”，是一種針對熱門錢包的復雜騙局策略。這在去中心化錢包中尤其常見，如Metamask或Trust Wallet。在除塵騙局中，騙子們會將少量不知名的代幣放入你的錢包。

　　除塵詐騙通常涉及數萬個錢包。騙子主要使用除塵騙局，從而實現：

　　識別持有大量加密貨幣的個人。此時，他們發(fā)送到錢包的代幣便起到了跟蹤器作用。

　　一旦你出售或交易這些代幣，騙子就可以開始追蹤區(qū)塊鏈上的交易，直到你持有其他代幣的錢包。如果他們能夠成功識別錢包，他們就可以開始有針對性的網絡釣魚攻擊來破解錢包。

　　如何避免除塵騙局

　　如果你不確定代幣的來源，請避免交易這些代幣，尤其是在交易量較小的情況下。

蜜罐技術

　　蜜罐騙局與炒高再拋售騙局非常相似。不同的是：在這種情況下，只有開發(fā)商可以出售他們的股份。

　　創(chuàng)始人通過高價格預測和營銷吸引投資者投資他們的項目。隨著越來越多的人投資，資產的價格會無限上漲。

　　當投資者決定移除他們的利潤時，問題就開始了，你會收到一條錯誤消息，如“由于未定義的錯誤，交易無法成功；這可能是由于你交換的某個代幣出現問題。”

　　騙子已經在智能合約中插入了一行代碼，使投資者無法出售其持有的股票。

　　如何發(fā)現蜜罐騙局

　　就像發(fā)現蜜罐騙局與炒高再拋售騙局一樣，在投資任何DeFi項目之前，確保你做了詳盡的調查。

云挖掘騙局

　　在這種投資計劃中，欺詐平臺說服投資者和零售買家投入前期資金，以確保持續(xù)的采礦權。

　　云采礦公司允許你租用采礦硬件，他們將以固定的首付進行運營。作為回報，投資者將獲得部分收入。這樣，投資者無需購買昂貴的硬件即可遠程采礦。

　　云采礦騙局公司的問題在于，這些平臺并不擁有他們所說的散列率。因此，投資者將失去他們的資本，并且無法從首期付款中獲得任何回報。

NFT騙局

　　NFT（全稱為“Non-Fungible Token”，指非同質化通證）詐騙有多種方式，包括拉地毯、網絡釣魚、錢包除塵、假冒NFT和競價詐騙。以下是常見的NFT騙局：

　　NFT拉地毯：作為騙子的創(chuàng)造者停止支持NFT，并在價格上漲后拿走投資者的錢。因此，NFT轉儲和值幾乎降至零。

　　網絡釣魚攻擊：黑客試圖獲取你的私鑰以入侵NFT集合。一個常見的變體是錢包除塵；黑客向你的錢包發(fā)送了一個假的NFT空投。與你錢包中的NFT通信可以讓他們進入你的錢包。

　　假冒NFT：在這種情況下，騙子竊取藝術家/創(chuàng)作者的作品，并在另一個NFT市場上打開假冒NFT。如果不小心，毫無戒心的買家會購買假冒的NFT。你應該始終確保你從原始藝術家那里購買，以避免這種情況。

　　炒高再拋售：當一群人人為抬高某些NFT的價值時，就會發(fā)生這種情況，誘騙用戶認為它們是有價值的。一旦出價上漲，詐騙者就會拋售NFT，導致投資者虧損。

　　競價欺詐：競價欺詐發(fā)生在競價者將你的首選貨幣轉換為較低價值的貨幣時，而你沒有察覺到。當投資者希望在二級市場出售其非金融票據時，就會發(fā)生這種情況。

空投（Airdrop）騙局

　　空投是DeFi協議向社區(qū)成員分發(fā)免費代幣的方式之一。一些協議使用空投來提高對新項目的認識。

　　用戶被要求執(zhí)行一些簡單的任務，比如在推特上發(fā)布項目或加入社區(qū)。之后，他們得到空投獎勵。

　　然而，并非所有的加密錢包空投都是真實的。在某些情況下，這是黑客訪問你錢包的一種方式。

　　騙子欺騙人們，讓他們以為他們在一個可疑的項目/網站后收到了價值數千美元的空投。但是，空投只能通過將你的錢包連接到該網站來兌換。

　　棘手的是空投沒有流動性。如果你將錢包連接到該網站，則會讓惡意智能合約訪問你的錢包。于是，騙子可以侵入你的錢包并提取你的資產。

　　如何防止空投詐騙

　　空投詐騙完全取決于你將錢包連接到惡意智能合約。因此，如果你不確定空投的來源，請不要贖回空投。

ICO騙局

　　ICO，全稱是“Initial Coin Offering（首次代幣發(fā)行）”，是加密項目為其新項目籌集資金的不受監(jiān)管的手段?；鞠敕ㄊ?，創(chuàng)始人以較低的價格向投資者出售一些代幣。

　　投資者通常在項目啟動的懸崖期（cliff period）獲得代幣股票。

　　在ICO騙局中，投資者不會在懸崖盡頭獲得任何代幣份額，因為該項目是騙局。這些開發(fā)商可以不遺余力地讓項目“合法”，包括投資高水平營銷和偽造法律文件。

社交媒體騙局

　　浪漫騙局（殺豬）

　　浪漫騙局通常始于在線約會網站；騙子使用有吸引力的個人資料圖片（鯰魚）引誘受害者（豬）。

　　騙子通過在線消息與受害者建立關系。當受害者接近并信任他們時，騙子會告訴他們加密貨幣投資和他們獲得的巨大收益。

　　之后，他們讓受害者跟進一些虛假投資。他們說服受害者將大量加密資產發(fā)送到騙局錢包。

　　騙子和贈品騙局

　　騙局賬戶在加密空間中冒充名人和影響者。然后，這些冒名頂替者就一個新項目或贈品向冒名頂替者或毫無戒心的受害者伸出援手。然后，他們要求人們在獲得這些贈品之前發(fā)送一些加密資產。

　　例如，在2020年9月至2021年4月間，有報道稱Twitter上有超過200萬美元轉移給了Elon Musk的模仿者。根據聯邦貿易委員會的數據，所有類型的冒名頂替騙局中有14%是加密貨幣。

結論

　　我在本文中介紹了當前主流的DeFi騙局，但這還不是全部。惡意參與者總是想出新的方法來騙取投資者的加密資產。

　　總之，為了避免成為受害者，你需要小心你的在線活動。不要跟蹤任何可疑鏈接，并確保在同意之前驗證所有交易。

　　原文鏈接：https://hackernoon.com/10-common-defi-scams-and-how-to-avoid-them

譯者簡介

朱先忠，51CTO社區(qū)編輯，51CTO專家博客、講師，濰坊一所高校計算機教師，自由編程界老兵一枚。