本期将通过解析貔貅盘骗局常见的套路,帮助用户识别相关风险。

作者:慢雾安全团队

封面:Photo by Markus Spiske on Unsplash

背景

在上一期 Web3 安全入门避坑指南中,我们分析了常见的假矿池骗局,本期我们将聚焦于貔貅盘骗局。传说中,貔貅是一种神奇的生物,据说吞入的财宝无法再从其体内取出。这一形象恰如其分地描述了貔貅盘骗局:用户投入资金后,价格迅速上涨,引发跟风购买,但最终发现自己无法卖出,资金被套牢。

本期内容包括用户陷入貔貅盘的原因,貔貅盘骗局的典型套路,以及相应的安全建议,希望可以帮助大家提高警惕,避免踩坑。

陷入貔貅盘的原因

我们先来看看用户陷入貔貅盘的几个常见原因:

仿盘

不单现实世界里有假币,虚拟货币也有假币。一些仿盘项目会复制知名项目的名称和标识,创建相同名称的代币合约。用户可能因为没有仔细检查代币的合约地址而误入貔貅盘,结果陷入无法卖出的困境。

图片

“赛跑” 心态

有些用户明知项目不可靠,甚至已经察觉其中的可疑之处(蜡烛图的柱体是接连的绿色),但抱有 “跑得快就没事” 的侥幸心理,实际上进去就基本出不来了。用户原本以为可以在上涨趋势中迅速买入,再择机卖出,那不是稳赚不赔的吗?但当他们试图卖出时,要么完全无法操作,要么只能卖出极少量的代币。

图片

受骗子诱导投资

还有一种常见的情况是用户被骗子的花言巧语所诱惑,继而投资了貔貅盘。某位貔貅盘骗局的受害者描述了自己的经历:“我当时在 Telegram 群组提了一个问题,有个人热心回答了我很多问题,也教了我很多东西,在我们私聊了两天之后,我觉得他人挺不错的。于是他提议带我去一级市场购买新代币,并在 PancakeSwap 上给我提供了一个币种的合约地址。我购买之后,这个币一直在猛涨,他告诉我这是半年一遇的黄金机会,建议我立即加大投资。我感觉事情没这么简单就没采纳他的建议,他就一直催我,一催我意识到可能被欺骗了,我便请群里的其他人帮忙查询,结果发现这确实是貔貅币,我也试过了只能买不能卖。当骗子发现我不再加仓时,他也将我拉黑。”

貔貅盘典型套路

图片

了解了用户常见的踩坑原因后,我们再看看貔貅盘骗子是怎么操纵骗局的。骗子首先部署一个带有陷阱的智能合约,然后通过社群营销、拉盘等操作抛出高利润的诱饵,吸引用户购入。有的骗子还把持有的代币发送给钱包和交易所,造成有很多人参与的假象,或是故意往加密 KOL 的地址转币,伪造名人买入的假象。

图片

用户购买貔貅币后,通常会看到代币快速升值,于是想等到代币的涨幅足够大了再尝试兑换,然而合约本身却用多种方式限制用户卖出:

将买家地址加入黑名单

一旦受害者购买了貔貅币,骗子就会把用户的地址拉入黑名单,限制卖出操作。我们以貔貅币 GROKAI 为例,看看骗子是如何把用户加入黑名单使得用户无法卖出代币的。

图片

GROKAI 部署者的地址是 0x2052C307a5e6d50F6a908a91fF7e605Eb0e0a2EC,骗子创建貔貅币 GROKAI 后,将 GROKAI 代币的 Router 更改为 Aontroller 合约地址 0x7a85810414C3311A45486b03ceCCD3a32590E61E,骗子为什么要这样做呢?

图片

我们查看 Aontroller 合约代码,结果发现合约所有者可以通过调用函数将地址列入黑名单,导致用户无法出售 GROKAI 代币。

图片
图片

更改地址内的代币数量

骗子还可以通过智能合约操控用户的代币余额,将用户的代币余额改为极低的数值,并仅记录在合约内部。这种操作不会在区块链浏览器上更新余额,意味着用户在区块链浏览器上仍能看到自己持有的代币,但是实际上无法出售超过合约记录数量的代币。

设置卖出门槛

部分貔貅盘允许用户出售代币,但设有卖出门槛,要求用户必须超过设定的代币数量才能交易。有时这个门槛设定得非常高,超出用户实际持有量,或附加高额的交易税。更狡猾的方式是动态调整门槛,例如,用户有 1000 枚代币,当用户尝试卖出时,最低门槛可能被设为 1200 枚。用户为了达到卖出条件会进一步买入貔貅币,但当用户的持有量达到 1200 枚时,门槛又提高到 1400 枚,如此循环,用户永远无法满足卖出条件。

图片

总结

本期我们分析了用户陷入貔貅盘的原因及貔貅盘的典型套路,希望帮助大家了解并识别此类骗局。为避免误入貔貅盘,用户可以采取以下措施:

  • 了解相关的虚拟货币信息并评估项目方背景,提高自我防范意识。警惕提供高回报的虚拟货币,超高的回报通常意味着更大的风险。
  • 使用 MistTrack 查看相关地址的风险情况,或通过 GoPlus 的 Token 安全检测工具识别貔貅币并进行交易决策。
  • 搜索代币时应搜索合约地址而非代币名称,避免落入仿盘陷阱。
  • 在 Etherscan、BscScan 等区块浏览器上检查代码是否经过了审计和验证,并参考社区评论。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。