前言:本文作者为比特币钱包ZenGo团队。他们在计划为钱包添加二维码功能的过程中发现网络上很多二维码生成网站都存在问题,用户在使用这些网站生成的二维码时会造成丢币的情况。因此ZenGo团队分析了一些常见的欺诈方式,希望为用户提个醒。
不久后,我们将为ZenGo钱包添加二维码功能。为此,我们对二维码进行了深入研究。
和往常一样,我们还研究了这个功能的安全性,并发现了一些与QR相关的欺诈活动。我们想了解这是否属于普遍现象,令人惊讶的是,当我们在谷歌进行查询时,前5个结果中有4个都导向欺诈网站。
这些网站在生成二维码之后会内置一个由欺诈者控制的地址,而不是用户设置的地址,从而将所有通过这个二维码的资金流向欺诈者。
Bakkt第二季度收入增至3.48亿美元,净亏损5050万美元:金色财经报道,总部位于纽约市的数字资产平台Bakkt报告称,今年第二季度其收入增至3.48 亿美元,较 2022 年同一季度的1400万美元大幅跃升。该公司表示其盈利数据包括 Bakkt在 4 月份收购 Apex Crypto 的交易,公司在收益声明中表示,这一收入反映了“Apex Crypto 交易活动推动的加密服务总收入大幅增长” 。
Bakkt 报告二季度净亏损 5,050 万美元,较去年第二季度的 2,760 万美元亏损有所扩大。
Bakkt第二季度交易量下降 51% 至 5.31 亿美元。此外,该公司的交易账户数量同比下降了20%,Bakkt将当前加密市场的“放缓”视为交易量下降的原因。Bakkt 表示,由于某些加密货币的价值上涨,该公司托管资产增加了3%,达到6.6亿美元。[2023/8/11 16:19:17]
为了保护用户资金安全,我们与几家威胁情报供应商分享了我们研究所得的技术细节。
Terraform Labs将100枚CVX转至新地址,仍持有870万美元的CVX:5月9日消息,链上数据显示,TerraformLabs地址刚刚将100枚CVX发送到一个新钱包,它仍然持有价值870万美元的CVX。[2023/5/9 14:51:23]
币圈的二维码
根据cryptocurrencyfacts.com:二维码是在两台设备之间传输加密货币时共享地址的一种简单、快速和安全的方式。这在面对面的pos交易中特别有用,因为复制粘贴地址不太现实,而且这种方式避免了手工输入复杂地址的风险。
收款方需要展示选定加密货币地址的二维码。无论是通过商业软件还是钱包app,生成二维码的过程是由软件完成的。
机构前瞻:美国核心CPI将不会显示通胀出现下行:8月8日消息,预测机构普遍认为,美国本月通胀率将从9.1%的水平放缓,但2023年的物价下降速度还存在很多不确定性。机构对美国明年第二季度CPI涨幅的预测介于1.8%-7.7%之间,但这对美联储起不到安慰作用——工资增长太快,生产率落后于工资涨幅。鉴于第二季度生产率增长可能再次为负,加上强劲的非农就业报告显示,过去三个月工资增长再次加速,潜在通胀率可能在4%左右。即使明年整体通胀率下降,核心CPI可能会在未来几个月回升,并将保持在回升后的水平附近。因此,美联储需要采取更多措施来给工资增长降温。(金十)[2022/8/8 12:09:12]
发送方需要扫描收款方的二维码。具体的过程是,他们需要打开存有特定加密货币的钱包app,输入发送金额,点击二维码选项,扫描收款方的二维码来获取地址,确认信息,然后确认交易。
供应链:显卡2022年出货量跌幅或高达2-3成:7月6日消息,据PC供应链表示,由于挖矿热潮消退,显卡2022年出货跌幅高达2-3成,显卡呈现价量齐跌走势,从英伟达、AMD、英特尔,到板卡、相关芯片等供应链影响甚巨。(金十)[2022/7/6 1:53:50]
常见的欺诈套路
这种行方式太简单了。通过二维码生成器嵌入欺诈者的地址,而很多受害者甚至没有意识到被。
我们为地址18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4生成了一个二维码。
但我们得到的却是与另一个地址匹配的二维码。
如图所示,一个有趣的现象是,子甚至不需要自己生成假二维码,而是无耻地调用区块链浏览器的API来生成地址的二维码。
子使用的额外技巧
一些欺诈者不仅会创建带有自己地址的二维码,还会在他们的局中添加一些额外的“花样”:
适应各种地址格式:比特币支持多种地址格式。最值得注意的是,普通地址以“1”开头,P2SH地址以“3”开头,Bech32地址以“bc”开头。一些欺诈性网站会根据申请者的地址格式创建二维码,如果受害者并未仔细进行确认,就很难发现其中存在的问题。
更改剪贴板地址:一些欺诈性网站把他们的地址放在剪贴板上,所以如果受害者通过复制粘贴的形式来验证二维码,这种方式就会让他们误以为地址真的是自己的。
这种行方式有效吗?当然
由于比特币区块链是公开的,我们收集到了一些关于此类局的统计数据。
其中一个欺诈地址:活跃2个月,共有21笔交易,收益0.58BTC
欺诈者套现:将资金从欺诈地址转移到他们的钱包
我们收集的数据显示,此类局已经导致至少2万美元的损失。这很可能只是冰山一角,因为欺诈者可能会经常更改地址,以避免被发现或被列入黑名单。
用户应该怎么做?
如果你需要生成二维码:
不要谷歌!如果你需要生成二维码,最好用你比较熟悉的网站,例如你最常用的区块浏览器。
仔细验证:在发出这个二维码之前,先用钱包app扫描一遍,验证地址的准确性。
威胁情报服务很重要:在浏览器插件和钱包中添加威胁情报服务,这类服务可以在用户访问欺诈网站和地址时发出警报,有时是有用的,但不是灵丹妙药,因为这些服务的覆盖范围有限。
目前发现的欺诈信息如下:
17bCMmLmWayKGCH678cHQETJFjhBR44Hjx
14ZGdFRaCN8wkNrHpiYLygipcLoGfvUAtg,35mJx4EeEY7Lnkxvg1Swn1eSUN1TtQsQ3,bc1qs4hcuqcv4e5lcd43f4jsvyx206nzkh4az05nds
1KrHRyK9TKNU4eR5nhJdTV6rmBpmuU3dGw
1Gg9VZe1E4XTLsmrTnB72QrsiHXKbcmBRX
二维码是分享数据的一种非常简单的方式。然而,由于代码不是人类可读的,其为欺诈开辟了一条新道路。欺诈可能发生在收款方身上,因为其需要生成带有地址的二维码,但如果发送方使用的是不安全的钱包或者不安全的二维码生成器,那么其也很有可能成为受害者。
我们相信未来会有更多与二维码相关的欺诈性事件,加密货币社区需要解决这些问题,并提出更好的保护措施。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。