元のタイトルを転送する：ハニーポット詐欺の暴露

トークンコードにダイブし、Web3セキュリティを保護する

前書き

分散型プラットフォームのユーザーであれば、「ハニーポット詐欺」という概念は馴染みがあるでしょう。この用語を聞いたことがなくても、おそらくそのような詐欺行為に遭遇したことがあるでしょう。

「ハニーポット」とは、他の人をわざと罠に引き込むことを指す比喩表現です。ハニーポットトークンの場合、非常に高い流動性や価格の上昇などの様々な幻想が作り出され、投資家がこれらのトークンを購入するように誘い込まれます。しかし、購入後に、契約に悪意のあるコードが展開されているため、これらのトークンを全く売ることができないことに気付きます。これがハニーポット詐欺です。

ユーザーを悪用するために、ハニーポットスキームはしばしば契約コードを継続的に更新し、改良します。彼らはますます入り組んだ実装ロジックを採用して、真の動機を隠し、セキュリティメカニズムの監視を逃れるか、セキュリティ専門家の分析の複雑さを高めることを目指しています。

ハニーポット詐欺攻撃の特徴

GoPlusのデータによると、2022年に暗号資産市場のハニーポットトークンの総数は大幅に増加し、新たに64,661のハニーポットトークンが導入されました。これは2021年の同じ期間と比較して83.39%の印象的な成長を示しています。このうち92.8%のハニーポットトークンはBNBチェーンから発信され、6.6%はイーサリアムから来ました。これら2つのブロックチェーンは、トークンの観点からも最も活発で人口の多いネットワークの1つとして目立っています。

ハニーポットトークンの急激な上昇要因の1つは、2022年末のFTXインシデントの影響に起因すると言えます。多くのユーザーが中央集権取引所から非中央集権ウォレットにデジタル資産を移し、それによりオンチェーンのアクティブユーザーが急増しました。その結果、攻撃者も活発化しました。データによると、FTXインシデントからわずか1週間で、新たに120以上のハニーポット攻撃手法が登場し、攻撃頻度は6倍に増加しました。

数字の絶対的な増加を超えて、ハニーポットトークンの特徴はより多様で複雑になっています。過去1年間のセキュリティデータの分析によると、GoPlusはハニーポットトークン攻撃が検出がますます困難でより隠れた形態に進化していることを観察しています。一般的に、それらは以下の主な特徴を示します:

1. コードの難読化：コードの可読性を低下させ、関係のないロジックを導入したり、呼び出し関係を混乱させたりすることによって、攻撃者は複雑な実装ロジックを作成し、セキュリティエンジンの解析の難易度を高めます。
2. よく知られた契約の偽造：これらのタイプの攻撃契約は偽の契約名を使用して信頼できるプロジェクト契約を偽装し、プロセスを実装し、エンジンを誤解し、それによってリスクの誤認識の可能性を高めます。
3. 隠れたトリガー機構の使用：これらの攻撃契約は、トリガー条件をユーザーのトランザクション行動の中に隠し、深く埋め込むことがよくあります。また、トランザクションの振る舞いを複雑に操作し、条件のチェックを複数のレイヤーにネストして、トランザクションの停止、供給の膨張、または資産の移転などのアクションを起動することもできます。これにより、契約状態のリアルタイムの変更が可能になり、ユーザー資産の盗難が容易になります。
4. 取引データの偽造：取引をより本物に見せるために、攻撃者はエアドロップやウォッシュトレーディングなどのアクションを無作為にトリガーするかもしれません。これには二重の目的があります：より多くのユーザーを誘致し、取引の振る舞いをより自然に見せることです。

ケース分析

このトークンはETHメインネット上で発行され、契約アドレスは次の通りです：0x43571a39f5f7799607075883d9ccD10427AF69Be.

契約コードを分析した結果、この契約は保有者アカウントアドレスの「転送ブラックリストメカニズム」を実装しようとしていることがわかりました。転送アドレスがブラックリストにある場合、転送トランザクションは失敗します。これは最終的にホネイポットトークンメカニズムの典型的なものであり、保有者が資産を売却することを防止します。

しかし、ほとんどのユーザーにとって、コードを読んだり分析する能力がないため、コード監査を通じてこれらのセキュリティリスクを特定することが難しい場合があります。 この記事では、EVMスマートコントラクトの詐欺リスクを分析するための市場で利用可能な主要ツールをリストしています。 すでに展開されたスマートコントラクトに関連する詐欺リスクを評価したい場合は、上記の契約アドレスを例として以下のツールを使用できます。

GoPlusセキュリティ

1. GoPlusのウェブサイトを開いて、Ethereum Mainnetや他のLayer2ネットワークなど、ブロックチェーンネットワークを選択してください。

1. 調べたい契約アドレスを入力し、「確認」ボタンをクリックして契約のリスク情報を取得します。クエリの結果には、「ハニーポットリスク」の下にリスク警告が表示され、契約には転送ブラックリストがあることが示されています。

トークンスニッフ

1. オープン トークン スニッファー を起動し、クエリする契約アドレスを入力し、検索結果から対応する契約を選択してください。

1. その後、リスククエリの結果が表示されます。このコントラクトは「スワップ分析」セクションでこのテストに合格していないため、コントラクト自体にはハニーポットのリスクがあることを示しています。

前述の分析ツールを使用することで、ユーザーはスマートコントラクトの詐欺リスクを迅速に特定し、危険を分析することができます。ハニーポットのリスクが検出された場合、このような契約に巻き込まれるのを防ぐために、参加を控えることが強く推奨されます。

結論

ハッカーが攻撃戦略を絶えず進化させる中、セキュリティ防御はますます難しい課題となります。ブロックチェーンのユーザーとして、ハニーポット詐欺に直面した際には、以下の点に注意する必要があります:

• トークンの真の性質、流動性、価格トレンドなどを購入する前に徹底的に理解することが重要です。
• 悪意のあるコードや異常をチェックするためにトークン契約コードを注意深く検査してください。コーディングスキルがない場合は、ツールを使用するか信頼できる市場のウェブサイトを訪れて、トークン契約に関連するリスクを評価することができます。
• いわゆるエアドロップや「ポンプアンドダンプ」スキームに簡単に信頼しないでください。これらはしばしば詐欺の一環です。
• 未知の取引所やウォレットでトークンを購入しないでください。代わりに信頼できる取引所やウォレットを選択してください。

暗号セキュリティについて学ぶことは、継続的なプロセスであり続けるべきです。これによってのみ、新たに出現し進化するセキュリティリスクによってもたらされる課題に効果的に取り組むことができます。

免責事項：

1. この記事は[ミディアム]. すべての著作権は元の著者に帰属します [GoPlusセキュリティ]. If there are objections to this reprint, please contact the ゲート レアンチーム、そして彼らはそれを迅速に処理します。
2. 責任の免責事項：この記事で表現されている意見や見解は、著者個人のものであり、投資アドバイスを構成するものではありません。
3. Gate.ioのLearnチームは、その記事を他の言語に翻訳しました。 複製、配布、または翻訳された記事の盗用は、特に許可されていない限り禁止されています。