NFT:世界杯來襲，欣賞”諸神最后一戰“時更要提防風險騙局_KEN

作者：GoPlusSecurity

一、與世界杯相關的加密風險層出不窮

2022年卡塔爾世界杯即將到來，本屆世界杯極大概率是梅西、C羅、本澤馬、莫德里奇、萊萬多夫斯基等人的最后一屆世界杯。在”諸神最后一戰“即將到來的時刻，各種區塊鏈上與世界杯有關的騙局也層出不窮。

根據GoPlusToken檢測引擎的數據統計顯示，僅就最近一周出現的名稱中存在“FIFA”或者“WorldCup”的有風險Token超過1000個，涉及地址超過16萬個，累計流動性更是超過500萬美金。

下面列表中包含了一些主要的風險類型：

與此同時，各種與世界杯相關的NFT也不斷涌現，其中也包含了大量有嚴重風險的NFT。因此在世界杯狂歡之余，我們也不能對各類蹭熱點的代幣/NFT項目掉以輕心，合理運用便利的安全檢測工具，保護好自身的加密資產。

二、用戶可能遇到的Token風險介紹

Token風險多種多樣，在世界杯期間更是可能集中爆發，在這里先介紹幾種主要的且非常嚴重的風險。

Crypto.com成為2022年卡塔爾世界杯官方贊助商:金色財經報道，加密貨幣交易所 Crypto.com 周二宣布成為 2022年卡塔爾世界杯（The FIFA World Cup – Qatar 2022）的官方贊助商，交易的總金額未披露。Crypto.com 的品牌將出現在2022 年卡塔爾世界杯的體育場內外。作為贊助的一部分，加密貨幣交易所將為其用戶提供參加比賽和贏得官方商品的機會。

Crypto.com 首席營銷官 Steven Kalifowitz 在聲明中表示：“沒有一項運動能像足球那樣將世界凝聚在一起，也沒有一項體育賽事像 FIFA 世界杯那樣將世界凝聚在一起…只有少數品牌有幸以官方身份參加贊助商，我們抓住機會成為這個歷史性的活動中第一個代表加密行業的品牌”。（cointelegraph）[2022/3/23 14:12:27]

1.貔貅代幣

即合約中包含明確的惡意代碼，導致用戶無法交易或者資產損失的代幣。

例如下面的Token就存在惡意代碼。

動態 | 世界杯點燃區塊鏈預測“引線” 宣稱“只贏不輸”難避嫌疑:有研報顯示，截至今年6月份，全球“區塊鏈+預測競猜類”存量項目已達27個，市值逾18億美元。2018年新完成眾籌的預測競猜類項目總數已超過60個。我國法律對嚴禁賭博的態度鮮明。但仍有一些團隊嘗試在國內以不同的形式推行“區塊鏈+預測”項目，并借世界杯的機遇進行推廣，這些“區塊鏈+預測”本土化的“變體”，仍難以完全避開賭博嫌疑。北大光華管理學院金融系主任劉曉蕾稱，在ICO禁令后，部分平臺在境外進行ICO并向境內投資者進行推廣、宣傳等行為，經常可能涉嫌傳銷的問題。[2018/7/7]

如上圖所示，該合約代碼中所有相關功能都通過外部合約實現，例如所有holder的余額都存儲一個外部合約中。這就意味著只要這個外部合約被換成一個新的，所有holder的余額將被直接清零。這就是一個有嚴重風險的惡意代碼。

2.可隨時自毀的代幣

合約自毀簡單來說就是合約可被銷毀，銷毀后合約也不存在，合約對應的資產也將不復存在。說白了，就是合約沒了，合約沒了的話那么其對應Token也就沒了，用戶的相應資產也將直接消失。并且根據監測，合約中包含了自毀功能的代幣，最后一般都會啟動該功能。

金色獨家 食鏈foodc創始人劉源：應對世界杯“假票門” 區塊鏈可編碼防破譯:目前世界杯正熱，針對近日爆出的門票造假事件，金色財經獨家專訪了食鏈foodc創始人劉源。針對門票防偽，區塊鏈技術擁有明顯優勢。劉源表示：門票的防偽，首先要防范票造假，實際上就是標簽防偽，現在主要通過印刷時按照一定的算法印一些花線在上面，類似于身份證花紋防偽技術；另一方面，是防止票編碼造假，防止有人反推出票據的生成算法，從而偽造票編碼，這個技術就是產品身份識別的技術，防止算法別破譯。區塊鏈門票的防偽，主要是應用在票編碼防破譯這塊，使用區塊鏈的加密算法把票編碼存儲進鏈，實現票編碼算法無法破譯。

區塊鏈在實現防偽溯源方面相對于傳統防偽手段有哪些優勢呢？劉源說，區塊鏈防偽的技術的應用中，使用區塊鏈技術對產品身份進行加密存儲，一方面利用共識機制達到不可篡改的效果，另一方面，數據在存儲時可使用以太坊的ECDSA算法進行簽名加密，會經過約8個步驟，并進行了多次消息摘要算法加密，確保在未來產生量子計算機時也不能被破譯，從而做到身份識別的唯一和防偽特性。[2018/6/19]

例如下面的Token就存在自毀功能。

比特幣將在俄羅斯世界杯期間被使用:據btcmanager.com消息，2018年俄羅斯世界杯開幕在即，為緩解游客外匯困境，俄全國大多數酒店宣布接受比特幣作為貨幣，這一消息對比特幣來說是利好消息，比特幣有望在世界杯期間回升。未來八周，預計將有50萬游客抵達俄羅斯。加拿大皇后大學經濟學教授Thorsten Koeppl表示，這次世界杯比特幣受歡迎很可能是因為純粹的需求的原因，而不是像以前一樣的投機。[2018/6/3]

如上圖所示，其代碼中的“kill”function一旦啟動，該合約就會自毀，其Token也就會消失。

3.owner可修改余額

即代幣合約中有功能可以使owner地址修改其他地址的該代幣余額，且不需要經過受害地址的許可。

例如下面的Token就存在該問題，其owner地址可以修改其他地址的余額。

主要有問題的代碼如上圖所示，其owner地址可以把“adressfrom”的token直接分配給“address”中的地址，并且不需要經過用戶的許可。

可用比特幣購買世界杯門票:想要用比特幣購買足球比賽門票嗎？這有一個解決辦法，盡管國際足聯還不知情。目前，至少有兩家公司通過主要國際支付提供商發行的信用卡提供門票服務。Wirex新的Visa借記卡，以英鎊、歐元、美元，當然還有比特幣支付，在歐洲也可以使用。[2018/4/18]

三、NFT風險介紹

除了Token以外，NFT也存在各種安全風險。根據相關安全機構的數據統計，眾多NFT在合約層面都存在一定的安全隱患：

并且NFT很容易偽造，這就使得關于世界杯NFT騙局也可能快速增長。

在這里先介紹幾種非常嚴重的NFT合約風險。

1.限制授權對象導致無法交易

一般是指除白名單以外的地址，無法向合約授權。因為去中心化NFT交易平臺都需要合約授權，這就意味著用戶將無法在去中心化交易所中交易該NFT。

這種騙局一般是項目方先讓白名單中的地址去刷數據，用戶會看到在交易平臺上該NFT交易數據正常，以為可以交易。但是當用戶買入想再賣出時，結果發現就無法交易了。

典型案例

上面的案例中，該NFT合約代碼中存在要求，即授權對象不能是合約，而在opensea掛單需要向opensea的合約授權，因此這個nft就無法掛單了

代碼如下圖所示。

上圖中，只有_addressTransferToContract名單里的地址可以授權成功，不在這個名單里的地址給合約授權會失敗。

2.不經授權轉賬

即NFT的owner可以不經授權直接把其他地址的該NFT轉移到自己指定的地址上。

這個惡意手段一般有兩種使用形式：

賣出NFT后直接轉走

如下圖所示，該NFT賣出后，直接就被轉走。

之所以可以實現這種詐騙方式，就是因為其合約代碼中設置了一個地址，這個地址有所有該NFT的授權。那么這個地址就可以隨時直接把其他地址上的該NFT轉走。如下圖所示

偽造名人持有并轉賬過該NFT，使得該NFT獲得所謂的名人背書

近期有很多用戶反饋，就是有些NFT項目宣傳某大V站臺，并表明大V交易過，因此咨詢我們項目的安全性。其實這就是“不經授權轉賬”的另一種具體模式。

其主要流程是這樣的：

1.先把NFTmint給某公開的大V地址，該NFT合約代碼中有不經授權轉賬的邏輯。

2.之后找到合適時機，把該NFT再從大V的地址轉走。那么在鏈上就表現為大V的地址不僅持有還轉賬過NFT（特別是轉賬這一步有很強的迷惑性，普通用戶可能會誤認為大V真的交易過該NFT)。

3.之后項目方就可以以此宣傳獲得所謂的“大V背書”，進而詐騙用戶。

四、作為用戶，應該如何防御相關風險

首先，樹立防范意識，基于自身情況，建立基本的防范措施

需要明確類似世界杯騙局一定會越來越多，一定要時刻注意。隨著世界杯的進行，相關熱度逐步提高，一定會有更多的騙局出現。除了與世界杯或者FIFA有關以外，還可能會有世界杯上的知名球星或熱門事件相關的騙局。大家一定要時刻注意。

對于感興趣的Token/NFT要慎重，先通過官網/社群/twitter等了解其基本情況。

對于別人推薦的token或者鏈接一定要小心，避免上當受騙。

以上幾點注意事項其實并不復雜，但為什么攻擊者卻能屢屢得手？

一是因為攻擊范圍大，覆蓋用戶量大，總有漏網之魚；二是利用了用戶的急躁心態，引發用戶恐慌，同時不給用戶留出思考時間；三是用戶可以缺少快速檢測Token/NFT騙局的工具。

其次，要學會使用安全檢測工具

針對Token/NFT中的各種騙局，需要在買入前提前使用相關檢測工具檢查，盡可能避免風險。

1.針對Token檢測，可以使用GoPlus代幣安全檢測服務

GoPlus代幣安全檢測服務是目前覆蓋代幣數最多、檢測項最全、檢測結果最準的代幣檢測服務之一，目前其檢測服務已經接入到TokenPocket、AveDex、Mask、Bitkeep等眾多知名區塊鏈產品中。

GoPluseco上的代幣安全檢測介紹頁

打開后直接在頁面中選擇Token對應的公鏈，并輸入地址，即可查看檢測結果。

點擊檢測按鈕后，即可出現全面的安全檢測結果，包含了合約安全、貔貅風險、持有量與鎖倉情況等數十項安全檢測內容。

2.針對NFT檢測，可以使用GoPlusNFT安全檢測服務

GoPlusNFT安全檢測服務是目前已經支持各項主要的NFT安全檢測。其安全服務也已經被X2Y2等主要平臺所使用。

GoPluseco上的GoPlusNFT介紹頁

打開后直接在頁面中選擇NFT對應的公鏈，并輸入地址，即可查看檢測結果。

點擊檢測按鈕后，即可出現全面的安全檢測結果，包含了合約安全、NFT真偽性、交易信息等數十項安全檢測內容。

3.直接在GoPluseco中輸入地址進行搜索。

可以直接在GoPluseco中輸入地址進行搜索，里面集成了Token與NFT的相關檢測。

輸入地址后，會檢測該地址有無惡意行為，并提供相應的Token/NFT檢測入口。

以上內容均來自GoPluseco，GoPluseco通過聚合行業內優質的安全應用或服務，為用戶匹配最優的安全解決方案。遇到安全相關的問題時，不妨來GoPluseco問問，這里有問必答。

并且在世界杯期間，GoPluseco將提供世界杯安全主題頁，提供能夠檢測世界杯相關Token、NFT和釣魚網站的安全服務，保護大家的資產安全。

Tags：NFTTOKENTOKKENNFTdot3X Long OKB TokenHello Art TokenFEB Token

Luna