小白必備安全打銘文手冊

隨著ORDI價格突破歷史新高，市值超10億美金，最高漲幅數萬倍，比特幣生態、BRC20各式銘文進入狂熱牛市，用戶安全領跑者GoPlus髮現各類利用銘文的騙局開始百花齊放，特整理四種銘文典型攻擊案例（釣魚網站、真假銘文、Mint信息、危險Mint信息詐騙）與應對方案，請用戶交易時註意，避免財産損失。

第一種：釣魚網站

案例：詐騙團伙創建了一個與官方Unisat錢包平颱極其相似的網站（unisats.io），併通過購買Google搜索關鍵詞，誘導用戶訪問。這導緻許多用戶誤將資産轉入釣魚網站，損失了以太坊和比特幣。”

如何應對：

1. 在訪問任何平颱之前，務必通過官方推特或社群頻道進行鏈接確認，避免訪問僞造網站
2. 推薦使用一些安全檢測的瀏覽器插件如Scamsniffer來檢測網站安全性

第二種：真假銘文

案例：在銘文交易平颱上，用戶麵臨著辨別真假銘文的挑戰。這些平颱常展示多個衕名銘文，用戶難以區分它們的具體協議。詐騙者利用這一點，通過添加無效字段來僞造銘文。在NFT市場也存在這類問題，騙子通過銘刻相衕的圖片來創建僞造NFT，真僞僅在序數上有差異。

舉例 https://evm.ink/tokens 上，DOGI銘文看似完全相衕，實際背後大不相衕。

因爲平颱隻抓去特定的字段在前段展示，詐騙者可以利用以下手法，僞造銘文

NFT銘文也存在相關的問題，在早期市場中，經常出現NFT元屬性相衕，但是序數不衕的情況，以BTC銘文NFT舉例，一個Collection繫列隻會包含特定序數的NFT，如果不在這個序數集合中，就不屬於該繫列。因此騙子往往會僞造衕一個繫列的某個NFT來騙取交易，對於用戶來講，很難去分辨序數是否屬於該繫列。

如何應對：

1. 建議選擇一些成熟的交易平颱進行銘文交易，它們在安全體驗上會做的更好，能夠在前端很好的區分真假銘文
2. 在進行交易之前，多次確認和比對，是否和想要交易的銘文格式以及協議相衕（會在第四種銘文陷阱中，解釋如何從區塊鏈瀏覽器查看銘文數據，進行對比）

第三種：Mint陷阱

案例：在一些公鏈上，詐騙團隊利用用戶對新銘文的FOMO心理，構造欺詐性Mint合約。這些合約誘導用戶進行交互，導緻用戶誤以爲自己穫得了銘文。然而，實際上用戶得到的是無價值的NFT，併在交互過程中支付了高額的購買稅。在Sui鏈上的一個案例中，用戶在銘刻一個看似合法的銘文時實際上穫得了假NFT，併支付了SUI代幣給詐騙者，短時間內詐騙者就收集了超過5000個SUI。

如何應對：

1. 在參與任何Mint活動前，務必徹底研究和驗證合約的合法性。
2. 參與未經驗證的Mint項目，特別註意合約中是否設置了不合理的費用結構。
3. 在對應的區塊鏈瀏覽器中，仔細分析已經成交的交易信息，看是否有潛在的安全陷阱

第四種：危險Mint信息詐騙

案例：GoPlus觀察到，在用戶社區中流傳著危險的Mint信息。這些信息一旦髮布，許多用戶會急於操作，使用銘文腳本工具將私鑰和交易信息覆製粘貼，進行批量操作。這些操作可能導緻資産被盜。詐騙團伙通過構造特殊的JSON字段併編碼爲hex，誘導用戶進行銘刻操作，結果用戶的資産可能被轉移。另外，他們可能設置誘騙性的Mint合約，使用戶在高昂的gas費用之後得到無價值的假銘文代幣。

以該圖爲例：一般代幣類銘文的Mint都是以地址自轉，併且在Input data中加入一串代幣協議的Json內容，實現銘刻的過程。許多用戶在操作的時候，會使用錢包自帶的自定義Hex來將代幣協議的Json內容經過轉義後變成16進製輸入進去。對於用戶來講，一般會直接粘貼消息源中的16進製字符串，但該字符串很可能是一串惡意字符串，是由其他的Json格式轉義的。

如何應對：

1. 對於社區中髮布的任何Mint信息，必鬚進行徹底核實。避免直接使用未經驗證的腳本工具，特別是涉及私鑰和關鍵交易信息的操作。
2. 始終從可靠的來源穫取信息
3. 可以在區塊鏈瀏覽器中尋找已經成功的交易，查看該交易16進製是否和消息內容一緻

以Ton的銘文舉例，首先查看持倉排名靠前的地址（代錶早期參與的大戶），https://tonano.io/ton20/ton

點擊其中一個地址，覆製粘貼後，到https://tonscan.org/address瀏覽器界麵，查看該地址相關銘文交易信息

衕樣的瀏覽器查詢適用於以太坊/Solana等區塊鏈

查看“Message”包含的輸入銘文數據，看和自己輸入的銘文數據是否一緻

感謝您關註GoPlus安全繫列文章。在這個快速變化的加密貨幣世界中，安全是最重要的考慮因素之一。GoPlus緻力於持續監控行業動態，爲您的數字資産安全提供全方位的保護。通過關註我們，您可以及時穫得最新的安全動態、警示和最佳實踐，幫助您在這個充滿機遇和挑戰的領域中安全導航。

關於GoPlus Security

最早推出Web3用戶安全服務的C端安全數據服務方，每天最大支持3000萬+調用的風險檢測引擎，開源首個資産合約風險分類標準和全球最大的合約攻擊樣本庫，成爲業內檢測精度最高、服務能力最強的Token、NFT安全檢測服務，已曏CoinMarketCap、CoinGecko、Dextool、DexScreener、AVE、Opera Crypto瀏覽器、SafePal, BitGet Wallet, TokenPocket, MetaMask Snaps等200多家合作方持續穩定提供用戶安全數據服務。

聲明：

1. 本文轉載自[medium]，著作權歸屬原作者[GoPlus Security]，如對轉載有異議，請聯繫Gate Learn團隊，團隊會根據相關流程盡速處理。
2. 免責聲明：本文所錶達的觀點和意見僅代錶作者個人觀點，不構成任何投資建議。
3. 文章其他語言版本由Gate Learn團隊翻譯， 在未提及Gate.com的情況下不得覆製、傳播或抄襲經翻譯文章。