安全投資從這裡開始：DeFi質押詐欺防範指南

哈希（ SHA1 ）本文： 14f211363c25423b3eb2472ade8865dc95a14513

代碼：PandaLY反詐騙指南No.001

相信關注漣源科技的朋友一定對 DeFi 有一定的了解。確實，在某些情況下，參與 DeFi 平台的質押，尤其是常見的 USDT 質押，確實可以帶來豐厚的回報。然而，伴隨著機會而來的是各種騙局。許多不法分子利用投資人對區塊鏈技術和專案細節缺乏了解，設計了一系列陷阱。常見的做法是打著比某某平台收益更高的旗號，吸引你在不知名的 DeFi 平台質押投資，而這些平台往往以遠超傳統 DeFi 平台或交易所的回報率作為誘餌。當他們騙了足夠的資金後，他們就會捲款而逃，讓投資者一無所有。

為了幫助大家避免此類詐騙，今天我們就結合近期發生的一個典型的 DeFi 詐騙案例來深度剖析其套路和操作方法。同時，我們也將為您提供一些實用的防範技巧，幫助您在參與 DeFi 專案時更好地識別潛在風險，並保護您的資產。

什麼是 DeFi 質押？

DeFi 質押是去中心化金融（DeFi）領域常見的方式，使用者可以將自己的加密資產鎖定在智能合約中，參與網路維運或提供流動性，並獲得相應的回報。這個過程類似於銀行定期存款，用戶暫時鎖定其資產以換取利息或其他獎勵。

DeFi 質押通常採取以下形式：

• 權益證明（PoS）：在一些基於PoS機制的區塊鏈網路中，用戶可以質押一定數量的加密貨幣來參與區塊驗證和網路維護。質押金金額越多，獲得驗證的機會就越大，用戶還可以獲得一定比例的區塊獎勵。

• 流動性挖礦：使用者將加密資產存入去中心化交易所或流動性池，以提供流動性並促進交易順利進行。作為回報，用戶可以獲得一定比例的手續費收入或平台原生代幣獎勵。

• 借貸與質押：使用者可以將加密資產質押到去中心化借貸平台，將其作為抵押物借入另一種資產，並透過質押賺取利息。在此過程中，用戶質押的資產仍會產生收入，但可以將借入的資金用於其他操作。

目前流動性挖礦是最常見的 DeFi 項目，所以今天我們主要來講一下流動性挖礦。

流動性挖礦騙局

最近，我們遇到一位熱心用戶向我們舉報了一個名為 ve.finance 的 DeFi 網站。檢舉用戶原文如下：

我是 ve.finance 騙局的受害者。 VE的合約地址為

https://etherscan.io/address/0xdaef06a5fbf22cc67e521f937ab2a8e687558d74#code 並成功標記為詐騙。但我發現他們開了一個新網站：

https://ethnano.com/，合約網址為：

https://etherscan.io/address/0xb53653f74c9ba313f764e7404bfeffab3500d25c.

他們的網站設計、使用的API、合約的CODE都是一模一樣的。我還沒有看到任何詐騙標籤。我希望這能減少加入詐騙的受害者數量。

簡單來說，就是用戶遇到了打著折扣質押名義的詐騙網站。該網站並沒有透過各種授權進行釣魚，而是透過質押中使用的智能合約來誘騙用戶。另外，網頁經常更換域名，受害者被騙後可能無法找到先前的網站。

當我們根據用戶給出的URL打開頁面時，MetaMask直接阻止我們打開該網站，並彈出警告該網站是高風險網站，但我們是誰？我們是無情的人，無視風險，繼續安裝。點擊繼續造訪網站，我們來到如下圖的質押騙局網站介面。

我們點擊了用戶報告的第一個智能合約地址，0xdaef06a5fbf22cc67e521f937ab2a8e687558d74

經過分析，我們發現這個可惡的騙子在智能合約中設定了超級用戶帳戶地址。並設定一個函數：

function adminSendEth(應付地址, uint amount) public onlyAdmin {

目的地.轉帳（金額）；

}

這個函數是什麼意思呢？首先，函數名稱是adminSendEth，這意味著只有我這個超級使用者才能發送這個函數。然後我們把注意力轉向onlyAdmin，也就是說只有我這個超級使用者才能呼叫這個函數。

那麼這個函數是什麼意思呢？很簡單，直接將我指定的餘額金額轉入我指定的帳戶地址。

當用戶通過該智能合約質押資金後，詐騙者可以直接將質押的資金轉移到智能合約地址。當用戶查看智能合約，發現智能合約帳戶裡沒有錢時，才意識到自己被騙了。

然後我們點擊這位熱心用戶提供的另一份合約：0xb53653f74c9ba313f764e7404bfeffab3500d25c

該合約與前一個合約的區別在於它包含一個名為 Exchange 的函數。此函數的具體實作程式碼如下：

函數 Exchange(位址使用者) external onlyOwner {

require(!_blacklisted[user],使用者已被列入黑名單。);

_blacklisted [使用者] = true;

發出黑名單（使用者）；

}

這個函數的名字叫做轉換，裡面實現的內容也很簡單。只要你不在我的黑名單裡，我就把你拉進黑名單。如果你在黑名單裡哦~那你就待在那裡吧~

So once you stake in this contract, this function will be called automatically and you will be thrown into a small dark room, and you won’t be able to get a penny out.

預防詐騙

那麼該如何防範 DeFi 質押詐騙呢？

1.查看專案官網

第一步是確保我們造訪的網站合法且安全：

• SSL 證書：請記住，任何合法網站都應該有 SSL 證書，並確保網站以 https 開頭。 SSL憑證可以對使用者和網站之間的通訊進行加密，防止資訊外洩和網路釣魚攻擊。如果您看到沒有SSL憑證或以http開頭的DeFi質押平台，請立即離開，以避免風險。

• 團隊透明度：一個可信賴的專案必須有公開透明的團隊背景。我們可以在各種社交媒體上找到有關專案團隊的信息，例如Twitter，以確保他們擁有公共社交媒體，並且可以追蹤他們過去參與過的專案。

• 網站：如果專案團隊可靠的話，我們可以在他們的官方社群媒體上找到其承諾的相關網站。請記住，不要點擊未經官方認可的網站，因為它可能是假冒的網路釣魚網站。

• Unreasonable promises: When a staking project promises “high returns” or “zero risk”, it is most likely a scam and we need to be vigilant.

• Exchanges: Binance, EURUSD and other leading exchanges all have their own corresponding pledge investment products. We don’t have to go to some unknown small platforms. Although the returns may not be that considerable, the security is definitely guaranteed.

2. 檢查智能合約

相信看完以上案例我們就會發現，智能合約是Stake專案的核心，任何惡意程式碼都會導致資金無法取回。因此，仔細檢查很重要：

• 合約審核：使用區塊鏈瀏覽器（如Etherscan）檢查專案智能合約是否經過第三方審核。我們可以檢查專案合約是否經過權威審計機構（如CertiK、OpenZeppelin）的審計。審計報告將揭露合約是否有安全漏洞和潛在風險。

• Code details: If you have a certain level of coding skills, please be sure to review whether there are backdoors (blacklist, whitelist, etc.) in the contract code, as well as terms such as lock-up period and withdrawal restrictions to ensure the security of funds. Of course, if you don’t understand the code, you can copy the code to GPT or other AI and ask them, and they will give you the correct answer.

• 小心授權：當您與質押項目互動時，智能合約會要求您授權存取您的錢包。小心無限授權。如果您授予無限權限，惡意合約可能隨時轉移您的資金。

3. 社區驗證

Joining the project’s community is also an important way to verify the authenticity and popularity of the project, because it is likely that the Twitter account’s followers are fake:

• 社交討論：您可以加入Telegram、Discord等官方社區，查看社區的聊天記錄和氛圍，以了解項目的聲譽。如果一個社群中的每個人都在吹噓或炫耀自己的利潤，那麼它很可能是一個騙局項目。良好社群的成員之間的溝通非常客觀。

• 警惕私下推廣：如果一個專案只在私下群組推廣或不公開透明，可能有風險。一定要關注老師賺錢的項目和一對一的項目。只靠口碑來吸引人的項目絕對不是好項目。

四．流動性和透明度

接下來是進階部分。一般來說，專案池的流動性和透明度是評估專案安全性的關鍵指標：

• 流動性池鎖定：流動性池為專案提供交易的基礎資金池。您可以透過區塊鏈瀏覽器查看質押項目的流動性池是否已被鎖定。流動性鎖定是指專案方不能隨意提取或轉移資金，防止惡意跑路。如果流動性池不鎖定，專案方可能隨時提取資金，導致使用者無法提取質押資產的情況。

• 流動性充足：流動性池越大，用戶交易資產時的滑點（價差）越小，提現也越容易。檢查流動性池的深度和充足性，確保池中有足夠的資金滿足使用者的質押和提現需求。流動性不足的項目可能會導致資金無法順利撤回。

• 鏈上透明度：專案資金的透明度是決定其可信度的重要因素。您可以使用區塊鏈瀏覽器（如Etherscan、BscScan等）追蹤專案資金流向，查看資金是否大規模提取或集中在少數地址。此外，您還可以設定監控錢包，自動追蹤重點項目資金流向並及時收到提醒。此措施可以幫助您提前發現任何可疑的資金操作，避免成為詐騙的受害者。

結論

整體而言，雖然 DeFi 質押計畫看似充滿機遇，但風險也不容忽視。尤其是許多新手朋友可能會被高回報所吸引，而忽略了專案本身的安全性。我們看過太多類似的騙局，從虛假網站、惡意智慧合約到社群刷單，手段五花八門。所以大家在質押的時候一定要做好功課，從查看專案官網、查看智能合約、觀察社區活動，到分析資金流動性，每一步都非常重要。

區塊鏈世界是去中心化的。正因為如此，個人資金的安全更取決於自己的判斷和謹慎。不要被所謂的高回報蒙蔽了雙眼。往往承諾零風險、保證報酬的項目背後往往隱藏著風險。安全永遠比高回報更重要。這是我們在 DeFi 質押中應該記住的最重要的事情。

透過今天的分享，希望能讓大家在未來的質押過程中更加理性和謹慎。無論您是 DeFi 新手，還是經驗豐富的老手，請多關注專案的透明度和安全性，避免因疏忽而陷入詐騙陷阱。如果您有任何問題或疑慮，可以隨時留言討論。我們非常樂意幫助您更好地保護您的資產！畢竟，在這個去中心化的世界裡，共同學習、互相幫助才是最安全的投資策略！

涾源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上資料分析以及資產和合約漏洞救援。我們已成功為個人和機構追回許多被盜的數位資產。同時，我們致力於為產業組織提供專案安全分析報告、鏈上溯源、技術諮詢/支援服務。

感謝您的閱讀。我們將持續關注並分享區塊鏈安全內容。

本文源自網路：安全投資從這裡開始：DeFi質押詐欺防範指南

相關：Foresight Ventures：Intent Asset，Web3資產大規模應用的切入點

原作者：Mike@Foresight Ventures 閒置資產的革命 2013年，阿里巴巴餘額寶上線，將資產管理帶入新時代。在此之前，一般用戶很難找到安全且有效率的方式來管理閒置資金。銀行活期存款利率較低，理財產品複雜難懂。餘額寶的誕生改變了一切。餘額寶的誕生 那是一個網路金融剛興起的時代。支付寶團隊意識到，用戶的支付帳戶中經常有一些閒置資金。如果這些資金能夠投入，不僅會為用戶帶來收益，也能提升用戶體驗。於是他們和天弘基金共同推出了一款叫做餘額寶的產品。餘額寶很容易使用。僅用戶...