以太坊上的“性”(Spoof)代币

虚假或“spoof”的ERC-20代币转账在以太坊并不是什么新鲜事。然而，去年区块链的广泛采用导致了这些案例的急剧上升。现在越来越多的问题和最近一个备受瞩目的案例需要更深入的研究。

在本文中，我们会介绍：

这是什么“spoof”

如何检测它

如何避免

想象一下，听到一个被大肆宣传的DeFi产品即将进行代币空投的传言。作为一个完美的交易者，我们会搜索所有关于这一切的线索。

我们会注意到一个与这个DeFi产品的名称和符号非常相似的代币是新铸造的。更重要的是，我们会看到它被发送到一个我们私下标记为属于一个人脉广泛的鲸鱼/网红的地址。

我们想要领先于其他人了解这个代币，我们从一个刚刚创建的Uniswap V2流动性池中购买许多代币。一个小时后，LP耗尽了所有ETH，我们意识到自己被耍了。

雄安新区召开数字人民币试点工作推进座谈会:根据中国雄安官网11月9日信息，人民银行雄安新区营管部联合雄安新区改革发展局召开雄安新区数字人民币试点工作推进座谈会。

雄安新区改革发展局相关负责人指出：下一步数字人民币试点工作要围绕两个重点开展：一是不断强化宣传推广，推动新区数字人民币个人钱包、对公钱包开户数与应用场景持续增加，建立数字人民币多维消费场景，打造容东片区数字人民币无障碍支付体验社区，推动数字人民币在智慧社区、智慧能源、智慧交通、区块链资金支付等领域发挥更大的作用，满足市民多样化、品质化消费需求。

二是将数字人民币试点与新区数字城市、智能城市的规划建设相结合，与新区数字经济发展、金融科技创新监管试点相结合，积极在数字支付新载体、新场景、新模式等领域进行更为深入的探索，加快数字人民币硬件钱包、嵌入可穿戴设备等创新科技成果落地转化，创造出一批具有雄安特色的试点成果，助力新区数字经济与智能城市发展。

人民银行雄安新区营管部相关负责人提出，推进数字人民币工作的五个维度：一是“数币人民币+普惠金融”。二是“数字人民币+乡村振兴”。三是“数字人民币+金融科技”。四是“数字人民币+绿色城市”。五是“数字人民币+智慧城市”。（中国雄安）[2021/11/9 6:40:34]

这些真实的 OpenSea 代币也不是由OpenSea: Registry地址转移的

天猫上线元宇宙艺术展，参展品牌包括Burberry、五粮液等:10月18日消息，天猫上线“天猫双11首届元宇宙艺术展”，在淘宝App搜索框搜索“元宇宙艺术展”即可进入。据该页面显示，参展品牌包括了Alienware、Burberry、小鹏汽车、五粮液等。[2021/10/18 20:38:08]

我们所犯的错误是认为代币转移实际上是由影响者地址进行的。这种“spoof”通过利用以下两点来毫无戒心的用户：

ERC-20标准设计

区块浏览器的透明数据显示

ERC-20标准的transfer和transferFrom函数可以修改，可以允许任何任意地址作为代币的发送方，只要在智能合约中进行指定，这会导致代币从不同于发起地址的地址进行转账交易。

通常“spoof”代币合约不会在Etherscan上进行验证，因为这有助于掩盖合约的内部工作原理。

对于ERC-20代币转账，Etherscan 等区块浏览器会显示传输代币的地址，而不是发起者地址。由于区块浏览器的性质，默认情况下不会审查区块浏览器的数据。

在大多数情况下，伤害程度仅限于持有零值的代币。但更危险的情况也可能存在，比如带有恢复错误消息的代币指向窃取用户私钥的钓鱼网站。ERC-721和ERC-1155代币(NFT)也可能遇到同样的问题。

答案相当简单。对于任何这些代币传输，单击确切的交易哈希并检查其详细信息。发起交易的From地址显然与代币转移的From地址不相同。

要深入挖掘，请在交易输入数据或合约源代码中查找“性”的 From地址。它通常包含在任一位置中。如果合约没有被验证，这个步骤会进行的更困难，但同时它会自动地使该代币看起来更加可疑。

伪造的 OpenSea 代币看起来好像是由 OpenSea: Registry 在此交易中转账的

一个关键的警告。并非所有由不同地址发起的代币转账都是假的或有性的。一个常见的例子是dApp批量发送多个代币转账。这些通常有一个由Etherscan添加的公共名称标签。

批量发送代币的交易

spoof的“近亲”是垃圾邮件代币。虽然这些不是假装是由有影响力的人的地址发送的，但它们是一起发送到该地址，并使阅读地址的代币标签成为一个痛苦的体验。

对于一般的用户，不需要做任何事情，因为这个问题不太可能影响我们。

Etherscan默认不审查数据，但正在探索帮助缓解这个问题的方法。第一步是扩展代币忽略列表的功能。特性：

自动隐藏ERC-20、ERC-721和ERC-1155标签中的代币转账，并在地址余额和代币持有中隐藏它们。

包括一个简单的选项，让用户选择忽略所有被Etherscan标记为可疑或糟糕的代币。

我们希望这个功能扩展将有助于保护用户免受，同时在网站上享受一个更干净的用户体验。

Source：https://medium.com/etherscan-blog/spoof-tokens-on-ethereum-c2ad882d9cf6

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。