小白必备安全打铭文手册

随着ORDI价格突破历史新高，市值超10亿美金，最高涨幅数万倍，比特币生态、BRC20各式铭文进入狂热牛市，用户安全领跑者GoPlus发现各类利用铭文的骗局开始百花齐放，特整理四种铭文典型攻击案例（钓鱼网站、真假铭文、Mint信息、危险Mint信息诈骗）与应对方案，请用户交易时注意，避免财产损失。

第一种：钓鱼网站

案例：诈骗团伙创建了一个与官方Unisat钱包平台极其相似的网站（unisats.io），并通过购买Google搜索关键词，诱导用户访问。这导致许多用户误将资产转入钓鱼网站，损失了以太坊和比特币。”

如何应对：

1. 在访问任何平台之前，务必通过官方推特或社群频道进行链接确认，避免访问伪造网站
2. 推荐使用一些安全检测的浏览器插件如Scamsniffer来检测网站安全性

第二种：真假铭文

案例：在铭文交易平台上，用户面临着辨别真假铭文的挑战。这些平台常展示多个同名铭文，用户难以区分它们的具体协议。诈骗者利用这一点，通过添加无效字段来伪造铭文。在NFT市场也存在这类问题，骗子通过铭刻相同的图片来创建伪造NFT，真伪仅在序数上有差异。

举例 https://evm.ink/tokens 上，DOGI铭文看似完全相同，实际背后大不相同。

因为平台只抓去特定的字段在前段展示，诈骗者可以利用以下手法，伪造铭文

NFT铭文也存在相关的问题，在早期市场中，经常出现NFT元属性相同，但是序数不同的情况，以BTC铭文NFT举例，一个Collection系列只会包含特定序数的NFT，如果不在这个序数集合中，就不属于该系列。因此骗子往往会伪造同一个系列的某个NFT来骗取交易，对于用户来讲，很难去分辨序数是否属于该系列。

如何应对：

1. 建议选择一些成熟的交易平台进行铭文交易，它们在安全体验上会做的更好，能够在前端很好的区分真假铭文
2. 在进行交易之前，多次确认和比对，是否和想要交易的铭文格式以及协议相同（会在第四种铭文陷阱中，解释如何从区块链浏览器查看铭文数据，进行对比）

第三种：Mint陷阱

案例：在一些公链上，诈骗团队利用用户对新铭文的FOMO心理，构造欺诈性Mint合约。这些合约诱导用户进行交互，导致用户误以为自己获得了铭文。然而，实际上用户得到的是无价值的NFT，并在交互过程中支付了高额的购买税。在Sui链上的一个案例中，用户在铭刻一个看似合法的铭文时实际上获得了假NFT，并支付了SUI代币给诈骗者，短时间内诈骗者就收集了超过5000个SUI。

如何应对：

1. 在参与任何Mint活动前，务必彻底研究和验证合约的合法性。
2. 参与未经验证的Mint项目，特别注意合约中是否设置了不合理的费用结构。
3. 在对应的区块链浏览器中，仔细分析已经成交的交易信息，看是否有潜在的安全陷阱

第四种：危险Mint信息诈骗

案例：GoPlus观察到，在用户社区中流传着危险的Mint信息。这些信息一旦发布，许多用户会急于操作，使用铭文脚本工具将私钥和交易信息复制粘贴，进行批量操作。这些操作可能导致资产被盗。诈骗团伙通过构造特殊的JSON字段并编码为hex，诱导用户进行铭刻操作，结果用户的资产可能被转移。另外，他们可能设置诱骗性的Mint合约，使用户在高昂的gas费用之后得到无价值的假铭文代币。

以该图为例：一般代币类铭文的Mint都是以地址自转，并且在Input data中加入一串代币协议的Json内容，实现铭刻的过程。许多用户在操作的时候，会使用钱包自带的自定义Hex来将代币协议的Json内容经过转义后变成16进制输入进去。对于用户来讲，一般会直接粘贴消息源中的16进制字符串，但该字符串很可能是一串恶意字符串，是由其他的Json格式转义的。

如何应对：

1. 对于社区中发布的任何Mint信息，必须进行彻底核实。避免直接使用未经验证的脚本工具，特别是涉及私钥和关键交易信息的操作。
2. 始终从可靠的来源获取信息
3. 可以在区块链浏览器中寻找已经成功的交易，查看该交易16进制是否和消息内容一致

以Ton的铭文举例，首先查看持仓排名靠前的地址（代表早期参与的大户），https://tonano.io/ton20/ton

点击其中一个地址，复制粘贴后，到https://tonscan.org/address浏览器界面，查看该地址相关铭文交易信息

同样的浏览器查询适用于以太坊/Solana等区块链

查看“Message”包含的输入铭文数据，看和自己输入的铭文数据是否一致

感谢您关注GoPlus安全系列文章。在这个快速变化的加密货币世界中，安全是最重要的考虑因素之一。GoPlus致力于持续监控行业动态，为您的数字资产安全提供全方位的保护。通过关注我们，您可以及时获得最新的安全动态、警示和最佳实践，帮助您在这个充满机遇和挑战的领域中安全导航。

关于GoPlus Security

最早推出Web3用户安全服务的C端安全数据服务方，每天最大支持3000万+调用的风险检测引擎，开源首个资产合约风险分类标准和全球最大的合约攻击样本库，成为业内检测精度最高、服务能力最强的Token、NFT安全检测服务，已向CoinMarketCap、CoinGecko、Dextool、DexScreener、AVE、Opera Crypto浏览器、SafePal, BitGet Wallet, TokenPocket, MetaMask Snaps等200多家合作方持续稳定提供用户安全数据服务。

声明：

1. 本文转载自[medium]，著作权归属原作者[GoPlus Security]，如对转载有异议，请联系Gate Learn团队，团队会根据相关流程尽速处理。
2. 免责声明：本文所表达的观点和意见仅代表作者个人观点，不构成任何投资建议。
3. 文章其他语言版本由Gate Learn团队翻译， 在未提及Gate.com的情况下不得复制、传播或抄袭经翻译文章。