转币用二维码很方便 但小心因此丢币

转币用二维码很方便 但小心因此丢币


前言:本文作者是比特币钱包ZenGo团队。在计划将QR码功能添加到钱包的过程中,他们发现网络上的许多QR码生成网站存在问题。使用这些网站生成的二维码时,用户将丢失币。因此,ZenGo团队分析了一些常见的欺诈形式,并希望提醒用户。


加密


很快,我们将添加QR码功能到ZenGo钱包。为此,我们对QR码进行了深入研究。


与往常一样,我们还研究了此功能的安全性,并发现了一些与QR相关的欺诈活动。我们想知道这是否是一种普遍现象。令人惊讶的是,当我们在谷歌查询时,排名前5的结果中有4个是针对欺诈性网站的。


这些站点在生成QR码之后生成欺诈者控制的地址,而不是由用户设置的地址,从而将通过QR码的所有资金流式传输到欺诈者。


为了保护用户资金的安全,我们与几家威胁情报提供商分享了我们研究的技术细节。


1


(谷歌搜索结果显示第二和第三个网站是欺诈性的)


币圈的QR码


根据cryptocurrencyfacts.com:在两台设备之间传输加密货币时,QR码是一种简单,快速,安全的共享地址的方法。这在面对面pos(零售终端)交易中特别有用,因为复制和粘贴地址不太现实,这种方法避免了手动输入复杂地址的风险(如果输入错误的字符,交易不能完成)。


收款人需要显示所选加密货币地址的QR码。无论是通过商业软件还是钱包应用程序,生成QR码的过程都是由软件完成的。


发件人需要扫描收款人的QR码。具体过程是他们需要用特定的加密货币打开钱包应用程序,输入发送金额,点击QR码选项,扫描收款人的QR码获取地址,确认信息(发送号码和地址),以及然后确认交易。 。


常见的欺诈程序


这种欺骗方式太简单了。欺诈者的地址由QR码生成器嵌入,并且许多受害者甚至不知道被欺骗。


我们生成了一个地址18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4的QR码。


2


(提交的地址是18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4)


但我们得到的是一个匹配另一个地址的QR码。


3


(实际生成的地址是17bCMmLmWayKGCH678cHQETJFjhBR44Hjx)


如图所示,一个有趣的现象是诈骗者甚至不需要自己生成伪QR码,而是无耻地调用区块链浏览器的API来生成地址的QR码。


诈骗者使用的额外技巧


一些欺诈者不仅会创建带有自己地址的二维码,还会为他们的诈骗添加一些额外的“模式”:


适应各种地址格式:比特币支持多种地址格式。最值得注意的是,正常地址以“1”开头,P2SH地址以“3”开头,Bech32地址以“bc”开头。一些欺诈性网站根据申请人的地址格式创建QR码。如果受害者没有仔细确认,很难找到问题所在。


4


(Javascript代码实现上述欺诈方法)


这种欺骗手段有效吗?当然


由于比特币区块链是公开的,我们收集了一些有关此类骗局的统计数据。



其中一个欺诈性地址:活跃2个月,共21笔交易,获利0.58 BTC(来源:blockchain.com)


6


欺诈现金:将资金从欺诈性地址转移到他们的钱包(来源:btc.com)


我们收集的数据显示,此类诈骗造成的损失至少为20,000美元。这可能只是冰山一角,因为欺诈者可能经常更改其地址以避免被发现或列入黑名单。


用户应该怎么做?


如果您需要生成QR码:


不要谷歌!如果您需要生成QR码,最好使用您熟悉的网站,例如最受欢迎的块浏览器。


仔细验证:在发出此QR码之前,请使用钱包应用程序再次扫描,以验证地址的准确性。


威胁情报服务非常重要:将威胁情报服务(如MetaCert的Cryptonite)添加到浏览器插件和钱包中,这些服务可以在用户访问欺诈性网站和地址时提醒用户,有时是有用的,但不是灵丹妙药,因为这些服务的覆盖范围是有限。


目前发现的欺诈信息如下:


17bCMmLmWayKGCH678cHQETJFjhBR44Hjx(hxxps://bitcoinqrcodegenerator.net/)


14ZGdFRaCN8wkNrHpiYLygipcLoGfvUAtg,35mJx4EeEY7Lnkxvg1Swn1eSUN1TtQsQ3,bc1qs4hcuqcv4e5lcd43f4jsvyx206nzkh4az05nds(hxxps://btcfrog.com/)


1KrHRyK9TKNU4eR5nhJdTV6rmBpmuU3dGw(hxxps://bitcoin-qr-code.net)


1Gg9VZe1E4XTLsmrTnB72QrsiHXKbcmBRX(hxxps://mybitcoinqrcode.com/)


QR码是一种非常简单的共享数据的方式。但是,由于代码不是人类可读的,它为欺诈开辟了新的道路。欺诈可能发生在收款人身上,因为它需要生成带有地址的QR码,但如果发件人使用不安全的钱包或不安全的QR码生成器,它也可能是受害者。通过。


我们相信将来会有更多与QR码相关的欺诈事件,而加密货币社区需要解决这些问题并提出更好的保护措施。


网友点评

*

*

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。