前言
随着区块链技术的不断发展,Web3 项目的发展也越来越受到人们的关注。然而,一些不良项目方会通过各种手段虚假宣传、过度营销,以吸引投资者的眼球。例如,他们会使用高额的回报承诺、华丽的广告宣传、虚假的数据和虚构的背景等手段来骗取投资者的信任。一旦投资者轻信这些虚假宣传,就会盲目跟从,最终导致投资亏损。
此外,一些不良项目方还会采用欺骗性的营销手段,例如在数字货币市场下跌时,恶意砸盘,迫使投资者割肉止损,进而赚取巨额利润。这种行为不仅严重损害了投资者的利益,也会导致数字货币市场的稳定性受到威胁。
Numen作为领先的Web3安全公司,时刻关注Web3领域的安全风险。对于不良项目方恶意砸盘,迫使投资者割肉止损,赚取巨额利润的行为,Numen安全团队发布Web3项目的风险评估服务,针对Web3项目进行全面评估,找出项目方可能存在的风险,帮助投资者追踪资金流向。
Web3项目风险评估
对于项目方作恶的行为,Numen安全团队通过链上和链下两个评判方向的多个评判细则评估项目风险,包括链上细则17条和链下细则9条,可以对项目方进行全方位的安全判定。
对项目信息进行全面获取后,Numen会根据链上资金交易情况和项目宣传信息进行分析,判定项目运行时资金流转及产品是否按照文档执行。比如:项目代币是否按照文档介绍分布,合约逻辑是否于项目文档内容相匹配、是否存在恶意砸盘、是否存在合约特权角色作恶获利、官方操作时间线。
当项目方确实存在非法获利的情况时,可通过Numen加密货币追踪服务找回资金,Numen加密货币追踪服务可以帮助客户了解交易历史记录,包括交易金额、交易时间等信息。此外,加密货币追踪服务还可以帮助客户了解加密货币资金流向,包括加密货币的转移方向和目的地。
例如Numen对Jasmy项目分析(https://github.com/numencyber/Public_Report/blob/main/JasmyCoin%20Funding%20Analysis%20Report.pdf ),该项目存在代币分发的不确定性,和白皮书描述与项目进程不符的情况等问题。项目投资者一味购买Jasmy代币,最终由于存在恶意砸盘的情况,导致投资者损失大量资金。Numen在接到投资者需求后,对Jasmy项目运行情况进行了分析,并对可能砸盘的地址添加标签,进行分析追踪。
资金追踪
Numen提供的加密货币追踪服务包括两个方向:项目方恶意获利资金追踪和资金被盗追踪
项目方恶意获利资金追踪
当项目方存在恶意获利时,Numen可对项目方资金流向,针对不同时段的项目方宣传文档进行追踪对比,利用资金追踪手段,对恶意砸盘的地址进行深度分析,找出项目方蛛丝马迹,帮助投资者找回资金。
上图是对作恶项目方进行资金追踪,通过链上和链下两种方式进行追踪,在比较重要的链上分析中,会分析多种资金流动情况,包含项目方链上手续费来源等资金流。对于资金追踪,获取更多的信息对于追踪则更加有利。可以根据资金损失的用户了解项目信息,例如:
- • 用户参与项目时间及损失资金数额;
- • 用户是否清楚参与项目的规则和推广方式;
- • 用户是否参与项目相关的社群;
- • 用户是否留存项目相关宣传图片和文档;
- • 用户是否参与项目相关公募或者空投活动。
在项目方存在恶意获利追踪时,Numen会借助内部专业工具和Numen链上标签库快速梳理出手续费来源、地址余额、交易习惯,还可以通过追踪层级分析该地址的资金来源、资金去向、交易地址等,整理出完整的资金链路,实现链上地址画像,确定核心人员。
资金被盗追踪
当用户或者项目方资金被盗,在确认被盗地址金额及时间后,对地址进行追踪和监控的同时利用Numen标签库确认资金目的地。如果资金进入交易所,可通过调查取证获取攻击者信息;如果资金进入Tornado.Cash混币平台,会更深入的分析及取证来获取攻击者信息。区别于其他We3安全公司,Numen拥有全面的网络安全能力,包括Web3链上以及链下威胁情报,以及二进制研究能力(漏洞挖掘,恶意代码分析,APT攻击分析,取证调查,分析,攻击事件分析等,关于二进制安全能力可以查看我们的安全研究文章),传统web安全能力(web渗透测试,红蓝对抗,web代码审计等),在条件充足的情况下,对于资产追踪,攻击者溯源有明显优势。
总结
Numen新增Web3项目的风险评估服务是为了增强Web3安全性,避免盲目投资者受到损失,但由于区块链的特性,不能确保数据的完全准确性。因此,为了避免投资者资金损失,投资者应该保持警惕,审慎选择Web3项目。在选择Web项目时,应该查阅相关项目官方文档等信息,并对项目方的真实情况进行深入了解,避免盲目跟从。 如果出现资金被盗,可以通过合法手段追回资金,所以投资者出现资金被盗后,可以及时与Numen联系,尽快追回资金。
所有评论