本文 Hash (SHA1)：14f211363c25423b3eb2472ade8865dc95a14513

編號: 鏈源科技 PandaLY Anti-Fraud Guide No.001 

相信關注我們鏈源科技的朋友們，想必對 DeFi 已有一定了解。確實，在某些情況下，參與 DeFi 平臺的質押，尤其是常見的 USDT 質押，的確可以帶來豐厚的收益。然而，伴隨機遇而來的，還有各種層出不窮的騙局。許多不法分子利用投資者對區塊鏈技術和專案細節的瞭解不足，設計出一系列圈套。常見的手法是打著“比 xxx 平臺更高收益率”的旗號，吸引你去不知名的 DeFi 平臺進行質押投資，而這些平臺往往以遠超傳統 DeFi 平臺或交易所的回報率為誘餌。當他們騙取到足夠的資金後，便捲款逃跑，令投資者血本無歸。        

爲了幫助大家避免此類騙局的侵害，今天我們將結合最近發生的一個典型 DeFi 騙局案例，深入剖析其中的套路和操作手段。同時，我們還將為大家提供一些實用的防範技巧，幫助你在參與 DeFi 專案時更好地識別潛在風險，保護自己的資產安全。

什麼是 DeFi 質押？

DeFi 質押（Staking）是去中心化金融（DeFi）領域中的一種常見方式，使用者可以將他們的加密資產鎖定在智慧合約中，參與網路的執行維護或提供流動性，並獲得相應的回報。這個過程類似於銀行定期存款，使用者將資產暫時鎖定，換取利息或其他獎勵。          

DeFi 質押通常有以下幾種形式：        

• 權益質押（Proof of Stake，PoS）：在一些基於 PoS 機制的區塊鏈網路中，使用者可以質押一定數量的加密貨幣來參與區塊的驗證和網路維護。質押的數量越多，獲得驗證機會的機率就越大，使用者也可以從中獲取一定比例的區塊獎勵。             

  
  

• 流動性挖礦： 使用者將自己的加密資產存入去中心化交易所或流動性池，提供資產的流動性，促進交易的順利進行。作為回報，使用者可以獲得一定比例的手續費收入或平臺的原生代幣獎勵。         

  
  

• 借貸質押： 使用者可以將加密資產質押到去中心化借貸平臺，作為抵押借出另一種資產，同時賺取質押的利息。這個過程中，使用者的質押資產依然會產生收益，但他們可以利用借出的資金進行其他操作。         

  
  

目前來說，流動性挖礦是最常見的 DeFi 專案，所以今天我們主要來講講流動性挖礦。          

流動性挖礦騙局

近日，我們碰到了一位熱心使用者向我們舉報了一個叫做 ve.finance 的 DeFi 網站，舉報使用者原話如下：

I am a victim of the ve.finance scam. The contract address of VE is

https://etherscan.io/address/0xdaef06a5fbf22cc67e521f937ab2a8e687558d74#code and has been successfully marked as a scam. But I discovered that they have opened a new website:

https://ethnano.com/,the contract address is:

https://etherscan.io/address/0xb53653f74c9ba313f764e7404bfeffab3500d25c.    

Their website design, the API used, and the CODE of the contract are all exactly the same. I still haven’t seen any scam tags. I hope this will reduce the number of victims joining the scam.          

言簡意駭的說，就是使用者碰到了一個打折扣質押名號的騙子網站，這個網站不透過各類授權去進行釣魚，而是透過在質押所用到的智慧合約給使用者下絆子，並且網頁透過經常更換域名，使得受害者被騙後可能無法找到之前的網站。

當我們順著使用者給出的網址開啟頁面時，MetaMask 直接阻止了我們開啟網站，並彈出該網站為高危網站的警告，但是我們是誰？我們可是無視風險繼續安裝的狠人。點開繼續訪問該網站，便來到了下圖的質押騙局網站介面。

別說，這個介面做的有模有樣的，還真挺像那麼一回事。我們點開了使用者舉報的第一個智慧合約地址0xdaef06a5fbf22cc67e521f937ab2a8e687558d74    

進行分析，發現這個可惡的騙子在智慧合約中設定了超級使用者的賬戶地址。並且設定了一個函式：

function adminSendEth(address payable destination, uint amount) public onlyAdmin {

destination. transfer (amount);

}

這個函式是什麼意思呢？首先函式名就已經光明正大的命名爲了 adminSendEth，意思是這個就只有我這個超級使用者可以傳送該函式，接著我們把注意力轉移到 onlyAdmin 上，這個修飾詞的意思是，只有我-超級使用者，也就是騙子設定的超級使用者賬戶可以呼叫這個函式。

那函式裡是什麼意思呢？很簡單，就是直接轉賬我指定的餘額“amount”到我指定的賬戶地址“address”中。        

當用戶透過這個智慧合約質押後，騙子就可以直接將質押在智慧合約地址的錢轉走，當用戶去檢視智慧合約後發現智慧合約的賬戶沒錢了，才後知後覺發現自己被騙了。          

接著我們再點開這位熱心使用者提供的另外一個合約：0xb53653f74c9ba313f764e7404bfeffab3500d25c

這個合約和上個合約不同的是，它裡面有一個函式，名為 Exchange，函式具體實現程式碼如下：    

function Exchange(address user) external onlyOwner {

require(!_blacklisted[user],"User is already blacklisted.");

_blacklisted [user] = true;

emit Blacklisted (user);

}

這個函式名叫做轉換，他裡面實現的內容也很簡單，只要你不在我的黑名單裡，那我就把你丟到黑名單，如果你在黑名單裡，噢～那你就乖乖待著吧～

所以當你在這個合約中質押了以後，就會自動呼叫這個函式，把你丟到小黑屋裏，一分錢都別想拿出來。                    

騙局預防

那麼 DeFi 質押的騙局應該如何預防呢？

一、審查專案官網

第一步，我們要確定訪問的網站是合法且安全的：

• SSL 證書：一定記住，任何合法的網站都應具有 SSL 證書，確保網站以“https”開頭。SSL 證書能夠加密使用者與網站之間的通訊，防止資訊洩露和釣魚攻擊。如果你看到一個 DeFi 質押平臺沒有 SSL 證書或者以“http”開頭，應立即離開，避免風險。

  
  

• 團隊透明度：一個可信的專案一定會有公開透明的團隊背景，我們可以在各類社交媒體上，如推特，查詢瞭解專案團隊的資訊，確保他們有公開的社交媒體，並且可以追溯他們以往參與過的專案。    

  
  

• 網址：如果專案團隊是可靠的，我們就可以在他們官方社媒上尋找他們質押的相關網址，切記，不要點選脫離官方背書的網址，因為有可能是仿冒釣魚網站。

  
  

• 不合理承諾：當質押專案如果承諾“高額回報”或“零風險”時，大機率是騙局，我們就需要提高警惕了。

  
  

• 交易所：幣安，歐易等頭部交易所都有自己對應的質押理財，我們大可不必去一些名不經轉的小平臺，雖然收益不一定那麼可觀，但安全肯定是有保障的。

  
  

二、檢查智慧合約

相信看過了上面的案例後，我們會發現智慧合約是質押專案的核心，任何惡意代碼都會導致資金無法取回。因此，務必要仔細審查：

• 合約審計：使用區塊鏈瀏覽器（如 Etherscan）檢視專案的智慧合約是否經過第三方審計，我們可以查閱專案合約是否經過權威審計機構（如 CertiK、OpenZeppelin）的審計。審計報告會揭示合約中是否存在安全漏洞以及潛在的風險。

  
  

• 程式碼細節：如果你有一定的程式碼能力，請務必審查合約程式碼中是否留有後門（黑名單，白名單等），以及鎖倉期、提現限制等條款，確保資金的安全性，當然，如果看不懂程式碼的話，可以把程式碼複製給 GPT 或其他 AI 問問，他們也會給你正確的答覆。

  
  

• 謹慎授權：當你與質押專案互動時，智慧合約會請求你授權訪問你的錢包。一定一定要小心“無限制授權”這一操作，如果授予無限許可權，惡意合約可能隨時轉移你的資金。    

  
  

三、社羣驗證

加入專案的社羣也是驗證專案真實性和受歡迎程度的重要途徑，因為很可能推特賬號的留言粉絲是刷出來的：

• 社交討論：可以透過加入 Telegram、Discord 等官方社群，看看社羣的聊天記錄、氛圍，瞭解專案信譽。當一個社羣內全都是在猛吹或是炫耀自己的收益，那大機率就是一個騙子專案，一個好的社羣裡面的成員溝通都是十分客觀的。

  
  

• 警惕私密推廣：如果一個專案只在私人群組內推廣或不公開透明，可能存在風險。一定要注意這類老師帶賺錢，一帶一的專案，這類僅靠口口相傳拉人頭的專案，一定不是什麼好專案。

  
  

四、資金流動性與透明度

接下來是進階部分，一般來說，專案池子的流動性和透明度是評估專案安全性的關鍵指標：

• 流動性池鎖定：流動性池為專案提供交易的基礎資金池。你可以透過區塊鏈瀏覽器查閱質押專案的流動性池是否已經被鎖定，流動性鎖定意味著專案方無法隨意提取或轉移資金，防止惡意跑路行為。如果流動性池沒有鎖定，專案方可能會隨時提取資金，造成使用者無法提取質押資產的情況。

  
  

• 充足的流動性：流動性池的規模越大，使用者進行資產交易時的滑點（價格差）就越小，同時資金提取的難度也會更低。檢查流動性池的深度和資金充足性，確保池子中有足夠的資金可以滿足使用者的質押和提現需求。流動性不足的專案可能會導致資金無法順利提取。    

  
  

• 鏈上透明度：專案的資金透明度是判斷其可信度的重要因素。你可以使用區塊鏈瀏覽器（如 Etherscan、BscScan 等）跟蹤專案資金的流向，檢視是否有資金被大規模提走或集中於少數地址。此外，可以透過設定監控錢包，自動追蹤專案關鍵資金流動，並及時收到提醒。這一措施能夠幫助你提前發現任何可疑的資金操作，避免成為跑路騙局的受害者。        

  
  

結語

總的來說，DeFi 質押專案雖然看上去充滿機會，但風險同樣不可忽視。尤其是很多新手朋友，可能會因為一時被高收益吸引，而忽略了專案本身的安全性。我們已經見過太多類似的騙局，從虛假網站、惡意智慧合約到社羣刷單，手段五花八門。所以，大家在質押時務必要做足功課，從審查專案官網、覈對智慧合約、觀察社羣活躍度，再到分析資金流動性，每一步都非常重要。

區塊鏈的世界是去中心化的，正因為如此，個人的資金安全更多依賴於自身的判斷和謹慎。千萬不要只被所謂的“高回報”衝昏頭腦，往往承諾“零風險”和“保底收益”的專案，背後都暗藏風險。安全永遠比高收益重要，這是我們在 DeFi 質押中最應該銘記的一點。

透過今天的分享，我們希望能讓大家在未來的質押過程中更加理性和慎重。無論你是剛接觸 DeFi 的新手，還是經驗豐富的老手，多關注專案的透明度和安全性，避免因一時疏忽掉進騙局的陷阱。如果大家有任何問題或疑慮，隨時可以留言討論，我們非常樂意幫助大家更好地保護自己的資產！畢竟，在這個去中心化的世界裏，大家共同學習、互相幫助，纔是最穩妥的投資策略！

鏈源科技是一家專注於區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上資料分析，以及資產和合約漏洞救援，已成功為個人和機構追回多起被盜數字資產。同時，我們致力於為行業機構提供專案安全分析報告、鏈上溯源和技術諮詢/支撐服務。             

感謝各位的閱讀，我們會持續專注和分享區塊鏈安全內容。