Etherscan を使用する詐欺師に注意してください

ブロックチェーン インデックス サービスは、契約イベントを利用してデータをアーカイブし、Etherscan などの「ブロック ブラウザー」と呼ばれる美しいユーザー インターフェイスでトランザクション レコードを提供します。しかし、悪意のある契約は完全に「正常」に見えても、これらのイベントを汚染し、ブロックエクスプローラーを欺き、疑いを持たないユーザーにトークンの起源に関する誤解を招く情報を提供する可能性があります。

たとえば、悪意のあるユーザーは、単純な ERC20 契約を展開し、トークンをユーザー グループに「エアドロップ」し、自動マーケット メーカー上に一見健全な流動性プールを作成し、そのトークンが既知の開発者/エンティティの一部であると信じて、虚偽の宣伝に基づいてユーザーがトークンを購入または販売するのを待つ可能性があります。

壊す

ERC20 トークン (トークン インターフェースのユニバーサル標準) は、契約のプロパティ、関数、入力、出力、およびイベントの集合です。コントラクトに正しい機能シグネチャがある限り、それらの関数（誤ったデータを提供する関数であっても）でカスタム ロジックを使用できます。

たとえば、コントラクトデプロイヤーがトークンを送信すると、一部またはすべてのブロックエクスプローラーでエンドユーザーに異なるアドレスが表示されるようになります（特定のビューで）。前提は次のとおりです。

• 契約のデプロイヤーは悪意を持っており、トークンの誇大宣伝を行おうとしています。

• トークンは、ユーザーが売買できるように AMM (Uniswap など) で一定の​​流動性を持ち、主な流動性プロバイダーのポジションはトークンの背後にあるチームに属します。

• 送信者は単なるランダムなアドレスではなく、多くのユーザーに知られています。

これは ERC20 だけの問題ではありません。汚染されたデータは、NFT (ERC721、ERC1155) などのトークン標準イベントに挿入され、ユーザーや潜在的な投資家を混乱させ、プロジェクトに特定の利害関係者や影響力のある関係者がいると思わせる可能性がありますが、実際にはそうではありません。

この問題は「新しい」ものではありませんが、私たちはこの記事を、何が起こっているのか、そして「正当に見える」プロジェクトを「コピー」する前にユーザーが何をすべきかを強調するために書きました。

ブロック エクスプローラーは、トランザクションによって発行されたイベントを検出すると、それをオフチェーン データベースに記録し、他のデータと関連付けて、トランザクション関係のわかりやすいグラフを作成し、UI でエンド ユーザーに表示できるようにします。

概念実証

私たちは、Solidity の古いバージョンを使用して概念実証契約を展開し、それがどの Solidity バージョンでも、あるいは Ethereum 内のどのバージョンでも機能することを証明します。これは、契約を信頼するオフチェーン アプリケーションからの信頼の問題です。一般的に言えば、イベントに対する継承された信頼は「正しい」ものであり、契約がデータをオフチェーン プログラムにインデックス作成用に提供するための方法です。

上記のコントラクト（0x3afe99bd92b1aed3237196b26743681766d4940e に位置）では、私たち（コントラクトを作成した人）がトークンを送信することを条件に、Transfer イベントの送信者アドレスを、一般的なブロック エクスプローラーで「OpenSea:Wallet」としてマークされているアドレスに変更するようにロジックを変更しました。

ブロック エクスプローラーがそのイベントをインデックスすると、Transfer イベントから、実際の送信者 0x11b6…04C9 ではなく、アドレス 0x5b32…1073 がトークンを送信したことがわかります。これにより、この方法が悪意のある人物によって悪用され、ユーザーを騙して次のような考えを抱かせる可能性があります。

• 人気人物がトークンに既得権益を持っている

• 人気者が大量のトークンを「処分」

• ブロックエクスプローラー上でトークンコントラクトと「相互作用」している既知のエンティティが表示されるため、トークンは正当である。

コントラクトデプロイヤーアドレスから transfer() を呼び出して、ブロックエクスプローラーがインデックスするものを確認しましょう。コインを自分のアドレス (0x11b6…04C9) から宛先アドレス (0x4bbe…1520) に移動しているところです。

「OpenSea: Wallet」のERC20アクティビティビューには、OpenSeaRevenueShareというトークンが送信先に送信されたことが示されています。

トランザクションは、「OpenSea: Wallet」が宛先アドレスにトークンを送信したことを示します（「tokenTransferred」内）。

送信先アドレスを見ると、「OpenSea: Wallet」が10トークンを転送したことがわかります。

何かお探しですか?

ユーザーを搾取するために設計されたこれらの悪意のある契約のほとんどは「検証」されておらず、ブロック エクスプローラー上のバイトコードにしかアクセスできないため、イベントが不正なデータで汚染されている場合、概念実証と同様に、ユーザーが特定の条件に基づいてそれを検証することは困難です。契約が検証されていない場合、つまり Solidity/Vyper/... コードが表示されず、バイトコードのみが公開されている場合は、契約を操作する前に予防措置を講じる必要があります。

トークンが当社または他の組織に「エアドロップ」された場合、特に DEX でトークンを清算しようとするときは注意が必要です。過去には、人工的な価格設定方法を使用して DEX からトークンを盗んだ事件があったためです。

これを行う簡単な方法は、イベント パラメータがトランザクションの送信者と一致するかどうかを確認することですが、エアドロッパーには複数の送信者契約があるため、これは完璧ではありません。たとえば、トランザクションの「From」フィールドがイベントと一致しない場合は、注意して続行してください。

不良データでイベントを汚染する方法がメインネット上で進行中です。既知の問題です。たとえば、Google BigQuery で次のクエリを実行すると、Vitalik Buterin がトークンを使っているとインデクサーに思わせるイベントを発行しているコントラクトで何が起こっているかを確認できます。

例

エロンプレイド (0x907f3040e13bd57f3b00f89bb8ee19424a95b065)

コンストラクターは、トークン供給全体に対して、Vitalik Buterins のアドレスで汚染された Transfer() イベントを発行します。

トークンを使用してトランザクションが開始されると、Vitalik Buterin のアドレスで汚染された Transfer() イベントが発行されます。

• 契約作成者はDEXに流動性を提供する（4ETH相当）

• 3日後、6ETHの流動性が削除され、2ETHの利益が出た。

けんしゃいぬ (0x3a7eaa257181719965f8ebe64bb7c13ffbbca36b)

コンストラクターは、トークン供給全体に対して、Vitalik Buterins のアドレスで汚染された Transfer() イベントを発行します。

• 契約作成者はDEXに流動性を提供する（5ETH相当）

• 3日後、6.9 ETHの流動性が引き出され、1.9 ETHの利益が得られました。

アイアンドージ (0xf6072df56114e1a1c76fe04fb310d468c9ba8c38)

コンストラクターは、トークン供給全体に対して、Vitalik Buterins のアドレスで汚染された Transfer() イベントを発行します。

• 契約作成者はDEXに流動性を提供する（4ETH相当）

• 翌日、5.8 ETHの流動性が削除され、プロジェクトは1.8 ETHの利益を得ることができました。

これらは、数ある例のうちの 3 つにすぎません。悪意のある人物は、汚染されたイベントを利用してユーザーを騙しており、そのターゲットは Vitalik Buterin の既知のアドレスだけではありません。

要約する

ブロック エクスプローラーはブロックチェーン データを視覚化するのに非常に便利ですが、そのロジックが悪用されると誤解を招くようなデータや不正確なデータが表示される可能性があります。 「信頼するのではなく、検証する」という古いブロックチェーンの格言は、特に私たち全員がブロックエクスプローラーがデータをどのように解釈するかに関係なく、完全に正確なデータを提供すると信頼している場合には、適切であると思われます。

これは既知の問題であり、解決が難しい可能性があります。この投稿が、FOMO を減らし、プロジェクトを「コピー」する前にもっと慎重になるのに役立つことを願っています。なぜなら、実際には投資していないのに、誰かが投資しているように見えるからです。