撰文 Terry

最近一年，你有没有遇到过 Rug Pull（撤池子，跑路）项目？有没有因为喊单 KOL 的鼓吹而遭遇「买入即巅峰」？或者遭受越来越猖獗的钓鱼攻击导致的损失？亦或是在头部平台买入新上线的 Token 后一路跌跌不休？

估计不少用户都心有戚戚，中招至少一类场景，可以说，这应该是绝大部分普通投资者在过去一段时间投资经历与真实心境的写照：

无论是链上安全问题还是资产缩水问题，对于用户来说都是防不胜防，不少以前司空见惯的坑甚至都开始产业化，说到难听一点，几乎是连「韭菜根」都连根拔起。

本文就来盘点一下近期加密世界越来越花样百出的坑，以及对于普通用户，加密行业是否还有赚钱红利机会？ 普通用户的「花式亏钱大法」 1）Rug Pull 的产业化趋势

首先 Rug Pull 卷款跑路的设局越来越高端，最离谱的莫过于 ZKasino 一事：

4 月 20 日，有社区用户根据 Wayback Machine 历史页面对比发现，ZKasino 将其官网 Bridge 界面 Bridge funds 中的「Ethereum 将被返还，并可被跨链回去」（Ethereum will be returned and can be bridged back at this point.）一句删除。

与此同时社区用户也无法提款，ZKasino 官方 Telegram 被管理员禁言，社交媒体也停止更新，卷款总金额在 2000 万美元以上。

但有意思的是，就在一个月前的 3 月份，ZKasino 刚刚官宣以 3.5 亿美元估值完成 A 轮融资，具体金额未披露，但有多家交易平台和 VC 参投…..

除此之外，像被戏称为「Rug 链」的 zkSync，不仅频繁发生生态项目安全事件，而且蹭热点、快速完成收割的产业化趋势越来越明显，就像前不久与 Merlin 同名的 zkSync 生态 DEX Merlin 发生 Rug Pull，影响上百万美元资金。

只能再次强调一下目前 zkSync 生态的诸多项目确实参差不齐，大家在参与体验 zkSync 生态的同时还是要保持警惕，谨防各个层面的风险。 2）日益猖獗的黑客 / 钓鱼攻击

最近在链上安全领域最令人侧目的一起案件，无疑就是大家似乎已经司空见惯的「首尾号相同钓鱼攻击」：

某巨鲸地址遭首尾号相同地址钓鱼攻击，损失 1155 枚 WBTC，高达 4 亿元以上！虽然后续迫于种种因素该黑客选择了归还资金，但仍揭露了此种钓鱼行为「三年不开张，开张吃一辈子」的极高风险收益比。

而且类似的钓鱼攻击近半年来也已然产业化——黑客往往通过海量生成不同首尾号的链上地址，作为预备的种子库，一旦某个地址和外界发生资金转账，就会立即通过在种子库里找到首尾号相同的地址，然后调用合约进行一笔关联转账，漫天撒网等待收获。

由于有些用户有时会直接在交易记录里复制目标地址，且只核对首尾几位，从而中招，按照慢雾创始人余弦的说法，针对首尾号的钓鱼攻击，「黑客玩的就是撒网攻击，愿者上钩，概率游戏」。