finian

@RedBeanIce #3 你们目标是啥？卖货还是做产品？卖货的话根本不需要自己开发。做产品的话你们这个商城打算怎么推广？怎么盈利？这些都想清楚了吗？

@yuuou #85 append

单私钥的话，你看看你的 Nested SegWit （`3` 开头地址）是不是就是那个地址吧

留意一下 12367 的出入境记录更新情况，最近都延迟了，如果没记录，线上申请的估计办不了

准确来说，你这个并不是「零值转账」，区块浏览器现在都默认不会显示「零值转账」交易记录了。我梳理下目前的地址投毒手法：

假设黑客监测到受害者的转账记录：
A --> B (X Y)
A 地址向 B 地址转账 X 枚 Y 代币。

黑客可以选择实施以下地址投毒攻击：
> B' 地址和 B 地址的首尾多个字符相同，不仔细辨认容易认错。
> 投毒攻击的最终目的，是期待受害者下次转账时转到黑客构造的 B' 地址。

1. A --> B' (0 Y)
构造 A 地址向 B' 地址转账 0 枚 Y 代币的交易。由于绝大多数 ERC20 代币合约的 `transferFrom` 方法未严格区分「未授权」和「授权数量 0 」，导致使用 `transferFrom` 转移 0 数量代币可以绕过授权检查（ Maybe it's a feature, not a bug ），即任何人都可以构造 A 地址转移 0 枚 Y 代币的交易。但目前几乎所有 Ethereum 浏览器都默认不会显示 0 数量代币的交易记录，所以这个方法已经不再使用。

2. B' --> A (小额 Y)
构造 B' 地址向 A 地址转移小额 Y 代币的交易。由于 0 数量代币交易记录已经不会默认显示了，所以黑客转而构造小额代币转移交易。但由于授权机制的限制，黑客不能将 A 地址构造成发送者，只能向 A 地址转账。由于 B' 地址是发送者不是目的地址，受害者上当的概率会小一些。

3. A --> B' (X Y')
构造 A 地址向 B' 地址转移 X 枚 Y' 代币的交易。Y' 代币是黑客构造的假代币。黑客可以通过合约随意构造 A 地址转移 Y' 代币的交易记录。而且为了让受害者更容易上当，转移数量会和受害者真实的转移数量保持一致。这是目前最常见的攻击手法，也是 OP 遇到的攻击类型。

总之，转账前一定要再三确认目的地址，不能只看前后几位。大额转账先小额转下确认没问题再转剩下的。

祝好

这是典型的假代币地址投毒，手法是这样的：
- 黑客监测到你的地址 A 往地址 B 发送了 X 枚 Y 代币
- 他马上用假代币 Y' 合约构造从你的地址 A 发送 X 枚 Y' 代币到地址 B' 的交易（地址 B' 和地址 B 首尾几个字母一样）
- 如果你下次转账时不验证目的地址，直接从交易历史复制地址 B'，就直接发到黑客伪造的地址 B' 去了

OP 来迟一步了，昨天下午车门已关

想多了