在过去一年半的时间里，一群人一直在幕后默默努力，为用户打造更安全的 Polkadot 生态系统。不幸的是，诈骗在我们的行业中司空见惯，在大多数情况下，用户只能忍受这样的现状。

然而面对诈骗，需要扎实的安全实践知识，而大多数新手、甚至一些老手都不具备这些知识。Polkadot 社区在这方面与众不同，并积极反对诈骗。确保资金安全的责任依然是需要用户自己承担的，但我们可以采取一些安全措施提高诈骗的门槛。

在这篇文章中，我们将分享这些安全举措是如何产生的，它们取得了什么成就，以及 Polkadot 社区将如何在未来继续努力保护生态系统免受诈骗的侵害。

在 2021 年 2 月，Polkadot 上线还不到六个月，出现一些诈骗网站谎称可以为以太坊上的 DOT 分配 token 或赠品，类似“向我们发送 X DOT，我们将返还 3X ” 的虚假活动，是的，这些都是骗局！Web3 基金会法律部门积压了大量针对下架这些网站的请求，但是情况没有好转。

对发展中的 Polkadot 品牌的威胁是真实存在的，但我们的担忧不止于此。我们不希望 Polkadot 成为一个 “ 免费 ” 的生态系统，我们希望它成为一个安全的生态系统。Polkadot 生态中的用户不应该担心上当受骗。

W3F 和 Parity 开始就如何解决这种情况进行讨论，并在这些讨论中诞生了反诈骗团队 —— 由基金会成立的反诈骗部门领导。这看似微不足道，并且做起来确实不难。但据我所知，这是区块链第一次拥有专门的反诈骗团队，即使在当时是一个相当中心化的团队。

反诈骗团队的目标很简单 —— 尽我们所能保护用户并使 Polkadot 成为一个安全的生态系统。理论上很简单，但实现起来却很棘手，特别是如果你想忠于 Web3 的精神，并像我们一样以去中心化的方式在链上进行。

到现在一年半过去了，我们在反诈骗的各方面都取得了很大进展，包括去中心化，但仍有许多工作要做。请继续阅读详细了解我们已采取的措施、当前的状况以及我们对未来的设想。

去中心化反诈骗工作并将其上链并非易事，主要是因为大多数诈骗事件都发生在 Web 2 中。但这是可以实现的，并且现在的方式更加清晰。但诈骗者不会等我们弄清楚一切，还有用户一直在成为受害者。因此，我们从可以立即做的事情开始，同时朝着我们更广泛的目标努力。

加密骗局有多种形式，例如赠品骗局、私钥窃取者、虚假的支持机构和社交媒体上的社群，骗子总能找到新的方法来欺骗受害者。这需要保持警惕，我们发布了防诈骗指南，介绍如何保护自己免受诈骗。

• 中文版：现在骗子都这么狂了吗？！波卡官方防骗指南助你守住 DOT

• 英文版 Wiki：https://wiki.polkadot.network/docs/learn-scams

为了迅速遏制这些骗局的扩散，Web3 基金会与专门从事加密行业的反钓鱼公司 PhishFort 合作，以检测并删除虚假的网站和社交媒体。经过一年的合作，Web3 基金会转向了该领域的另一家伟大的公司 Allure Security（https://www.alluresecurity.com/）。

即使这是朝着正确方向迈出的一大步。在这之前，发现诈骗的唯一方法是，是否有人看到并报告，无论是 Parity、W3F 员工还是社区用户，而社区用户往往是在上当之后发现的。但通过与像 PhishFort、Allure Security 这样的反网络钓鱼公司合作，我们开始与骗子斗争。

建立第一道防线后，我们将重点放在不受反网络钓鱼公司保护的领域，如 Telegram 或 Discord，思考如何更加主动而不是被动的防止诈骗，更重要的是，如何去中心化我们的工作并最终将它们带入链中。

解决方案来自社区。当时，有几个社区成员积极参与打击各种形式的诈骗，这让前进的道路变得清晰。我们召集了这些有安全意识的人，并以一致的方式奖励他们保护社区。换句话说，社区会保护自己。

我们制定了两项举措：一项是让社区成员找到并关闭诈骗网站，另一项是发现诈骗 Telegram 群组并举报关闭他们。这是反诈骗赏金任务（Anti-Scam Bounty）的前身（稍后会详细介绍）。

这两项举措取得了巨大的成功。从 2021 年 9 月开始这个实验，到 2022 年 2 月结束，在它被Anti-Scam Bounty 取代时，该计划的参与者发现了 1,661 个针对 Polkadot 用户的诈骗网站，并已将其中 95% 以上的网站拿下。

不幸的是，这在 Telegram 上并没有那么成功。不是因为参与者没有参与或没有能力，而是因为 Telegram 本身对诈骗并不采取任何行动，参与者的报告和努力通常是徒劳的。因此，该计划被放弃，我们正在寻找一种更具创新性的方法来解决该问题。

但这些举措还有另一个重大影响：它们将决策过程从 Web3 基金会和 Parity 转移到了社区。 反诈骗团队正在去中心化！

用子赏金奖励反诈骗计划的参与者的想法从一开始就存在，但那个时候子赏金模块还没开发出来。Bounties 赏金模块允许将一部分国库资金指定用于一些特定的任务。它由赏金的管理者、具有该领域专业知识的个人或实体控制，根据赏金的目的进行分配。子赏金模块扩展了该功能，并允许赏金是开放式的，并可以为不同的已完成的任务或里程碑分配小额的资金。

因此，一开始我们用 tips 小费奖励参与者的努力。当子赏金模块最终进入 Polkadot runtime 时，反诈骗赏金（Anti-Scam Bounty）被创建，这是第一个使用该模块的赏金。事实上，直到现在，在 Polkadot 上开放的所有子赏金都来自反诈骗赏金。

在该计划启动和被赏金取代之间的几个月里，参与者提供了许多良好的反馈。其一，我们的努力不应该仅仅集中在下架诈骗网站上。尽管这是我们的旗舰项目，但参与者提出利用我们可用的所有工具在其他领域扩大反诈骗活动的想法。因此，在创建反诈骗赏金计划时，所有这些想法被纳入了社区可以承担的任务中，以帮助我们的生态系统更安全。

这些在反诈骗赏金提案（https://docs.google.com/document/u/0/d/1V-39ktdgpvATPpV1cfI8iZlS8_3oBDAHdlcMDd_3jpo/edit）中有详细描述。总结来说，我们制定了以下任务：

• 任务 1：激励社区检测并删除诈骗网站。https://docs.google.com/document/d/11Ub5Jc1pQ46knHEQ1kdPrlmGdpARSWf7F1aSuR2UVEE/edit?usp=sharing

• 任务 2：建立删除钓鱼网站的教程。https://docs.google.com/document/d/12SQXhF6EaU5AH55L1vj55BK_Q6TDCkCUJQv5MwtiAYs/edit

• 任务 3：创建一个反诈骗仪表板作为我们生态系统中所有反诈骗活动的中心枢纽。https://docs.google.com/document/d/1bqoGDO55IkKV7VCGAGAMfYyw7Vefa3UvNLm3vhG5ssg/edit?usp=sharing

• 任务 4：保护我们的 Discord 服务器免受袭击。https://docs.google.com/document/d/1w7putZOI97WuY_LQqw_v3JfAMuwETLDLqGsExc7pszI/edit?usp=sharing

• 任务 5：检测虚假的社交媒体资料和网络钓鱼应用程序。https://docs.google.com/document/d/1CukVL1GERcIEcwQgQiPB-hm_jFMCEgsc/edit?usp=sharing&ouid=112255262645886057808&rtpof=true&sd=true

• 任务 6：通过集成我们的网络钓鱼存储库，将钱包、交易所和防病毒公司纳入其中。https://docs.google.com/document/d/1HHu5hTCNXuLLpf-CLetFpZakbGnr8nPRqN9ZUBa6NCA

• 任务 7：为用户创建教育材料。https://docs.google.com/document/d/1JJU3nydLAAN9AZG_WVt1efRZh5x3Bo4jX5y9wteH-Q0/edit?usp=sharing

你可以在这个电子表格中找到这些任务的概述、它们的当前实施状态以及它们的特定描述和规则的链接。https://docs.google.com/spreadsheets/d/149tS8Y8xTY-9PUJd9uFhpOJ0AudSIklNNQerVUU2cSc/edit?usp=sharing

每项任务都由社区成员策划，其职责是与实施者合作以确保任务成功，提出改进它的想法，并推动发挥全部潜力。同时，他们的努力也得到了回报。

赏金由一般策展人管理，一般策展人目前由三名社区成员和两名来自 W3F 反诈骗部门的人员组成。目标是像所有反诈骗活动一样，赏金将仅由社区管理，所有一般策展人都将是社区成员。

如果你想知道实施者和策一般展人投入的时间是否值得？迄今为止，赏金已经发放了超过 16,000 DOT 的奖励，其中大部分是检测和删除诈骗网站。

6 月，我们将奖励的面额从 DOT 更改为 USD，以激励参与者并让他们更好地进行财务安排。因此，DOT 中的奖励显着增加。

衡量这些举措的指标就是我们保护了多少人。但显然这是无法衡量的。我们只能根据其他指标做出推论和假设，比如有多少网站被关闭，有多少诈骗受害者联系了支持人员，以及有多少 DOT 被发送到已知的诈骗地址。

那么，让我们看看到目前为止我们取得了什么成就。

自 2022 年 3 月开始赏金到 2022 年 10 月底，共提交了 5524 个网站，其中绝大多数在同月或随后的几个月内被关闭。如果我们比较平均每月的报告量，这与之前的计划相比增加了 270%，进而证明这是一次成功的举措。

事实上，在将赏金计划建立为一个社区并见证其有效性之后，我们现在完全依赖社区来查找和响应诈骗网站。Web3 基金会也继续与 Allure Security 合作，以发现并消除针对社区成员的欺骗性社交媒体帐户应用程序。未来的目标是将打击网络诈骗的各个方面完全委托给社区。欢迎该领域的任何公司加入赏金计划并贡献你们的专业知识。

贡献者提交的绝大多数网站都是关于窃取私钥的，而只有一小部分专门针对 Polkadot。这其中能获得赏金奖励的，只是那些防止了针对 Polkadot 或 Kusama 用户的私钥窃取。这通常意味着它们在“兼容”链/钱包中添加了 Polkadot 或特定于生态系统的钱包（如 Polkadot-JS）。所以通过删除这些网站，我们的贡献者不仅保护了我们的社区，他们还保护了这些网站上所有其他“广告”链、钱包和 dApp 的用户。

一些关键字的域名也被发现和删除

更进一步，我们的社区成员还在网络钓鱼存储库中的诈骗网站列表中（https://polkadot.js.org/phishing/all.json）添加了他们在搜索过程中找到的所有域名。即使这些域名不以 Polkadot 为目标，也没有任何奖励。

因此，当我们的反欺诈工作于 2021 年 4 月开始时，黑名单已从数百个站点增加到 2022 年 10 月末的近 14,000 个条目！这一举措（赏金）自 2021 年 9 月开始以来，它的效果是相当明显的。

这种惊人的增长除了证明该计划的成功外，还表明诈骗网站列表中超过 50% 的条目与 Polkadot 无关。然而，贡献者和其他社区成员之所以添加它们，是因为我们希望每个人都能从我们的努力中受益，我们还邀请业内任何为用户提供安全浏览功能的项目将我们的黑名单集成到他们的服务中。我们所有人都在这个服务的保护中！

我们已经多次提到网络钓鱼存储库，你可能想知道它到底是什么。网络钓鱼存储库（https://polkadot.js.org/phishing/）是一个开源的、社区策划的 Github 存储库，其中包含与诈骗相关的诈骗网站和地址。Polkadot 的扩展程序将阻止用户访问 repo 中的站点，并且 Polkadot-JS UI 将会提示试图将资金发送到这些已知诈骗地址之一的用户。由于这个 repo 是开源的，任何提供类似功能的应用程序或扩展都可以集成这些列表。这就是赏金任务 6 试图完成的，我们邀请任何感兴趣的项目与我们联系并实现这一目标！

在存储库中的这些诈骗地址中，大约 ⅓ 根本没有收到 DOT，而近 92% 的地址总共收到了高达 3000 DOT。在我们的反诈骗工作开始之前，绝大多数诈骗账户骗到的 DOT 都比这个多，并且收到大约 13,000 和 16,000 DOT 的前两个账户是关联的，其他一些也是如此。

损失的总额无论以何种标准衡量都不小（约 125,000 DOT），但这些是在我们开始反诈骗工作之前发生的，从那以后我们很开心的看到骗子的收益越来越少。

但是对用户的影响呢？ 与普通诈骗有关的请求和来自诈骗受害者的报告往往与市场状况相关，因此无法得出安全的结论，但近几个月的低提交量是令人鼓舞的。但肯定有很多受害者从未联系过我们。如果你是其中之一，请查看这里并联系我们的支持人员。https://support.polkadot.network/support/solutions/articles/65000182668-what-to-do-if-you-fell-victim-to-scam-or-hack

不过，赏金不仅仅是为了删除诈骗网站。如前所述，目标是从各个角度解决问题。贡献者和策展人也在为所有其他任务努力地工作，结果开始显现。

作为任务 2 的一部分，47 个 DNS 注册商和托管提供商的联系人数据库已经建立，因此任务 1 的贡献者可以有效地联系他们并快速删除这些诈骗网站。还有一个详细的教程可以帮助新的贡献者有效地关闭诈骗网站。https://docs.google.com/document/d/1XUsIr9AHDiDCKg3uRATaT2cXPf2YRcLl3dGjgCs4Z0s/edit?usp=sharing

保护我们的 Discord 社区免受诈骗者和机器人攻击的工具已经创建或正在测试中，打击社交媒体诈骗和网络钓鱼应用程序的工作也于 2022 年 10 月开始。到目前为止，已检测到 42 个诈骗资料或群组，目前已经删除 10 个。

第一份教育我们的社区如何保护自己的指南已经发布。你还可以查看以下内容：

• 一个有趣的视频：https://www.youtube.com/watch?v=ARsdXZycJAg

• 信息图表：https://polkaverse.com/10185

• 一篇文章 —— 关于助记词、私钥和钱包类型的一般信息。https://medium.com/@javieralpha1/general-information-on-mnemonic-phrases-private-keys-and-wallet-types-b0a45e5e3282

• 一个保护私钥助记词的小测试：https://create.kahoot.it/details/daa42182-8f7f-41a6-8037-2da6b6e9dc58

还有更多内容即将推出。

至于去中心化我们的工作，2022 年 6 月成立了 Polkadot 反诈骗团队，这是一个所有反诈骗工作的“管理机构”，正式将控制权从 Web3 基金会和 Parity 移交给了社区。它目前由来自社区的五名成员、两名来自 Web3 基金会的成员和一名作为准成员的 Polkadot 理事会组成。它还有一个从社区成员轮流选出的团队“队长”，其职责是组织团队。

反诈骗赏金显然是我们的主要工作重点，但它不是唯一的。我们还在尽我们所能的帮助那些被诈骗或者黑客攻击的受害者。

从第一天起，Web3 基金会就加入了加密货币捍卫者联盟 (CDA：https://cryptodefendersalliance.com/)，这是一个由交易所和钱包组成的联盟，它们共同努力防止被盗资金的洗钱行为。每当诈骗或黑客受害者联系我们，或者我们发现诈骗时，我们都会向 CDA 报告所有相关地址以列入黑名单，如果这些资金进入交易所，交易所将冻结它们并让我们知道。

Web3 基金会的支持团队还可以提供建议并帮助受害者保护尚未被盗的资金。例如，我们开发了一些方法来帮助用户安全的解锁并转移那些已经有危险的绑定中的 DOT。自从我们创建这些方法以来，我们已经成功地帮助四个处于这种情况的人，并挽回将近 13,000 DOT。在这些情况下，用户通常已经失去了其他代币，有时价值远高于绑定的 DOT。但是，在他们需要的时候帮助他们，与他们一起努力，并最终挽救他们的 DOT，这一行动本身对双方来说都是无价的。

最后，一项正在进行的合作将为受害者提供专门的、端到端的支持体验，并在他们受到诈骗影响时提供更好的追索权。敬请关注！

正如本文多次提到的，我们的努力还远未完成，要实现所有目标还有很长的路要走。我们当前的重点是完成反诈骗赏金中的所有任务，并确保所有这些任务都像任务 1 一样成功和有用。创建反诈骗仪表板为赏金提供更好的工具，并为社区提供一个保持更新的地方尤为重要。

此外，波卡联盟也即将到来。这将是第一个建立在新的 Collectives 系统平行链上的链上集体。其创始成员将由社区选举产生，新成员可以申请或受邀加入。Polkadot 联盟提供了一个链上框架，以提高那些赋予他人权力并为生态系统做出贡献、并拥有开源文化的团队的声誉。反诈骗团队的目标是作为 Fellow 加入联盟，因为我们认为在创建更安全的生态系统上，我们的目标是一致的，并且我们可以提供有用的帮助和专业知识来实现这一目标。

另一个重要的目标，也许是最重要的目标，是加大我们的教育力度，以创新的方式在我们的生态系统内外吸引更多的人。这是一项可能永远不会停止的艰巨任务，但它是我们社区长期安全的最有效方法。教育是“灵丹妙药”，因为如果所有用户都知道如何保护自己并避免陷阱，那么所有的安全举措都是多余的，我们都可以“回家”了，包括骗子。

与此同时，我们将加大努力，不仅保护 Polkadot 和 Kusama，还保护我们更广泛的生态系统中的平行链和其他项目。最直接的方式就是扩大反诈骗赏金任务的覆盖范围，把平行链和其他受欢迎的项目包含进来。随着生态系统中越来越多的令人兴奋的新工具，我们可以做更多的事情。

当然，去中心化我们的工作也将继续。第一步是让所有策展人和反诈骗团队成员都来自社区，而 Web3 基金会仅担任顾问角色。同时，我们希望更清楚地定义团队的范围和结构，以及加入和晋升的流程。去中心化的最终目标是以 Collective 的形式将团队带上链。

最后，我们想探索将赏金提交的过程转移到链上，可能通过使用去中心化存储和 NFT 或链上 remarks 作为提交证明的工具。由于 Substrate 的可定制性如此之高，Polkadot 提供了许多可供使用的工具，很多事情可能只会受限于我们的想象力。

当你发现一个骗局报告一个骗局的时候本身就是一项重大贡献。这可能看起来不重要，但你的小小行为可能会防止某人失去毕生的积蓄。

向我们的专用电子邮件地址 (antiscam@polkadot.network) 举报是最好的方式，但如果你是我们 Discord 的成员，你也可以使用专门用于此目的的 #scam-check 频道（https://dot.li/discord）。或者你可以直接在我们的网络钓鱼存储库中进行 PR 提交。

但是，如果你喜欢这些你阅读的内容并想参与反诈骗工作，请在 #scam-check 频道发帖或给我们发送电子邮件，反诈骗团队的成员会回复您。目前，只有 Polkadot 大使和我们社区的一般活跃成员才有资格加入，但对诈骗者不满的热心人士可以例外。

如果你是我们更广泛的生态系统中某个项目的一部分，并且所有这些听起来都很有趣，请联系我们。如上所述，我们希望将我们的举措发展成为整个生态系统的保护伞，所以让我们一起努力。

最后，如果你是一个骗子并且正在阅读这篇文章，那么你现在可能已经知道在 Polkadot 生态系统中行骗不会轻松。所以，请你远离 Polkadot！或者更好的是，找到一份工作停止从别人那里偷东西！

原文链接：https://medium.com/polkadot-network/polkadots-anti-scam-initiatives-1660ef5787b7

翻译：PolkaWorld 社区