0、反诈骗案例
Last updated
Last updated
一、Dapp授权诈骗
在日常操作例如DEX平台,涉及到币币兑换的时候就会用到授权的功能,只有首次操作授权(Approve)后才可以进行Swap的币币兑换,这个只是应用场景之一。由于Approve操作本质上是将你的部分Token的行使权限授予了另一普通地址或智能合约地址,因此有些骗子利用二维码或者链接的方式来恶意让用户执行Approve操作。例如空投给用户的代币中留下链接,声称可以使用空投的代币来兑换其他代币,用户打开链接并执行兑换的过程中就完成了骗子特定的Dapp恶意授权,从而导致用户资产会被该Dapp随意划转。
如何判断approve是否安全?
Approve产品是否开源是否开源 代码开源可以让用户更好的知道Approve的权限,即该产品在什么情况下可以转走用户的资产。Approve产品是否开源是否经过审计 经过审计的项目比未审计的安全性更高。Approve产品是否来历不明 来历不明的产品必须警惕,而例如Uniswap这类知名产品让大家更为放心。
如何查询我的approve操作,怎么取消approve?
目前市面上针对普通用户的approve查询工具有Etherscan、CoinTool、Approved、Approve.sh等等,用户可以查询自己的approve情况,还可以取消approve操作。
在钱包的日常使用过程中,总会遇到一些问题需要解决,大部分人遇到问题都会首先想到联系钱包客服来解决,这个时候就会有人趁虚而入,包装成和客服相同的名字和LOGO,主动在各社区中添加用户,在解决问题的时候索取用户的私钥或助记词来进行诈骗行为。如有任何疑问,请点击或钱包App的在线客服进行咨询。一、冒充TokenPocket客服收费解决问题;
假冒TokenPocket微信客服人员:
假冒TokenPocket电报群管理员进行欺骗:
诈骗人员通过以真币兑换假币的方式仿冒知名代币,以相似的代币合约名字(name)、缩写(symbol)进行诈骗。此类诈骗手段主要的受害群体多为新入门的用户,因为熟悉区块链行业的用户通过核对代币的合约地址来判断某个代币的真假,例如常见的USDT、ETH、BTC等,骗子会说自己有一些代币着急卖出并且给出了很诱人的价格,小白用户贪图便宜买入后收到转入的代币后发现无法进行交易也没有任何价值。
因此,在进行转账前需对代币的合约等信息进行一一核对,以代币的官方信息为准,不轻易相信第三方。
骗子会开发和正版的钱包高度相似的App,以假乱真,导致用户在创建或者导入钱包的时候,骗子后台的服务器就会默默记录并同步到他们特定的服务器,骗子得到私钥助记词后导入钱包就可以转移用户所有的资产。
所以,用户一定不要使用他人给的链接或者App安装包,请认准唯一的官方地址。
点击查看官网钱包验证方法
点击验证App Store版钱包
点击验证Google Play版钱包
假二维码诈骗是指诈骗人员利用假的二维码让用户进行授权等操作。通常,用户扫码后打开的是转账界面或其他钓鱼页面,而这个转账操作实则是一次授权过程,如用户进行授权,诈骗人员则获得对资产转账的权限,从而导致资产丢失。另外,一些假空投信息的海报上也会附带假的二维码,用空投代币作为诱饵吸引用户扫码识别,识别后执行仍需进行授权操作来领取空投,进而落入骗子圈套,被恶意授权转走代币。
骗子利用免费空投的宣传噱头,制作海报或者链接在社区宣传,用户扫码识别后打开网址并授权(登录)后,来执行Airgrab的方式来授权并领取空投,授权后骗子获取其授权的代币的权限,从而转走用户资产。近期,还出现新型的空投诈骗,用户通过查看交易记录收到了空投代币,点击查看会发现Memo里附带了链接并提示可以使用空投代币兑换其他币。当用户打开链接使用空投代币兑换其他代币时,此时需要进行授权,而该授权是恶意行为,一旦授权将导致钱包资产被全部划走。因此,切记天下无免费的午餐,不要打开不明链接领取空投,或扫码授权,更不要将私钥/助记词发送给任何人,谨防空投诈骗。
Approve的释义:Approve即授权。它允许持有 Token 的用户,通过调用 Approve 方法,授权给指定账户一定额度,赋予该账户自由支配额度内 Token 的权力。如果授权给恶意账户,那么授权资产就会被全部盗取而无需告知。恶意授权的表现方式:1、日常使用第三方DApp都是通过打开点击【发现】,在顶部的地址栏填入链接后打开。打开链接后会弹出风险提示,这里是提示确认使用的链接安全性,如果无法确认安全那么一旦授权后有很大概率会导致资产被盗。今天的案例就来自于一个号称TokenPocket 空投的骗局,打开链接后可以看到整个DApp的制作比较精致,说明中有关于活动的介绍,只需要点击【Join Aridrop】并授权就可以得到空投的代币,而实际上是为了骗你的授权,然后转走你所有代币。
2、点击【Join Aridrop】会自动调用钱包授权,首先弹出的是【即将执行授权操作】这里就需要引起高度注意,点击下一步来到了【交易详情】界面,在这里可以看到【授权地址】的合约地址在申请USDT的转账授权权限,到这里就应该停下来不要去继续执行操作,因为一个普通的空投为什么要调用USDT的授权?如果没有信任钱包弹出的层层风险提示去执行了授权,那么就会导致所有的USDT被盗。
我们来深入分析一下。
3、复制授权地址到BSC浏览器打开,在这里可以看到这个恶意的地址已经被BSC官方列入了黑名单列表中。
4、通过这个恶意地址的链上执行记录,我们找到了一个被盗的地址哈希值执行记录,在这里可以看到USDT的转账发起地址是恶意的地址,转出的是丢失代币的地址,而正常情况下操作的发起地址和发出地址都应该相同。这里的恶意地址是起到了直接发起合约调用盗币的操作。
6、确定是被恶意授权盗币后,请停止这个地址的使用,使用工具来清理权限或者最彻底的方法是新建一个地址来转移其他的资产。恶意授权只会影响授权的代币的安全,其他的代币是没有调用权限。
近期社区中看到有多人反馈波场钱包在转账是遇到了错误,经过对比发现他们有一定的共同之出。经过深入了解,他们是从网络上获取到公开的私钥或助记词,用户导入波场钱包后可以看到或多或少持有的资产,再转入TRX后进行转账会遇到错误,无论是哪种代币的转账都会报错,下面就将这个我们称之为钓鱼钱包的骗局的本质和大家进行说明。案例剖析:1、使用公開的私鑰或助記詞導入到錢包中,在Gas(礦工費)足夠的情況下選擇例如USDT的轉賬,填入收款地址,設置數量,在輸入密碼轉賬後會提示一堆代碼的錯誤提示。
近期接到用户反馈,说收到了来自交易所的空投代币(此诈骗方式可以模仿任何的平台标签),当用户去参与执行这个代币的时候发现代币会存在一些问题,例如可以买入却无法卖出等情况,对此TokenPocket安全部门针对用户反馈的链上信息进行分析,发现这是一个通过利用浏览器/钱包解析转账交易记录的方式来伪造任意地址之间转账的交易记录的新型诈骗。这种交易记录的伪造只能针对诈骗者发行的代币。 主流的代币交易诈骗者无法伪造。
因此防范此类空投诈骗的最有效的方法,就是不相信任何不明来历的空投,交易所也不会主动给链上钱包进行空投,面对纷繁复杂的环境,一定要做好自我安全知识的积累,加强反诈骗知识的学习,做到任何主动私聊的人的都不要信,任何推荐的官网或app都不要使用,不随意打开三方链接并授权,私钥、助记词安全保存不要丢失和分享给任何人。
接码平台,是指专门提供手机号为他人接收来自第三方平台验证码并将验证码提供给他人的资源平台,可以通过平台注册更多的APP账号。这种方式是不提倡的,因为多账号刷单或者其他的使用范围都属于违规的一种参与,不过这类平台总会有人去青睐。
接码类诈骗案例其实就是换了一层包装的恶意授权诈骗,他们会利用网站提供APP的下载,下载后需要使用接码功能就必须充值,例如下面的界面
充值额度和充值调用钱包都会在界面中提供选择,点击充值后就会调用打开钱包。因为执行的是合约调用而不是普通的转账操作,所以在TokenPocket中会看到风险提示,如果只是余额充值,那么为什么会调用USDT的合约授权呢?所以这个时候必须立即停止这个操作,马上跟我们的service@tokenpocket.pro 邮箱进行举报,防止更多人被这个同样的链接诈骗。
解码类诈骗方式的防范,只需要观察钱包中出现的授权调用的风险提示窗口,如果只是充值代币出现调用的窗口,那么百分之百都是诈骗,请一定不要继续使用和授权,并积极跟我们举报。
在之前介绍的盗币方式中,盗币者一般会采用一些技术手段来开发恶意的链接来想办法诱导用户进行执行授权,从而盗取授权过的这个代币。这种方式的实施范围比较广泛。
近期TokenPocket技术团队发现了一种新型的盗币方式(“精准伪装”)。
这种方式从根本上来说是用了比较“原始”的方法执行,例如在链上观察到一个钱包地址经常会有大资金的usdt往来记录,那么就对这个钱包进行监控,找到其经常收款的地址,利用“靓号生成器”生成和收款地址非常相似的地址(一般是前几位,或者后几位基本一样),多次的转入小额的数量到监控的这个钱包地址中(例如0.001USDT)。用户在进行转账时,可能会复制之前的转账收款记录的转账地址来进行重新转账,如果这个时候复制到了错误的(高度相似)地址,那么就会导致转账发生错误,从而导致了代币的丢失。
建议经常有的资金往来业务的用户,在转账的时候核对好收款地址,对收款地址做一个完整的验证;其次,使用钱包地址簿转账的功能,将日常使用的钱包地址在通讯录中收录,转账时直接选择地址即可。
打开TokenPocket,点击【转账】--【地址簿转账】。
恶意授权是通过Approve操作,给某个代币授权在一定数量范围内可以调用的权限,恶意授权通常会盗取授权代币的所有余额。
那么如果一个普通的地址没有执行过Approve操作是否也可以被调用呢?
近期越来越多的用户反馈,在自己的USDT转账列表中会看到有“0USDT”被转入/转出的记录,如下
大部分看到自己的地址被调用转出资产,第一反应会认为自己可能会有被恶意授权的风险,于是打开权限检测工具或浏览器查看自己的授权记录。
在授权列表中发现了一条授权记录,但是在右侧发现【已取消】的提示,点击箭头查看授权和取消的记录。授权变更记录中的内容是空白的,这个时候用户彻底陷入迷茫中。
别担心!让我们一起来还原这一操作。 1.打开波场浏览器,找到USDT合约地址,点击【合约】--【编写合约】--【transferFrom】
2.在这里分别填入发送地址、接收地址和数量,然后点击【Send】利用插件钱包完成签名后就可以看到底部绿色的【true】说明执行成功。如果这里的数量设置其他,那么会提示已发送的内容,但是因为对方并没有可以调用的数量,所以无法执行成功。这里消耗的TRX由对方来买单。
3.执行成功后,我们继续查看这个地址的授权信息,果然是又增加了一条空白的记录。
这种调用在其他EVM链上同样适用,之前的高仿尾号地址诈骗方式是主动转入的方式,现在的这种调用是一个转出的方式,对于触发误操作的迷惑性会更强。骗子的骗术更新很快,大家要多注意防范。
针对大家比较疑惑的几个问题进行解读:
1.为什么我的资产会被调用。
这种是直接通过USDT的 TransferFrom 功能执行操作,任何地址都可以在这里被调用并在钱包中生成一个记录,在授权记录中生成一个空白的记录。
2.出现这种情况,我的资产还安全吗。
这种操作目的就是为了模拟从用户地址转出的记录,结合伪装地址的方式来诱导用户误操作进行转账,它并不能对你的资产产生任何风险,但是请一定要注意这种可能误操作的执行。
一些优化进度:
TokenPocket:新版本对历史记录中复制地址进行了弹窗风险提示,近期会增加对小额地址的过滤设置功能,用户可以自主的来控制开关从而屏蔽一些“零资产”或“仿冒地址”等诈骗方式。
TRON官方优化:
1、增加了链上查看数据,关于“零资产”转账相关的提示内容;
2、交易历史记录中对“零资产”记录进行了风险提示信息。
“钓鱼网站“是指用来欺骗用户的虚假网站,它的页面与真实网站界面基本一致,以假乱真欺骗和窃取用户的私钥或者助记词。钓鱼网站一般只有一个或几个页面,和真实网站差别细微 。该诈骗手段由来已久,骗子传播噱头大多是领取空投、帮助解决问题或其他手段。切记,TokenPocket 唯一官方网址:
TokenPocket 唯一官方网址:
5、通过BSC上的 查看授权历史记录,在这里可以看到恶意的地址是存在于授权列表中的,也就是说如果这个代币的地址再次转入USDT到钱包中会马上被盗。
到这里,相信大家应该对这种问题发生的原因有了充分了解,说明任何地址都可以被拿来调用,只是这种方法是徒劳的,它并不会让我们的资产有任何的风险,但他们的最终目的还是想让你使用错误的地址来触发误转账来谋取利益。和模拟相同尾号地址诈骗属于互补的一种骗局方式。
