以太经典(ETC币)|EthereumClassic,新一代数字货币

高价空投设盗币陷阱 授权操作需小心

2021-09-14 09:00栏目:公告
TAG: 空投

自从Uniswap、1inch、dydx等去中心化的金融协议给交互用户发放空投奖励以来,链上用户们已经习惯了空投的存在,但一些来历不明的空投,可能会掏空用户的钱包。

9月十日,资金投入者阿飞遭遇了一块空投骗局。他发现钱包中出现了75万枚Zepe代币,钱包显示估值超越10万USD。阿飞以为是天降横财,当发目前去中心化交易平台没办法卖出后,他登陆代币同名网址并进行了授权买卖,但随后他地址中的资产被转移一空。

社交互联网中,还有多名用户自曝落入了同一陷阱,有人因此损失高达7万枚泰达币。蜂巢财经查看Zepe合约同意代币的地址发现,其于日前转出了16.5万枚美元C与13枚BNB,疑似赃款转移。

事实上,最近类似的空投骗局频发,很多用户都发现钱包地址中出现了很多的不明代币。区块链安全机构PeckShield告诉蜂巢财经,这部分代币在常见的DEX中买卖一般都会失败,页面会提示用户去它的官方网站兑换,而后用户在授权买卖时,总是会授与智能合约转走竞价推广账户资产的权限,致使资产失窃。

PeckShield提示,用户在进行链上协议交互时不要过度授权,同时应按期对不常见的Dapp取消授权,并注意防范欺诈者「换坎肩」,以防止遭受资产损失。

9月8日,去中心化衍生品协议dYdX给早期用户发放的空投开启申领,伴随DYDX代币涨至10USD上方,空投所有者们都获得了可观的收益。就在dYdX带来的财富效应在社交互联网发酵时,一个以空投作饵的陷阱也悄然设下。

两天后,资金投入者阿飞在社群中讲述了他不幸脱落陷阱的遭遇。9月十日,阿飞打开他的区块链钱包时,意料之外发现其中多了75万枚名为Zepe的代币,钱包显示这部分代币价值超越10万USD。

毫无戒备的阿飞打开了代币关联的网站并连接了钱包。据其他用户描述,该代币没办法在去中心化交易网站卖出,但代币关联网站提供了一个类似Swap的兑换页面,支持将Zepe.io兑换成BNB。阿飞称,他链接钱包、点了授权买卖后,没获得任何代币的同时,钱包中的数千枚CHESS代币反而被转走。发现代币丢失后,阿飞才意识到陷入骗局。

Zeh3e.io的不真实兑换页面

本以为这波空投是一笔意料之外之财,没想到钱包却被掏空了。在社交互联网中,多名用户也自曝落入了同一个空投陷阱,有人称失窃资产多达7万泰达币。据统计,此次设局者广泛撒网,代币空投到BSC、HECO、Matic等多个区块链互联网上的很多地址中,很多用户都反映收到了空投。

据区块链安全机构Armors审查发现,该代币对应合约未做代码验证,且所有授权与转账事务都实行失败,而所有实行失败的备注中都需要用户到对应网站进行提取,一旦用户登陆网站进行钱包授权,代币就会失窃。

蜂巢财经通过区块链浏览器查看设局者接收代币的地址发现,其于日前转出了16.5万枚美元C与13枚BNB,疑似赃款转移。

事实上,最近出现的空投骗局不止一块。很多资金投入者都曾反映区块链钱包中出现很多来历不明的代币,这部分代币的常见特点是数目庞大,引人注目。假如用户在尝试卖出代币过程中授权合约,就可能给予发币方转移钱包资金的权限,进而损失资产。

而设局者在得手后,总是会选择在去中心化交易平台混币,并转移到其他地址进行套现。被骗者在遭遇类似的骗局后,总是难以追回资金。

因为区块链是一个公开、透明的互联网,所有用户的钱包地址虽然匿名,但完全公开在互联网上,其他人都可以向其中发送代币。通常来讲,接收代币并不会致使钱包失窃,而假如用户想要卖出该代币,就可能在其中某一步因授权资产转移权限或暴露私钥而被作恶者掏空钱包。

事实上,类似骗局早在2021年就曾出现。当时,在Telegram时尚过一个空投OMG代币的骗术,骗子称钱包中有以太币和OMG的用户,可以根据钱包余额中以太币 1:32、OMG 1:0.3的比率领取OMG免费空投,很多人动了心。

当用户根据提示的步骤打开空投领取网站时,页面需要用户输入ETH钱包地址和余额,这一步操作并不会致使资产失窃。但随后,页面会提示用户输入ETH钱包的私钥,以便证明这个钱包归本人所有。页面还提示,「这是安全的,大家不会用、存储或采集你的个人数据(比如私钥),无人可以访问你的钱包。」结果,很多人在输入了私钥后,钱包里的资产非常快被转移一空。非常显然,这是一个彻头彻尾的骗局。

不真实空投网站需要用户输入私钥

现在,伴随去中心化的金融的进步,愈加多用户开始用链上钱包,想要自己保管资产。老手已经知晓「私钥暴露意味着不再拥有钱包的唯一控制权」的知识,因此,需要用户输入私钥的骗局已不再容易见到。然而,作恶者并没消失,反而升级演化出多种骗术,让新老用户们防不胜防。

不久前,有部分用户遭遇了不真实钱包骗局。骗子第一会仿照用户容易见到的钱包制作一个伪去中心化的钱包,当用户下载并导入私钥后,就会泄露私钥信息。还有人在社群以高价收币为诱饵魅惑用户转账,当用户扫描其提供的钱包微信二维码时,会跳转至第三方网站,假如在该网站中发起转账并授权,就会致使竞价推广账户失窃。

在多起地址资金失窃事件发生后,不少用户都已经有了防范意识,一般不会泄露私钥,在下载区块链钱包及交易平台时,也会到官方网站进行下载。但因为新用户一批批进入区块链,他们总是欠缺基础技术常识,对代码合约不甚知道,在参与去中心化的金融项目或想要卖出空投代币时,总是会授权陌生合约,假如作恶者在合约中做文章,用户极可能损失地址中的所有资产。

那样,骗子是怎么样通过合约转移用户资产的?

区块链安全机构PeckShield告诉蜂巢财经,代币授权操作主要分为两步。第一步是授权买卖,这一步操作是为了告知ERC-20 Token合约,以后目的合约地址可能会从授权钱包竞价推广账户转走少量的代币;第二步是买卖实行,当目的合约中的逻辑实行需要进行该代币买卖时,合约会主动触发转走用户授权的代币。

以Zepe.io空投骗局为例,诈骗者会先创建代币并完成空投,并添加代币到DEX中增加流动性,使代币具备价值。一些用户看到竞价推广账户中出现了「有价值」的空投币后,就想去DEX进行兑换,而这一步的授权买卖一般都会失败,但失败后会有error提示用户去它的官方网站兑换,陷阱就在此时出现,当用户在指定页面授权买卖后,其竞价推广账户中的价值币就会被转走。

PeckShield表示,类似的空投骗局有一个主要的一同特点,即代币名字大多是网站地址,如ShibaDrop.io、AirStack.net、BNBw.me等,当用户接收到类似的代币,就需要加以防范。该安全机构提示,用户在进行链上协议交互时不要过度授权,譬如授权代币买卖时可以设置指定数目而不要设置最大数目。同时,用户应按期对不常见的Dapp取消授权,并注意防范欺诈者「换坎肩」。

对于链上用户来讲,区块链互联网是一个相对自由但也充斥风险的世界。用户需切记掌管好私钥,防止因贪婪随便授权陌生合约导致资产损失。记住,「天上不会掉馅饼」这句老话在区块链世界里同样适用。

查询更多