据区块链安全机构 Armors 审查发现,该代币对应合约未做代码验证,且所有授权与转账事务都执行失败,而所有执行失败的备注中都要求用户到对应网站进行提取,一旦用户登陆网站进行钱包授权,代币就会被盗。 蜂巢财经通过区块链浏览器查询设局者接收代币的地址发现,其于近日转出了 16.5 万枚 USDC 以及 13 枚 BNB,疑似赃款转移。 实际上,近期出现的空投骗局不止一起。许多投资者都曾反映区块链钱包中出现大量来历不明的代币,这些代币的普遍特征是数目庞大,引人注目。如果用户在尝试卖出代币过程中授权合约,就可能给予发币方转移钱包资金的权限,进而损失资产。 而设局者在得手后,往往会选择在去中心化交易所混币,并转移到其他地址进行套现。受骗者在遭遇类似的骗局后,往往难以追回资金。 空投骗局不断演化 用户需谨慎授权合约由于区块链是一个公开、透明的网络,所有用户的钱包地址虽然匿名,但完全公开在网络上,任何人都可以向其中发送代币。一般来说,接收代币并不会导致钱包被盗,而如果用户想要卖出该代币,就可能在其中某一步因授权资产转移权限或暴露私钥而被作恶者掏空钱包。 事实上,类似骗局早在 2019 年就曾出现。当时,在 Telegram 流行过一个空投 OMG 代币的骗术,骗子称钱包中有 ETH 和 OMG 的用户,可以按照钱包余额中 ETH 1:32、OMG 1:0.3 的比例领取 OMG 免费空投,许多人动了心。 当用户按照提示的步骤打开空投领取网站时,页面要求用户输入以太坊钱包地址和余额,这一步操作并不会导致资产被盗。但随后,页面会提示用户输入以太坊钱包的私钥,以便证明这个钱包归本人所有。页面还提示,「这是安全的,我们不会使用、存储或收集您的个人数据(例如私钥),没有人能够访问你的钱包。」结果,许多人在输入了私钥后,钱包里的资产很快被转移一空。很显然,这是一个彻头彻尾的骗局。 虚假空投网站要求用户输入私钥 如今,随着 DeFi 的发展,越来越多用户开始使用链上钱包,想要自己保管资产。老玩家已经知道「私钥暴露意味着不再拥有钱包的唯一控制权」的常识,因此,要求用户输入私钥的骗局已不再常见。然而,作恶者并没有消失,反而升级演化出多种骗术,让新老用户们防不胜防。 不久前,有部分用户遭遇了虚假钱包骗局。骗子首先会仿照用户常见的钱包制作一个伪去中心化的钱包,当用户下载并导入私钥后,就会泄露私钥信息。还有人在社群以高价收币为诱饵诱惑用户转账,当用户扫描其提供的钱包二维码时,会跳转至第三方网站,如果在该网站中发起转账并授权,就会导致账户被盗。 (责任编辑:admin) |