摘要
授权骗局是指通过诱导用户进行转账、质押等操作,骗取用户的代币转账权限。骗子通常通过购买虚拟物品、二维码收款、假借「质押挖矿」等方式进行诈骗,导致用户钱包内的代币被盗。用户需提高警惕,妥善管理转账权限。
什么是授权骗局?
近期诈骗案件频发,请大家务必提高警惕以防代币损失!今天这篇文章要剖析的授权骗局就是诈骗案件中的一个典型。
|我在网店购买 TikTok 账号,付款提示交易失败,还扣了我的 TRX,然后我的 U 无缘无故消失了。
|朋友给了我一个收款码,我扫码只支付了 1U,然后剩下的币就被盗走了。
|有人告诉我可以通过 imToken 钱包参与 XXX 代币质押获得高额收益,我点击确认同意了,结果钱包里剩下的币在我不知道的情况下都被人转走了。
在没有你同意的情况下,骗子凭什么能转走你的代币?骗子凭借的是你不经意间给他的转账权限,当他诱骗你进行转账 / 质押的同时,把代币转账权限也骗到了手。
那么,代币转账权限到底是什么呢?举个例子。
支付宝里有个亲密付功能,当我对家人开通这个功能后,他们购买物品时就会直接通过我的账户进行扣款。即便家人不知道我的支付宝密码,也能使用我账户里的钱。
类似的,当你把代币转账权限给了「朋友」后,对方即便不知道你的助记词和支付密码,也能转走你钱包里的代币。而很多人由于不了解代币转账权限的含义,在给出这个权限时,往往不自知,所以这类骗局发生得很隐蔽,且越来越多人上当。
骗子通常会以这几种方式骗走你的转账权限:诱导购买虚拟物品、二维码收款和假借「质押挖矿」名义的资金盘。
方式一:诱导购买虚拟物品
当你在购买账号、短信接码等网店中购买虚拟物品付款时,网店会让你点击跳转到数字货币钱包中进行付款。
支付时,如果你进入的是一个「授权代币转账权限」的页面,就说明你正发起的不是普通转账交易,而是授权交易。如果你在骗子伪造的付款链接中输入密码签名,便会将对应代币的转账权限授权给骗子的地址。骗子利用你给的权限可转走你钱包里对应的代币,无需经过你的允许。
此外,付款后诈骗网站页面通常会弹出例如支付失败、TRX 不足、网络异常、流水不足等提示,会让你误以为没有付款成功,更换其他地址或者转入更多的代币继续授权。其实这是骗子在其诈骗网页中设置的弹窗,不是钱包 App 本身对用户的提示,骗子的目的是获取你更多代币的转账权限。
方式二:二维码收款
骗子会发给你一个链接或假冒钱包收款的二维码,你扫码后会进入假冒的转账页。一旦你在该页面中进行了「转账」,骗子的计谋就得逞了。
请注意,扫码后你可以通过查看页面右上角的图标,区分真假转账页面和二维码。骗子制作的转账页面右上角为「···」和「X」的图标,大部分钱包内的正常转账页面右上角是扫描二维码的图标。
左:骗子仿冒的 USDT 转账页面;右:真的 USDT 转账页面
方式三:假借「质押挖矿」名义的资金盘
骗子假冒钱包客服,告诉你通过钱包进入某个网站参与质押挖矿,存入 USDT 即可获得每天 1% 的收益,存入的代币数额越多,收益率越高。有些骗子甚至会告诉你无需存入代币,只需支付一点矿工费就可以获取稳定的收益。
当你被高额收益吸引,打开骗子网站参与其中时,通常你会看到一个「授权代币转账权限」的页面,在授权代币的额度这里写着无限额度或者 99999……一个接近无限大的数字。若你仍选择确认操作并签名,骗子就获得了转走你钱包中所有对应代币的权限。
imToken 优化签名体验
针对以上这三类骗局,imToken 已经优化了签名体验。当你签名此类交易时,imToken 会明确提示你正在执行「授权代币转账权限给智能合约」的操作,并显示你授权的代币额度。我们建议你在交易时保持警惕。此外,如果授权对象是个人地址,imToken 会警告你交易存在安全风险,提醒你请勿参与,避免资产损失。
安全提醒
- 警惕短信接码、购买账号、虚假交易所、高收益或保证盈利等网站。
- 请勿在不明链接上进行支付或转账。认清授权交易与普通交易的区别,识别无限额度恶意授权交易页面,不随意输入密码授权。
- 谨慎授权。在授权页面上需先确认合约地址,并通过区块浏览器查询合约标签和交易记录等信息,以辨识合约地址的真实性。
那么如何检查自己的代币转账权是否有外泄的情况,以及如果外泄了该怎么应对呢?
授权查询和取消
代币授权骗局主要发生在以太坊和波场上,因此本文提供 ETH 和 TRX 两类钱包的授权查询和取消的教程。
TRX 钱包
准备
确保钱包地址中至少有 30 个 TRX。若没有,你可以通过交易所提币至自己的 TRX 钱包地址。
手把手教程
1. 打开 imToken 内的 TRX 钱包,将首页的功能栏向左滑动,点击「授权管理」按钮,进入「TRONSCAN」页面自动连接钱包,查询授权。
TRONSACN:可查询和处理 TRX 钱包授权的工具。如果你无法打开此页面,请切换手机网络后再尝试打开。
2. 进入 TRONSCAN 后如果页面是英文,可点击右上角菜单栏,再点击最下方「Preferences」( 即偏好设置)-「简体中文」-「Save」(即保存)进行语言切换。
3. 将页面向下滑动,点击「授权列表」即可查看你授权的地址和数量。如果列表中有不明地址,并且你自身也不了解该地址的控制方,那么这很有可能是骗子地址。请点击授权记录右侧的▼ 展开详情,点击「取消授权」并在弹窗页面中再次确认,发送取消授权交易。
4. 取消授权后,请确认授权记录的状态为「已取消」且当前授权数量为「0」。
ETH 钱包
确保钱包地址中有至少 0.02 个 ETH。若没有,你可以通过交易所提币至自己的以太坊钱包地址。
注:提币时请选择 ETH(ERC20) 网络通道。
手把手教程
1. 打开 imToken 内的 ETH 钱包,将首页的功能栏向左滑动,点击「授权管理」按钮,进入「Revoke」页面自动连接钱包,查询授权。
Revoke.cash:授权(Approve)管理 DApp,已支持管理以太坊、Arbitrum、Optimism、BSC、Polygon、Avalanche 等网络中的授权。在该页面点击以太坊图标进行网络切换,即可查看对应网络的授权详情。
2. 将页面下滑至底部就可以看到该账户授权情况,在授权金额、被授权人(Spender)、上次更新列表中查看你的授权数量、地址以及时间。
如果想要取消某个授权,在授权记录列表中找到要取消授权的代币或 NFT,然后向左滑动,点击「撤销」并在弹窗页面中再次确认即可发送取消授权交易。
3. 取消授权的交易发出后回到钱包首页,点击「记录」可查看该交易状态。当状态从「等待确认」变为「成功」,说明你已成功取消授权。
4. 如果想要更改代币授权金额,可以点击金额右侧的「✏️」图标进行修改,填好数值后点击「更新」并在弹窗页面再次确认即可。
在上图的中间这张截图中,我们可以看到被授权人(Spender)一栏显示有 Uniswap、Aave 等。这是因为当我们在 DEX 中交易时需要先进行代币转账授权,其目的是让 DEX 获得代币的转账权限,方便完成后续的代币兑换。
但是,如果你发现被授权人(Spender)这一列有不明地址,并且你自身也不了解该地址的控制方,那么这很有可能是骗子地址,请立刻取消授权。
温馨提示:如有任何问题,请通过 App 内「帮助与反馈」联系我们获取帮助。
最后
为了保障用户钱包安全、打造优质加密生态,imToken 致力于普及安全资讯并提供解决方案。
imToken 是一款有温度、有责任的区块链代币管理工具,有严格的安全审计和风控措施保障用户钱包安全,遍布 150 多个国家,超千万区块链爱好者的选择。
imToken 官方下载链接:https://token.im/download
0 条评论
请登录写评论。