什么是热钱包
热钱包(Hot Wallet),与冷钱包相对应,也称在线钱包或者联网钱包(Online Wallet),区块链钱包种类之一。因其联网特性,操作中可能会受到一些病毒或脚本等不安全因素的干扰导致资产处于风险之中,因此安全性比冷钱包低,但比冷钱包更便利。
在使用热钱包过程中一定要注意对一些三方链接的访问和授权,因为恶意的链接骗取用户的授权后会直接导致资产的丢失,所以做好对的阅读和掌握对于资产的安全有很大的帮助。
热钱包(Hot Wallet),与冷钱包相对应,也称在线钱包或者联网钱包(Online Wallet),区块链钱包种类之一。因其联网特性,操作中可能会受到一些病毒或脚本等不安全因素的干扰导致资产处于风险之中,因此安全性比冷钱包低,但比冷钱包更便利。
在使用热钱包过程中一定要注意对一些三方链接的访问和授权,因为恶意的链接骗取用户的授权后会直接导致资产的丢失,所以做好对的阅读和掌握对于资产的安全有很大的帮助。
什么是观察钱包
观察钱包本质上是一个观察特定地址链上数据的区块浏览器。
用户只需使用观察钱包导入账户(公钥)或地址即可拥有便捷的使用的体验,通过观察钱包可以查看账户(地址)资产,交易记录等内容。 因此观察钱包是无法直接进行转账等链上操作的,若需要转账可将私钥或助记词导入钱包或搭配冷钱包授权使用。
观察钱包本质上是一个观察特定地址链上数据的区块浏览器。
用户只需使用观察钱包导入账户(公钥)或地址即可拥有便捷的使用的体验,通过观察钱包可以查看账户(地址)资产,交易记录等内容。 因此观察钱包是无法直接进行转账等链上操作的,若需要转账可将私钥或助记词导入钱包或搭配冷钱包授权使用。
什么是多签钱包
与多签钱包对应的是单签钱包,我们要往区块链上发送一笔转账操作,需要用钱包生成一个签名,我们自己签好名把交易发送出去,这就是典型的单签钱包,也是我们平时常用的钱包。
多签钱包,顾名思义,就是需要多个人去签名执行某个操作的钱包。使用多签钱包进行转账,往往需要 >= 1 个人去签名发送交易,转账操作才可以完成。使用多签钱包时,我们可以指定 m/n 的签名模式,就是 n 个人里面有 m 个人签名即可完成操作。比如 2/3 签名模式,就是 3 个人里面有两个人签名就可以。
ETH/ERC20 (包括 BSC/BEP20 等EVM链)的多签采用轻量智能合约(smart contract)方式。
适用场景:
1. 用于需要多人管理资产,避免资产被个人挪用;
2. 通过多签对资产进行多重加密,增强资产安全性;
3.其他安全应用场景。
与多签钱包对应的是单签钱包,我们要往区块链上发送一笔转账操作,需要用钱包生成一个签名,我们自己签好名把交易发送出去,这就是典型的单签钱包,也是我们平时常用的钱包。
多签钱包,顾名思义,就是需要多个人去签名执行某个操作的钱包。使用多签钱包进行转账,往往需要 >= 1 个人去签名发送交易,转账操作才可以完成。使用多签钱包时,我们可以指定 m/n 的签名模式,就是 n 个人里面有 m 个人签名即可完成操作。比如 2/3 签名模式,就是 3 个人里面有两个人签名就可以。
ETH/ERC20 (包括 BSC/BEP20 等EVM链)的多签采用轻量智能合约(smart contract)方式。
适用场景:
1. 用于需要多人管理资产,避免资产被个人挪用;
2. 通过多签对资产进行多重加密,增强资产安全性;
3.其他安全应用场景。
什么是插件钱包
插件钱包是指基于浏览器(主要是google chrome)开发的插件钱包;其包含了一般钱包都基础操作:比如转账,授权调用合约,导入/导出/创建钱包账号等等操作。
浏览器插件钱包是一类轻钱包,和APP一样,不需要同步全节点数据,同时也不会存钱包资料,所有钱包的私钥和密码都由使用者本身持有。
插件钱包是指基于浏览器(主要是google chrome)开发的插件钱包;其包含了一般钱包都基础操作:比如转账,授权调用合约,导入/导出/创建钱包账号等等操作。
浏览器插件钱包是一类轻钱包,和APP一样,不需要同步全节点数据,同时也不会存钱包资料,所有钱包的私钥和密码都由使用者本身持有。
什么是Passphrase
当创建隐藏钱包时,Passphrase是一种用于加密和保护钱包的重要工具。它通常是一个由单词或短语组成的字符串,用于创建钱包的私钥或种子短语。
Passphrase的目的是增加钱包的安全性,确保只有持有正确Passphrase的人能够访问和控制钱包中的资产。如果没有正确的Passphrase,就无法恢复或重建钱包,因此保管好Passphrase非常重要。
以下是使用Passphrase时需要注意的安全点:
保密性:不要将Passphrase泄露给他人。确保只有您知道和持有Passphrase。避免在社交媒体、聊天应用或公共场所中透露Passphrase。
复杂性:选择一个足够复杂的Passphrase。它应该包含随机的单词或短语,并避免使用容易被猜测的内容,如常见的短语、日期、个人信息等。使用随机密码生成器来创建强密码可以提高安全性。
备份:确保正确备份Passphrase。将其写在纸上,并将纸本备份存放在安全的地方,远离网络和物理威胁。不要仅仅依赖于电子设备或在线存储,因为它们可能会遭受数据丢失、故障或黑客攻击。
定期更换:定期更换Passphrase是一个好的安全实践,尤其是如果您怀疑Passphrase可能已经泄露或不再安全。Passphrase更换,也意味着您的钱包地址跟着更换了!
谨防钓鱼攻击:注意钓鱼攻击,不要点击来自未知来源或可疑网站的链接,以防止被诱导输入Passphrase。
请记住,Passphrase是访问和控制您虚拟货币资产的关键。如果您遗失或遗忘了Passphrase,可能无法再次访问您的资产,因此妥善保管并确保安全是非常重要的。
当创建隐藏钱包时,Passphrase是一种用于加密和保护钱包的重要工具。它通常是一个由单词或短语组成的字符串,用于创建钱包的私钥或种子短语。
Passphrase的目的是增加钱包的安全性,确保只有持有正确Passphrase的人能够访问和控制钱包中的资产。如果没有正确的Passphrase,就无法恢复或重建钱包,因此保管好Passphrase非常重要。
以下是使用Passphrase时需要注意的安全点:
保密性:不要将Passphrase泄露给他人。确保只有您知道和持有Passphrase。避免在社交媒体、聊天应用或公共场所中透露Passphrase。
复杂性:选择一个足够复杂的Passphrase。它应该包含随机的单词或短语,并避免使用容易被猜测的内容,如常见的短语、日期、个人信息等。使用随机密码生成器来创建强密码可以提高安全性。
备份:确保正确备份Passphrase。将其写在纸上,并将纸本备份存放在安全的地方,远离网络和物理威胁。不要仅仅依赖于电子设备或在线存储,因为它们可能会遭受数据丢失、故障或黑客攻击。
定期更换:定期更换Passphrase是一个好的安全实践,尤其是如果您怀疑Passphrase可能已经泄露或不再安全。Passphrase更换,也意味着您的钱包地址跟着更换了!
谨防钓鱼攻击:注意钓鱼攻击,不要点击来自未知来源或可疑网站的链接,以防止被诱导输入Passphrase。
请记住,Passphrase是访问和控制您虚拟货币资产的关键。如果您遗失或遗忘了Passphrase,可能无法再次访问您的资产,因此妥善保管并确保安全是非常重要的。
警惕“零金额”转账骗局
恶意授权是通过Approve操作,给某个代币授权在一定数量范围内可以调用的权限,恶意授权通常会盗取授权代币的所有余额。
那么如果一个普通的地址没有执行过Approve操作是否也可以被调用呢?
近期越来越多的用户反馈,在自己的USDT转账列表中会看到有“0USDT”被转入/转出的记录,如下
大部分看到自己的地址被调用转出资产,第一反应会认为自己可能会有被恶意授权的风险,于是打开权限检测工具或浏览器查看自己的授权记录。
在授权列表中发现了一条授权记录,但是在右侧发现【已取消】的提示,点击箭头查看授权和取消的记录。授权变更记录中的内容是空白的,这个时候用户彻底陷入迷茫中。
恶意授权是通过Approve操作,给某个代币授权在一定数量范围内可以调用的权限,恶意授权通常会盗取授权代币的所有余额。
那么如果一个普通的地址没有执行过Approve操作是否也可以被调用呢?
近期越来越多的用户反馈,在自己的USDT转账列表中会看到有“0USDT”被转入/转出的记录,如下
大部分看到自己的地址被调用转出资产,第一反应会认为自己可能会有被恶意授权的风险,于是打开权限检测工具或浏览器查看自己的授权记录。
在授权列表中发现了一条授权记录,但是在右侧发现【已取消】的提示,点击箭头查看授权和取消的记录。授权变更记录中的内容是空白的,这个时候用户彻底陷入迷茫中。
别担心!让我们一起来还原这一操作。
1.打开波场浏览器,找到USDT合约地址,点击【合约】--【编写合约】--【transferFrom】
2.在这里分别填入发送地址、接收地址和数量,然后点击【Send】利用插件钱包完成签名后就可以看到底部绿色的【true】说明执行成功。如果这里的数量设置其他,那么会提示已发送的内容,但是因为对方并没有可以调用的数量,所以无法执行成功。这里消耗的TRX由对方来买单。
3.执行成功后,我们继续查看这个地址的授权信息,果然是又增加了一条空白的记录。
到这里,相信大家应该对这种问题发生的原因有了充分了解,说明任何地址都可以被拿来调用,只是这种方法是徒劳的,它并不会让我们的资产有任何的风险,但他们的最终目的还是想让你使用错误的地址来触发误转账来谋取利益。和模拟相同尾号地址诈骗属于互补的一种骗局方式。点击查看精准伪装诈骗
这种调用在其他EVM链上同样适用,之前的高仿尾号地址诈骗方式是主动转入的方式,现在的这种调用是一个转出的方式,对于触发误操作的迷惑性会更强。骗子的骗术更新很快,大家要多注意防范。
1.打开波场浏览器,找到USDT合约地址,点击【合约】--【编写合约】--【transferFrom】
2.在这里分别填入发送地址、接收地址和数量,然后点击【Send】利用插件钱包完成签名后就可以看到底部绿色的【true】说明执行成功。如果这里的数量设置其他,那么会提示已发送的内容,但是因为对方并没有可以调用的数量,所以无法执行成功。这里消耗的TRX由对方来买单。
3.执行成功后,我们继续查看这个地址的授权信息,果然是又增加了一条空白的记录。
到这里,相信大家应该对这种问题发生的原因有了充分了解,说明任何地址都可以被拿来调用,只是这种方法是徒劳的,它并不会让我们的资产有任何的风险,但他们的最终目的还是想让你使用错误的地址来触发误转账来谋取利益。和模拟相同尾号地址诈骗属于互补的一种骗局方式。点击查看精准伪装诈骗
这种调用在其他EVM链上同样适用,之前的高仿尾号地址诈骗方式是主动转入的方式,现在的这种调用是一个转出的方式,对于触发误操作的迷惑性会更强。骗子的骗术更新很快,大家要多注意防范。
针对大家比较疑惑的几个问题进行解读:
1.为什么我的资产会被调用。
这种是直接通过USDT的 TransferFrom 功能执行操作,任何地址都可以在这里被调用并在钱包中生成一个记录,在授权记录中生成一个空白的记录。
2.出现这种情况,我的资产还安全吗。
这种操作目的就是为了模拟从用户地址转出的记录,结合伪装地址的方式来诱导用户误操作进行转账,它并不能对你的资产产生任何风险,但是请一定要注意这种可能误操作的执行。
一些优化进度:
TokenPocket:新版本对历史记录中复制地址进行了弹窗风险提示,近期会增加对小额地址的过滤设置功能,用户可以自主的来控制开关从而屏蔽一些“零资产”或“仿冒地址”等诈骗方式。
1.为什么我的资产会被调用。
这种是直接通过USDT的 TransferFrom 功能执行操作,任何地址都可以在这里被调用并在钱包中生成一个记录,在授权记录中生成一个空白的记录。
2.出现这种情况,我的资产还安全吗。
这种操作目的就是为了模拟从用户地址转出的记录,结合伪装地址的方式来诱导用户误操作进行转账,它并不能对你的资产产生任何风险,但是请一定要注意这种可能误操作的执行。
一些优化进度:
TokenPocket:新版本对历史记录中复制地址进行了弹窗风险提示,近期会增加对小额地址的过滤设置功能,用户可以自主的来控制开关从而屏蔽一些“零资产”或“仿冒地址”等诈骗方式。
TRON官方优化:
1、增加了链上查看数据,关于“零资产”转账相关的提示内容;
2、交易历史记录中对“零资产”记录进行了风险提示信息。
TokenPocket安全措施
您可以通过隐藏小额交易来隐藏这些伪装地址的钓鱼操作。
点击查看👉设置教程
1、增加了链上查看数据,关于“零资产”转账相关的提示内容;
2、交易历史记录中对“零资产”记录进行了风险提示信息。
TokenPocket安全措施
您可以通过隐藏小额交易来隐藏这些伪装地址的钓鱼操作。
点击查看👉设置教程
警惕精准伪装地址
在之前介绍的盗币方式中,盗币者一般会采用一些技术手段来开发恶意的链接来想办法诱导用户进行执行授权,从而盗取授权过的这个代币。这种方式的实施范围比较广泛。
近期TokenPocket技术团队发现了一种新型的盗币方式(“精准伪装”)。
这种方式从根本上来说是用了比较“原始”的方法执行,例如在链上观察到一个钱包地址经常会有大资金的usdt往来记录,那么就对这个钱包进行监控,找到其经常收款的地址,利用“靓号生成器”生成和收款地址非常相似的地址(一般是前几位,或者后几位基本一样),多次的转入小额的数量到监控的这个钱包地址中(例如0.001USDT)。用户在进行转账时,可能会复制之前的转账收款记录的转账地址来进行重新转账,如果这个时候复制到了错误的(高度相似)地址,那么就会导致转账发生错误,从而导致了代币的丢失。
建议经常有的资金往来业务的用户,在转账的时候核对好收款地址,对收款地址做一个完整的验证;其次,使用钱包地址簿转账的功能,将日常使用的钱包地址在通讯录中收录,转账时直接选择地址即可。
在之前介绍的盗币方式中,盗币者一般会采用一些技术手段来开发恶意的链接来想办法诱导用户进行执行授权,从而盗取授权过的这个代币。这种方式的实施范围比较广泛。
近期TokenPocket技术团队发现了一种新型的盗币方式(“精准伪装”)。
这种方式从根本上来说是用了比较“原始”的方法执行,例如在链上观察到一个钱包地址经常会有大资金的usdt往来记录,那么就对这个钱包进行监控,找到其经常收款的地址,利用“靓号生成器”生成和收款地址非常相似的地址(一般是前几位,或者后几位基本一样),多次的转入小额的数量到监控的这个钱包地址中(例如0.001USDT)。用户在进行转账时,可能会复制之前的转账收款记录的转账地址来进行重新转账,如果这个时候复制到了错误的(高度相似)地址,那么就会导致转账发生错误,从而导致了代币的丢失。
建议经常有的资金往来业务的用户,在转账的时候核对好收款地址,对收款地址做一个完整的验证;其次,使用钱包地址簿转账的功能,将日常使用的钱包地址在通讯录中收录,转账时直接选择地址即可。
警惕接码类诈骗
接码平台,是指专门提供手机号为他人接收来自第三方平台验证码并将验证码提供给他人的资源平台,可以通过平台注册更多的APP账号。这种方式是不提倡的,因为多账号刷单或者其他的使用范围都属于违规的一种参与,不过这类平台总会有人去青睐。
接码类诈骗案例其实就是换了一层包装的恶意授权诈骗,他们会利用网站提供APP的下载,下载后需要使用接码功能就必须充值,例如下面的界面
充值额度和充值调用钱包都会在界面中提供选择,点击充值后就会调用打开钱包。因为执行的是合约调用而不是普通的转账操作,所以在TokenPocket中会看到风险提示,如果只是余额充值,那么为什么会调用USDT的合约授权呢?所以这个时候必须立即停止这个操作,防止更多人被这个同样的链接诈骗。
解码类诈骗方式的防范,只需要观察钱包中出现的授权调用的风险提示窗口,如果只是充值代币出现调用的窗口,那么百分之百都是诈骗,请一定不要继续使用和授权,并积极跟我们举报。
接码平台,是指专门提供手机号为他人接收来自第三方平台验证码并将验证码提供给他人的资源平台,可以通过平台注册更多的APP账号。这种方式是不提倡的,因为多账号刷单或者其他的使用范围都属于违规的一种参与,不过这类平台总会有人去青睐。
接码类诈骗案例其实就是换了一层包装的恶意授权诈骗,他们会利用网站提供APP的下载,下载后需要使用接码功能就必须充值,例如下面的界面
充值额度和充值调用钱包都会在界面中提供选择,点击充值后就会调用打开钱包。因为执行的是合约调用而不是普通的转账操作,所以在TokenPocket中会看到风险提示,如果只是余额充值,那么为什么会调用USDT的合约授权呢?所以这个时候必须立即停止这个操作,防止更多人被这个同样的链接诈骗。
解码类诈骗方式的防范,只需要观察钱包中出现的授权调用的风险提示窗口,如果只是充值代币出现调用的窗口,那么百分之百都是诈骗,请一定不要继续使用和授权,并积极跟我们举报。
警惕新型空投诈骗
近期接到用户反馈,说收到了来自交易所的空投代币(此诈骗方式可以模仿任何的平台标签),当用户去参与执行这个代币的时候发现代币会存在一些问题,例如可以买入却无法卖出等情况,对此TokenPocket安全部门针对用户反馈的链上信息进行分析,发现这是一个通过利用浏览器/钱包解析转账交易记录的方式来伪造任意地址之间转账的交易记录的新型诈骗。这种交易记录的伪造只能针对诈骗者发行的代币。 主流的代币交易诈骗者无法伪造。
因此防范此类空投诈骗的最有效的方法,就是不相信任何不明来历的空投,交易所也不会主动给链上钱包进行空投,面对纷繁复杂的环境,一定要做好自我安全知识的积累,加强反诈骗知识的学习,做到任何主动私聊的人的都不要信,任何推荐的官网或app都不要使用,不随意打开三方链接并授权,私钥、助记词安全保存不要丢失和分享给任何人。
近期接到用户反馈,说收到了来自交易所的空投代币(此诈骗方式可以模仿任何的平台标签),当用户去参与执行这个代币的时候发现代币会存在一些问题,例如可以买入却无法卖出等情况,对此TokenPocket安全部门针对用户反馈的链上信息进行分析,发现这是一个通过利用浏览器/钱包解析转账交易记录的方式来伪造任意地址之间转账的交易记录的新型诈骗。这种交易记录的伪造只能针对诈骗者发行的代币。 主流的代币交易诈骗者无法伪造。
因此防范此类空投诈骗的最有效的方法,就是不相信任何不明来历的空投,交易所也不会主动给链上钱包进行空投,面对纷繁复杂的环境,一定要做好自我安全知识的积累,加强反诈骗知识的学习,做到任何主动私聊的人的都不要信,任何推荐的官网或app都不要使用,不随意打开三方链接并授权,私钥、助记词安全保存不要丢失和分享给任何人。
警惕助记词分享诈骗
近期社区中看到有多人反馈波场钱包在转账是遇到了错误,经过对比发现他们有一定的共同之出。经过深入了解,他们是从网络上获取到公开的私钥或助记词,用户导入波场钱包后可以看到或多或少持有的资产,再转入TRX后进行转账会遇到错误,无论是哪种代币的转账都会报错,下面就将这个我们称之为钓鱼钱包的骗局的本质和大家进行说明。
案例剖析:
1、使用公開的私鑰或助記詞導入到錢包中,在Gas(礦工費)足夠的情況下選擇例如USDT的轉賬,填入收款地址,設置數量,在輸入密碼轉賬後會提示一堆代碼的錯誤提示。
2、点击上图的收款地址,记录好这个地址后面会用到,打开波场内存块链浏览器:https://tronscan.io/ #填入收款地址进行查询,为了直观的展示内容,这里选择了PC端的浏览器内容演示。
在【账户权限】中可以看到owner和active两个活动权限都为同一个地址,但是这个地址和钱包的收款地址不同,这个就很明显的可以解释为什么所有导入的资产都无法进行转账。
这里简单的说明一下,波场公链整合了以太坊和EOS的一些特性,所以它和EOS的权限设置基本相同,分为owner、active、权重、阈值等内容,具体的功能说明和操作可以参考官方的多签说明文档:https://cn.developers.tron.network/docs/multi-signature
在这里再次提示大家,天上不会掉馅饼,这种骗取Gas(矿工费)的骗局是一种比较早期的骗局,用户最多损失一些手续费,但是如果遇到【恶意授权】或【合约调用盗币】等方式,那么损失就会比较大了。
近期社区中看到有多人反馈波场钱包在转账是遇到了错误,经过对比发现他们有一定的共同之出。经过深入了解,他们是从网络上获取到公开的私钥或助记词,用户导入波场钱包后可以看到或多或少持有的资产,再转入TRX后进行转账会遇到错误,无论是哪种代币的转账都会报错,下面就将这个我们称之为钓鱼钱包的骗局的本质和大家进行说明。
案例剖析:
1、使用公開的私鑰或助記詞導入到錢包中,在Gas(礦工費)足夠的情況下選擇例如USDT的轉賬,填入收款地址,設置數量,在輸入密碼轉賬後會提示一堆代碼的錯誤提示。
2、点击上图的收款地址,记录好这个地址后面会用到,打开波场内存块链浏览器:https://tronscan.io/ #填入收款地址进行查询,为了直观的展示内容,这里选择了PC端的浏览器内容演示。
在【账户权限】中可以看到owner和active两个活动权限都为同一个地址,但是这个地址和钱包的收款地址不同,这个就很明显的可以解释为什么所有导入的资产都无法进行转账。
这里简单的说明一下,波场公链整合了以太坊和EOS的一些特性,所以它和EOS的权限设置基本相同,分为owner、active、权重、阈值等内容,具体的功能说明和操作可以参考官方的多签说明文档:https://cn.developers.tron.network/docs/multi-signature
在这里再次提示大家,天上不会掉馅饼,这种骗取Gas(矿工费)的骗局是一种比较早期的骗局,用户最多损失一些手续费,但是如果遇到【恶意授权】或【合约调用盗币】等方式,那么损失就会比较大了。