什么是Passphrase
当创建隐藏钱包时,Passphrase是一种用于加密和保护钱包的重要工具。它通常是一个由单词或短语组成的字符串,用于创建钱包的私钥或种子短语。
Passphrase的目的是增加钱包的安全性,确保只有持有正确Passphrase的人能够访问和控制钱包中的资产。如果没有正确的Passphrase,就无法恢复或重建钱包,因此保管好Passphrase非常重要。
以下是使用Passphrase时需要注意的安全点:
保密性:不要将Passphrase泄露给他人。确保只有您知道和持有Passphrase。避免在社交媒体、聊天应用或公共场所中透露Passphrase。
复杂性:选择一个足够复杂的Passphrase。它应该包含随机的单词或短语,并避免使用容易被猜测的内容,如常见的短语、日期、个人信息等。使用随机密码生成器来创建强密码可以提高安全性。
备份:确保正确备份Passphrase。将其写在纸上,并将纸本备份存放在安全的地方,远离网络和物理威胁。不要仅仅依赖于电子设备或在线存储,因为它们可能会遭受数据丢失、故障或黑客攻击。
定期更换:定期更换Passphrase是一个好的安全实践,尤其是如果您怀疑Passphrase可能已经泄露或不再安全。Passphrase更换,也意味着您的钱包地址跟着更换了!
谨防钓鱼攻击:注意钓鱼攻击,不要点击来自未知来源或可疑网站的链接,以防止被诱导输入Passphrase。
请记住,Passphrase是访问和控制您虚拟货币资产的关键。如果您遗失或遗忘了Passphrase,可能无法再次访问您的资产,因此妥善保管并确保安全是非常重要的。
当创建隐藏钱包时,Passphrase是一种用于加密和保护钱包的重要工具。它通常是一个由单词或短语组成的字符串,用于创建钱包的私钥或种子短语。
Passphrase的目的是增加钱包的安全性,确保只有持有正确Passphrase的人能够访问和控制钱包中的资产。如果没有正确的Passphrase,就无法恢复或重建钱包,因此保管好Passphrase非常重要。
以下是使用Passphrase时需要注意的安全点:
保密性:不要将Passphrase泄露给他人。确保只有您知道和持有Passphrase。避免在社交媒体、聊天应用或公共场所中透露Passphrase。
复杂性:选择一个足够复杂的Passphrase。它应该包含随机的单词或短语,并避免使用容易被猜测的内容,如常见的短语、日期、个人信息等。使用随机密码生成器来创建强密码可以提高安全性。
备份:确保正确备份Passphrase。将其写在纸上,并将纸本备份存放在安全的地方,远离网络和物理威胁。不要仅仅依赖于电子设备或在线存储,因为它们可能会遭受数据丢失、故障或黑客攻击。
定期更换:定期更换Passphrase是一个好的安全实践,尤其是如果您怀疑Passphrase可能已经泄露或不再安全。Passphrase更换,也意味着您的钱包地址跟着更换了!
谨防钓鱼攻击:注意钓鱼攻击,不要点击来自未知来源或可疑网站的链接,以防止被诱导输入Passphrase。
请记住,Passphrase是访问和控制您虚拟货币资产的关键。如果您遗失或遗忘了Passphrase,可能无法再次访问您的资产,因此妥善保管并确保安全是非常重要的。
警惕“零金额”转账骗局
恶意授权是通过Approve操作,给某个代币授权在一定数量范围内可以调用的权限,恶意授权通常会盗取授权代币的所有余额。
那么如果一个普通的地址没有执行过Approve操作是否也可以被调用呢?
近期越来越多的用户反馈,在自己的USDT转账列表中会看到有“0USDT”被转入/转出的记录,如下
大部分看到自己的地址被调用转出资产,第一反应会认为自己可能会有被恶意授权的风险,于是打开权限检测工具或浏览器查看自己的授权记录。
在授权列表中发现了一条授权记录,但是在右侧发现【已取消】的提示,点击箭头查看授权和取消的记录。授权变更记录中的内容是空白的,这个时候用户彻底陷入迷茫中。
恶意授权是通过Approve操作,给某个代币授权在一定数量范围内可以调用的权限,恶意授权通常会盗取授权代币的所有余额。
那么如果一个普通的地址没有执行过Approve操作是否也可以被调用呢?
近期越来越多的用户反馈,在自己的USDT转账列表中会看到有“0USDT”被转入/转出的记录,如下
大部分看到自己的地址被调用转出资产,第一反应会认为自己可能会有被恶意授权的风险,于是打开权限检测工具或浏览器查看自己的授权记录。
在授权列表中发现了一条授权记录,但是在右侧发现【已取消】的提示,点击箭头查看授权和取消的记录。授权变更记录中的内容是空白的,这个时候用户彻底陷入迷茫中。
别担心!让我们一起来还原这一操作。
1.打开波场浏览器,找到USDT合约地址,点击【合约】--【编写合约】--【transferFrom】
2.在这里分别填入发送地址、接收地址和数量,然后点击【Send】利用插件钱包完成签名后就可以看到底部绿色的【true】说明执行成功。如果这里的数量设置其他,那么会提示已发送的内容,但是因为对方并没有可以调用的数量,所以无法执行成功。这里消耗的TRX由对方来买单。
3.执行成功后,我们继续查看这个地址的授权信息,果然是又增加了一条空白的记录。
到这里,相信大家应该对这种问题发生的原因有了充分了解,说明任何地址都可以被拿来调用,只是这种方法是徒劳的,它并不会让我们的资产有任何的风险,但他们的最终目的还是想让你使用错误的地址来触发误转账来谋取利益。和模拟相同尾号地址诈骗属于互补的一种骗局方式。点击查看精准伪装诈骗
这种调用在其他EVM链上同样适用,之前的高仿尾号地址诈骗方式是主动转入的方式,现在的这种调用是一个转出的方式,对于触发误操作的迷惑性会更强。骗子的骗术更新很快,大家要多注意防范。
1.打开波场浏览器,找到USDT合约地址,点击【合约】--【编写合约】--【transferFrom】
2.在这里分别填入发送地址、接收地址和数量,然后点击【Send】利用插件钱包完成签名后就可以看到底部绿色的【true】说明执行成功。如果这里的数量设置其他,那么会提示已发送的内容,但是因为对方并没有可以调用的数量,所以无法执行成功。这里消耗的TRX由对方来买单。
3.执行成功后,我们继续查看这个地址的授权信息,果然是又增加了一条空白的记录。
到这里,相信大家应该对这种问题发生的原因有了充分了解,说明任何地址都可以被拿来调用,只是这种方法是徒劳的,它并不会让我们的资产有任何的风险,但他们的最终目的还是想让你使用错误的地址来触发误转账来谋取利益。和模拟相同尾号地址诈骗属于互补的一种骗局方式。点击查看精准伪装诈骗
这种调用在其他EVM链上同样适用,之前的高仿尾号地址诈骗方式是主动转入的方式,现在的这种调用是一个转出的方式,对于触发误操作的迷惑性会更强。骗子的骗术更新很快,大家要多注意防范。
针对大家比较疑惑的几个问题进行解读:
1.为什么我的资产会被调用。
这种是直接通过USDT的 TransferFrom 功能执行操作,任何地址都可以在这里被调用并在钱包中生成一个记录,在授权记录中生成一个空白的记录。
2.出现这种情况,我的资产还安全吗。
这种操作目的就是为了模拟从用户地址转出的记录,结合伪装地址的方式来诱导用户误操作进行转账,它并不能对你的资产产生任何风险,但是请一定要注意这种可能误操作的执行。
一些优化进度:
TokenPocket:新版本对历史记录中复制地址进行了弹窗风险提示,近期会增加对小额地址的过滤设置功能,用户可以自主的来控制开关从而屏蔽一些“零资产”或“仿冒地址”等诈骗方式。
1.为什么我的资产会被调用。
这种是直接通过USDT的 TransferFrom 功能执行操作,任何地址都可以在这里被调用并在钱包中生成一个记录,在授权记录中生成一个空白的记录。
2.出现这种情况,我的资产还安全吗。
这种操作目的就是为了模拟从用户地址转出的记录,结合伪装地址的方式来诱导用户误操作进行转账,它并不能对你的资产产生任何风险,但是请一定要注意这种可能误操作的执行。
一些优化进度:
TokenPocket:新版本对历史记录中复制地址进行了弹窗风险提示,近期会增加对小额地址的过滤设置功能,用户可以自主的来控制开关从而屏蔽一些“零资产”或“仿冒地址”等诈骗方式。
TRON官方优化:
1、增加了链上查看数据,关于“零资产”转账相关的提示内容;
2、交易历史记录中对“零资产”记录进行了风险提示信息。
TokenPocket安全措施
您可以通过隐藏小额交易来隐藏这些伪装地址的钓鱼操作。
点击查看👉设置教程
1、增加了链上查看数据,关于“零资产”转账相关的提示内容;
2、交易历史记录中对“零资产”记录进行了风险提示信息。
TokenPocket安全措施
您可以通过隐藏小额交易来隐藏这些伪装地址的钓鱼操作。
点击查看👉设置教程
警惕精准伪装地址
在之前介绍的盗币方式中,盗币者一般会采用一些技术手段来开发恶意的链接来想办法诱导用户进行执行授权,从而盗取授权过的这个代币。这种方式的实施范围比较广泛。
近期TokenPocket技术团队发现了一种新型的盗币方式(“精准伪装”)。
这种方式从根本上来说是用了比较“原始”的方法执行,例如在链上观察到一个钱包地址经常会有大资金的usdt往来记录,那么就对这个钱包进行监控,找到其经常收款的地址,利用“靓号生成器”生成和收款地址非常相似的地址(一般是前几位,或者后几位基本一样),多次的转入小额的数量到监控的这个钱包地址中(例如0.001USDT)。用户在进行转账时,可能会复制之前的转账收款记录的转账地址来进行重新转账,如果这个时候复制到了错误的(高度相似)地址,那么就会导致转账发生错误,从而导致了代币的丢失。
建议经常有的资金往来业务的用户,在转账的时候核对好收款地址,对收款地址做一个完整的验证;其次,使用钱包地址簿转账的功能,将日常使用的钱包地址在通讯录中收录,转账时直接选择地址即可。
在之前介绍的盗币方式中,盗币者一般会采用一些技术手段来开发恶意的链接来想办法诱导用户进行执行授权,从而盗取授权过的这个代币。这种方式的实施范围比较广泛。
近期TokenPocket技术团队发现了一种新型的盗币方式(“精准伪装”)。
这种方式从根本上来说是用了比较“原始”的方法执行,例如在链上观察到一个钱包地址经常会有大资金的usdt往来记录,那么就对这个钱包进行监控,找到其经常收款的地址,利用“靓号生成器”生成和收款地址非常相似的地址(一般是前几位,或者后几位基本一样),多次的转入小额的数量到监控的这个钱包地址中(例如0.001USDT)。用户在进行转账时,可能会复制之前的转账收款记录的转账地址来进行重新转账,如果这个时候复制到了错误的(高度相似)地址,那么就会导致转账发生错误,从而导致了代币的丢失。
建议经常有的资金往来业务的用户,在转账的时候核对好收款地址,对收款地址做一个完整的验证;其次,使用钱包地址簿转账的功能,将日常使用的钱包地址在通讯录中收录,转账时直接选择地址即可。
警惕接码类诈骗
接码平台,是指专门提供手机号为他人接收来自第三方平台验证码并将验证码提供给他人的资源平台,可以通过平台注册更多的APP账号。这种方式是不提倡的,因为多账号刷单或者其他的使用范围都属于违规的一种参与,不过这类平台总会有人去青睐。
接码类诈骗案例其实就是换了一层包装的恶意授权诈骗,他们会利用网站提供APP的下载,下载后需要使用接码功能就必须充值,例如下面的界面
充值额度和充值调用钱包都会在界面中提供选择,点击充值后就会调用打开钱包。因为执行的是合约调用而不是普通的转账操作,所以在TokenPocket中会看到风险提示,如果只是余额充值,那么为什么会调用USDT的合约授权呢?所以这个时候必须立即停止这个操作,防止更多人被这个同样的链接诈骗。
解码类诈骗方式的防范,只需要观察钱包中出现的授权调用的风险提示窗口,如果只是充值代币出现调用的窗口,那么百分之百都是诈骗,请一定不要继续使用和授权,并积极跟我们举报。
接码平台,是指专门提供手机号为他人接收来自第三方平台验证码并将验证码提供给他人的资源平台,可以通过平台注册更多的APP账号。这种方式是不提倡的,因为多账号刷单或者其他的使用范围都属于违规的一种参与,不过这类平台总会有人去青睐。
接码类诈骗案例其实就是换了一层包装的恶意授权诈骗,他们会利用网站提供APP的下载,下载后需要使用接码功能就必须充值,例如下面的界面
充值额度和充值调用钱包都会在界面中提供选择,点击充值后就会调用打开钱包。因为执行的是合约调用而不是普通的转账操作,所以在TokenPocket中会看到风险提示,如果只是余额充值,那么为什么会调用USDT的合约授权呢?所以这个时候必须立即停止这个操作,防止更多人被这个同样的链接诈骗。
解码类诈骗方式的防范,只需要观察钱包中出现的授权调用的风险提示窗口,如果只是充值代币出现调用的窗口,那么百分之百都是诈骗,请一定不要继续使用和授权,并积极跟我们举报。
警惕新型空投诈骗
近期接到用户反馈,说收到了来自交易所的空投代币(此诈骗方式可以模仿任何的平台标签),当用户去参与执行这个代币的时候发现代币会存在一些问题,例如可以买入却无法卖出等情况,对此TokenPocket安全部门针对用户反馈的链上信息进行分析,发现这是一个通过利用浏览器/钱包解析转账交易记录的方式来伪造任意地址之间转账的交易记录的新型诈骗。这种交易记录的伪造只能针对诈骗者发行的代币。 主流的代币交易诈骗者无法伪造。
因此防范此类空投诈骗的最有效的方法,就是不相信任何不明来历的空投,交易所也不会主动给链上钱包进行空投,面对纷繁复杂的环境,一定要做好自我安全知识的积累,加强反诈骗知识的学习,做到任何主动私聊的人的都不要信,任何推荐的官网或app都不要使用,不随意打开三方链接并授权,私钥、助记词安全保存不要丢失和分享给任何人。
近期接到用户反馈,说收到了来自交易所的空投代币(此诈骗方式可以模仿任何的平台标签),当用户去参与执行这个代币的时候发现代币会存在一些问题,例如可以买入却无法卖出等情况,对此TokenPocket安全部门针对用户反馈的链上信息进行分析,发现这是一个通过利用浏览器/钱包解析转账交易记录的方式来伪造任意地址之间转账的交易记录的新型诈骗。这种交易记录的伪造只能针对诈骗者发行的代币。 主流的代币交易诈骗者无法伪造。
因此防范此类空投诈骗的最有效的方法,就是不相信任何不明来历的空投,交易所也不会主动给链上钱包进行空投,面对纷繁复杂的环境,一定要做好自我安全知识的积累,加强反诈骗知识的学习,做到任何主动私聊的人的都不要信,任何推荐的官网或app都不要使用,不随意打开三方链接并授权,私钥、助记词安全保存不要丢失和分享给任何人。
警惕助记词分享诈骗
近期社区中看到有多人反馈波场钱包在转账是遇到了错误,经过对比发现他们有一定的共同之出。经过深入了解,他们是从网络上获取到公开的私钥或助记词,用户导入波场钱包后可以看到或多或少持有的资产,再转入TRX后进行转账会遇到错误,无论是哪种代币的转账都会报错,下面就将这个我们称之为钓鱼钱包的骗局的本质和大家进行说明。
案例剖析:
1、使用公開的私鑰或助記詞導入到錢包中,在Gas(礦工費)足夠的情況下選擇例如USDT的轉賬,填入收款地址,設置數量,在輸入密碼轉賬後會提示一堆代碼的錯誤提示。
2、点击上图的收款地址,记录好这个地址后面会用到,打开波场内存块链浏览器:https://tronscan.io/ #填入收款地址进行查询,为了直观的展示内容,这里选择了PC端的浏览器内容演示。
在【账户权限】中可以看到owner和active两个活动权限都为同一个地址,但是这个地址和钱包的收款地址不同,这个就很明显的可以解释为什么所有导入的资产都无法进行转账。
这里简单的说明一下,波场公链整合了以太坊和EOS的一些特性,所以它和EOS的权限设置基本相同,分为owner、active、权重、阈值等内容,具体的功能说明和操作可以参考官方的多签说明文档:https://cn.developers.tron.network/docs/multi-signature
在这里再次提示大家,天上不会掉馅饼,这种骗取Gas(矿工费)的骗局是一种比较早期的骗局,用户最多损失一些手续费,但是如果遇到【恶意授权】或【合约调用盗币】等方式,那么损失就会比较大了。
近期社区中看到有多人反馈波场钱包在转账是遇到了错误,经过对比发现他们有一定的共同之出。经过深入了解,他们是从网络上获取到公开的私钥或助记词,用户导入波场钱包后可以看到或多或少持有的资产,再转入TRX后进行转账会遇到错误,无论是哪种代币的转账都会报错,下面就将这个我们称之为钓鱼钱包的骗局的本质和大家进行说明。
案例剖析:
1、使用公開的私鑰或助記詞導入到錢包中,在Gas(礦工費)足夠的情況下選擇例如USDT的轉賬,填入收款地址,設置數量,在輸入密碼轉賬後會提示一堆代碼的錯誤提示。
2、点击上图的收款地址,记录好这个地址后面会用到,打开波场内存块链浏览器:https://tronscan.io/ #填入收款地址进行查询,为了直观的展示内容,这里选择了PC端的浏览器内容演示。
在【账户权限】中可以看到owner和active两个活动权限都为同一个地址,但是这个地址和钱包的收款地址不同,这个就很明显的可以解释为什么所有导入的资产都无法进行转账。
这里简单的说明一下,波场公链整合了以太坊和EOS的一些特性,所以它和EOS的权限设置基本相同,分为owner、active、权重、阈值等内容,具体的功能说明和操作可以参考官方的多签说明文档:https://cn.developers.tron.network/docs/multi-signature
在这里再次提示大家,天上不会掉馅饼,这种骗取Gas(矿工费)的骗局是一种比较早期的骗局,用户最多损失一些手续费,但是如果遇到【恶意授权】或【合约调用盗币】等方式,那么损失就会比较大了。
BSC链恶意授权诈骗
Approve的释义:
Approve即授权。它允许持有 Token 的用户,通过调用 Approve 方法,授权给指定账户一定额度,赋予该账户自由支配额度内 Token 的权力。如果授权给恶意账户,那么授权资产就会被全部盗取而无需告知。
恶意授权的表现方式:
1、日常使用第三方DApp都是通过打开点击【发现】,在顶部的地址栏填入链接后打开。打开链接后会弹出风险提示,这里是提示确认使用的链接安全性,如果无法确认安全那么一旦授权后有很大概率会导致资产被盗。
今天的案例就来自于一个号称TokenPocket 空投的骗局,打开链接后可以看到整个DApp的制作比较精致,说明中有关于活动的介绍,只需要点击【Join Aridrop】并授权就可以得到空投的代币,而实际上是为了骗你的授权,然后转走你所有代币。
2、点击【Join Aridrop】会自动调用钱包授权,首先弹出的是【即将执行授权操作】这里就需要引起高度注意,点击下一步来到了【交易详情】界面,在这里可以看到【授权地址】的合约地址在申请USDT的转账授权权限,到这里就应该停下来不要去继续执行操作,因为一个普通的空投为什么要调用USDT的授权?如果没有信任钱包弹出的层层风险提示去执行了授权,那么就会导致所有的USDT被盗。
我们来深入分析一下。
3、复制授权地址到BSC浏览器打开,在这里可以看到这个恶意的地址已经被BSC官方列入了黑名单列表中。
通过这个恶意地址的链上执行记录,我们找到了一个被盗的地址哈希值执行记录,在这里可以看到USDT的转账发起地址是恶意的地址,转出的是丢失代币的地址,而正常情况下操作的发起地址和发出地址都应该相同。这里的恶意地址是起到了直接发起合约调用盗币的操作。
通过BSC上的授权检测工具 查看授权历史记录,在这里可以看到恶意的地址是存在于授权列表中的,也就是说如果这个代币的地址再次转入USDT到钱包中会马上被盗。
确定是被恶意授权盗币后,请停止这个地址的使用,使用工具来清理权限或者最彻底的方法是新建一个地址来转移其他的资产。恶意授权只会影响授权的代币的安全,其他的代币是没有调用权限。
Approve的释义:
Approve即授权。它允许持有 Token 的用户,通过调用 Approve 方法,授权给指定账户一定额度,赋予该账户自由支配额度内 Token 的权力。如果授权给恶意账户,那么授权资产就会被全部盗取而无需告知。
恶意授权的表现方式:
1、日常使用第三方DApp都是通过打开点击【发现】,在顶部的地址栏填入链接后打开。打开链接后会弹出风险提示,这里是提示确认使用的链接安全性,如果无法确认安全那么一旦授权后有很大概率会导致资产被盗。
今天的案例就来自于一个号称TokenPocket 空投的骗局,打开链接后可以看到整个DApp的制作比较精致,说明中有关于活动的介绍,只需要点击【Join Aridrop】并授权就可以得到空投的代币,而实际上是为了骗你的授权,然后转走你所有代币。
2、点击【Join Aridrop】会自动调用钱包授权,首先弹出的是【即将执行授权操作】这里就需要引起高度注意,点击下一步来到了【交易详情】界面,在这里可以看到【授权地址】的合约地址在申请USDT的转账授权权限,到这里就应该停下来不要去继续执行操作,因为一个普通的空投为什么要调用USDT的授权?如果没有信任钱包弹出的层层风险提示去执行了授权,那么就会导致所有的USDT被盗。
我们来深入分析一下。
3、复制授权地址到BSC浏览器打开,在这里可以看到这个恶意的地址已经被BSC官方列入了黑名单列表中。
通过这个恶意地址的链上执行记录,我们找到了一个被盗的地址哈希值执行记录,在这里可以看到USDT的转账发起地址是恶意的地址,转出的是丢失代币的地址,而正常情况下操作的发起地址和发出地址都应该相同。这里的恶意地址是起到了直接发起合约调用盗币的操作。
通过BSC上的授权检测工具 查看授权历史记录,在这里可以看到恶意的地址是存在于授权列表中的,也就是说如果这个代币的地址再次转入USDT到钱包中会马上被盗。
确定是被恶意授权盗币后,请停止这个地址的使用,使用工具来清理权限或者最彻底的方法是新建一个地址来转移其他的资产。恶意授权只会影响授权的代币的安全,其他的代币是没有调用权限。