警惕精准伪装地址
在之前介绍的盗币方式中,盗币者一般会采用一些技术手段来开发恶意的链接来想办法诱导用户进行执行授权,从而盗取授权过的这个代币。这种方式的实施范围比较广泛。
近期TokenPocket技术团队发现了一种新型的盗币方式(“精准伪装”)。
这种方式从根本上来说是用了比较“原始”的方法执行,例如在链上观察到一个钱包地址经常会有大资金的usdt往来记录,那么就对这个钱包进行监控,找到其经常收款的地址,利用“靓号生成器”生成和收款地址非常相似的地址(一般是前几位,或者后几位基本一样),多次的转入小额的数量到监控的这个钱包地址中(例如0.001USDT)。用户在进行转账时,可能会复制之前的转账收款记录的转账地址来进行重新转账,如果这个时候复制到了错误的(高度相似)地址,那么就会导致转账发生错误,从而导致了代币的丢失。
建议经常有的资金往来业务的用户,在转账的时候核对好收款地址,对收款地址做一个完整的验证;其次,使用钱包地址簿转账的功能,将日常使用的钱包地址在通讯录中收录,转账时直接选择地址即可。
在之前介绍的盗币方式中,盗币者一般会采用一些技术手段来开发恶意的链接来想办法诱导用户进行执行授权,从而盗取授权过的这个代币。这种方式的实施范围比较广泛。
近期TokenPocket技术团队发现了一种新型的盗币方式(“精准伪装”)。
这种方式从根本上来说是用了比较“原始”的方法执行,例如在链上观察到一个钱包地址经常会有大资金的usdt往来记录,那么就对这个钱包进行监控,找到其经常收款的地址,利用“靓号生成器”生成和收款地址非常相似的地址(一般是前几位,或者后几位基本一样),多次的转入小额的数量到监控的这个钱包地址中(例如0.001USDT)。用户在进行转账时,可能会复制之前的转账收款记录的转账地址来进行重新转账,如果这个时候复制到了错误的(高度相似)地址,那么就会导致转账发生错误,从而导致了代币的丢失。
建议经常有的资金往来业务的用户,在转账的时候核对好收款地址,对收款地址做一个完整的验证;其次,使用钱包地址簿转账的功能,将日常使用的钱包地址在通讯录中收录,转账时直接选择地址即可。
警惕接码类诈骗
接码平台,是指专门提供手机号为他人接收来自第三方平台验证码并将验证码提供给他人的资源平台,可以通过平台注册更多的APP账号。这种方式是不提倡的,因为多账号刷单或者其他的使用范围都属于违规的一种参与,不过这类平台总会有人去青睐。
接码类诈骗案例其实就是换了一层包装的恶意授权诈骗,他们会利用网站提供APP的下载,下载后需要使用接码功能就必须充值,例如下面的界面
充值额度和充值调用钱包都会在界面中提供选择,点击充值后就会调用打开钱包。因为执行的是合约调用而不是普通的转账操作,所以在TokenPocket中会看到风险提示,如果只是余额充值,那么为什么会调用USDT的合约授权呢?所以这个时候必须立即停止这个操作,防止更多人被这个同样的链接诈骗。
解码类诈骗方式的防范,只需要观察钱包中出现的授权调用的风险提示窗口,如果只是充值代币出现调用的窗口,那么百分之百都是诈骗,请一定不要继续使用和授权,并积极跟我们举报。
接码平台,是指专门提供手机号为他人接收来自第三方平台验证码并将验证码提供给他人的资源平台,可以通过平台注册更多的APP账号。这种方式是不提倡的,因为多账号刷单或者其他的使用范围都属于违规的一种参与,不过这类平台总会有人去青睐。
接码类诈骗案例其实就是换了一层包装的恶意授权诈骗,他们会利用网站提供APP的下载,下载后需要使用接码功能就必须充值,例如下面的界面
充值额度和充值调用钱包都会在界面中提供选择,点击充值后就会调用打开钱包。因为执行的是合约调用而不是普通的转账操作,所以在TokenPocket中会看到风险提示,如果只是余额充值,那么为什么会调用USDT的合约授权呢?所以这个时候必须立即停止这个操作,防止更多人被这个同样的链接诈骗。
解码类诈骗方式的防范,只需要观察钱包中出现的授权调用的风险提示窗口,如果只是充值代币出现调用的窗口,那么百分之百都是诈骗,请一定不要继续使用和授权,并积极跟我们举报。
警惕新型空投诈骗
近期接到用户反馈,说收到了来自交易所的空投代币(此诈骗方式可以模仿任何的平台标签),当用户去参与执行这个代币的时候发现代币会存在一些问题,例如可以买入却无法卖出等情况,对此TokenPocket安全部门针对用户反馈的链上信息进行分析,发现这是一个通过利用浏览器/钱包解析转账交易记录的方式来伪造任意地址之间转账的交易记录的新型诈骗。这种交易记录的伪造只能针对诈骗者发行的代币。 主流的代币交易诈骗者无法伪造。
因此防范此类空投诈骗的最有效的方法,就是不相信任何不明来历的空投,交易所也不会主动给链上钱包进行空投,面对纷繁复杂的环境,一定要做好自我安全知识的积累,加强反诈骗知识的学习,做到任何主动私聊的人的都不要信,任何推荐的官网或app都不要使用,不随意打开三方链接并授权,私钥、助记词安全保存不要丢失和分享给任何人。
近期接到用户反馈,说收到了来自交易所的空投代币(此诈骗方式可以模仿任何的平台标签),当用户去参与执行这个代币的时候发现代币会存在一些问题,例如可以买入却无法卖出等情况,对此TokenPocket安全部门针对用户反馈的链上信息进行分析,发现这是一个通过利用浏览器/钱包解析转账交易记录的方式来伪造任意地址之间转账的交易记录的新型诈骗。这种交易记录的伪造只能针对诈骗者发行的代币。 主流的代币交易诈骗者无法伪造。
因此防范此类空投诈骗的最有效的方法,就是不相信任何不明来历的空投,交易所也不会主动给链上钱包进行空投,面对纷繁复杂的环境,一定要做好自我安全知识的积累,加强反诈骗知识的学习,做到任何主动私聊的人的都不要信,任何推荐的官网或app都不要使用,不随意打开三方链接并授权,私钥、助记词安全保存不要丢失和分享给任何人。
警惕助记词分享诈骗
近期社区中看到有多人反馈波场钱包在转账是遇到了错误,经过对比发现他们有一定的共同之出。经过深入了解,他们是从网络上获取到公开的私钥或助记词,用户导入波场钱包后可以看到或多或少持有的资产,再转入TRX后进行转账会遇到错误,无论是哪种代币的转账都会报错,下面就将这个我们称之为钓鱼钱包的骗局的本质和大家进行说明。
案例剖析:
1、使用公開的私鑰或助記詞導入到錢包中,在Gas(礦工費)足夠的情況下選擇例如USDT的轉賬,填入收款地址,設置數量,在輸入密碼轉賬後會提示一堆代碼的錯誤提示。
2、点击上图的收款地址,记录好这个地址后面会用到,打开波场内存块链浏览器:https://tronscan.io/ #填入收款地址进行查询,为了直观的展示内容,这里选择了PC端的浏览器内容演示。
在【账户权限】中可以看到owner和active两个活动权限都为同一个地址,但是这个地址和钱包的收款地址不同,这个就很明显的可以解释为什么所有导入的资产都无法进行转账。
这里简单的说明一下,波场公链整合了以太坊和EOS的一些特性,所以它和EOS的权限设置基本相同,分为owner、active、权重、阈值等内容,具体的功能说明和操作可以参考官方的多签说明文档:https://cn.developers.tron.network/docs/multi-signature
在这里再次提示大家,天上不会掉馅饼,这种骗取Gas(矿工费)的骗局是一种比较早期的骗局,用户最多损失一些手续费,但是如果遇到【恶意授权】或【合约调用盗币】等方式,那么损失就会比较大了。
近期社区中看到有多人反馈波场钱包在转账是遇到了错误,经过对比发现他们有一定的共同之出。经过深入了解,他们是从网络上获取到公开的私钥或助记词,用户导入波场钱包后可以看到或多或少持有的资产,再转入TRX后进行转账会遇到错误,无论是哪种代币的转账都会报错,下面就将这个我们称之为钓鱼钱包的骗局的本质和大家进行说明。
案例剖析:
1、使用公開的私鑰或助記詞導入到錢包中,在Gas(礦工費)足夠的情況下選擇例如USDT的轉賬,填入收款地址,設置數量,在輸入密碼轉賬後會提示一堆代碼的錯誤提示。
2、点击上图的收款地址,记录好这个地址后面会用到,打开波场内存块链浏览器:https://tronscan.io/ #填入收款地址进行查询,为了直观的展示内容,这里选择了PC端的浏览器内容演示。
在【账户权限】中可以看到owner和active两个活动权限都为同一个地址,但是这个地址和钱包的收款地址不同,这个就很明显的可以解释为什么所有导入的资产都无法进行转账。
这里简单的说明一下,波场公链整合了以太坊和EOS的一些特性,所以它和EOS的权限设置基本相同,分为owner、active、权重、阈值等内容,具体的功能说明和操作可以参考官方的多签说明文档:https://cn.developers.tron.network/docs/multi-signature
在这里再次提示大家,天上不会掉馅饼,这种骗取Gas(矿工费)的骗局是一种比较早期的骗局,用户最多损失一些手续费,但是如果遇到【恶意授权】或【合约调用盗币】等方式,那么损失就会比较大了。
BSC链恶意授权诈骗
Approve的释义:
Approve即授权。它允许持有 Token 的用户,通过调用 Approve 方法,授权给指定账户一定额度,赋予该账户自由支配额度内 Token 的权力。如果授权给恶意账户,那么授权资产就会被全部盗取而无需告知。
恶意授权的表现方式:
1、日常使用第三方DApp都是通过打开点击【发现】,在顶部的地址栏填入链接后打开。打开链接后会弹出风险提示,这里是提示确认使用的链接安全性,如果无法确认安全那么一旦授权后有很大概率会导致资产被盗。
今天的案例就来自于一个号称TokenPocket 空投的骗局,打开链接后可以看到整个DApp的制作比较精致,说明中有关于活动的介绍,只需要点击【Join Aridrop】并授权就可以得到空投的代币,而实际上是为了骗你的授权,然后转走你所有代币。
2、点击【Join Aridrop】会自动调用钱包授权,首先弹出的是【即将执行授权操作】这里就需要引起高度注意,点击下一步来到了【交易详情】界面,在这里可以看到【授权地址】的合约地址在申请USDT的转账授权权限,到这里就应该停下来不要去继续执行操作,因为一个普通的空投为什么要调用USDT的授权?如果没有信任钱包弹出的层层风险提示去执行了授权,那么就会导致所有的USDT被盗。
我们来深入分析一下。
3、复制授权地址到BSC浏览器打开,在这里可以看到这个恶意的地址已经被BSC官方列入了黑名单列表中。
通过这个恶意地址的链上执行记录,我们找到了一个被盗的地址哈希值执行记录,在这里可以看到USDT的转账发起地址是恶意的地址,转出的是丢失代币的地址,而正常情况下操作的发起地址和发出地址都应该相同。这里的恶意地址是起到了直接发起合约调用盗币的操作。
通过BSC上的授权检测工具 查看授权历史记录,在这里可以看到恶意的地址是存在于授权列表中的,也就是说如果这个代币的地址再次转入USDT到钱包中会马上被盗。
确定是被恶意授权盗币后,请停止这个地址的使用,使用工具来清理权限或者最彻底的方法是新建一个地址来转移其他的资产。恶意授权只会影响授权的代币的安全,其他的代币是没有调用权限。
Approve的释义:
Approve即授权。它允许持有 Token 的用户,通过调用 Approve 方法,授权给指定账户一定额度,赋予该账户自由支配额度内 Token 的权力。如果授权给恶意账户,那么授权资产就会被全部盗取而无需告知。
恶意授权的表现方式:
1、日常使用第三方DApp都是通过打开点击【发现】,在顶部的地址栏填入链接后打开。打开链接后会弹出风险提示,这里是提示确认使用的链接安全性,如果无法确认安全那么一旦授权后有很大概率会导致资产被盗。
今天的案例就来自于一个号称TokenPocket 空投的骗局,打开链接后可以看到整个DApp的制作比较精致,说明中有关于活动的介绍,只需要点击【Join Aridrop】并授权就可以得到空投的代币,而实际上是为了骗你的授权,然后转走你所有代币。
2、点击【Join Aridrop】会自动调用钱包授权,首先弹出的是【即将执行授权操作】这里就需要引起高度注意,点击下一步来到了【交易详情】界面,在这里可以看到【授权地址】的合约地址在申请USDT的转账授权权限,到这里就应该停下来不要去继续执行操作,因为一个普通的空投为什么要调用USDT的授权?如果没有信任钱包弹出的层层风险提示去执行了授权,那么就会导致所有的USDT被盗。
我们来深入分析一下。
3、复制授权地址到BSC浏览器打开,在这里可以看到这个恶意的地址已经被BSC官方列入了黑名单列表中。
通过这个恶意地址的链上执行记录,我们找到了一个被盗的地址哈希值执行记录,在这里可以看到USDT的转账发起地址是恶意的地址,转出的是丢失代币的地址,而正常情况下操作的发起地址和发出地址都应该相同。这里的恶意地址是起到了直接发起合约调用盗币的操作。
通过BSC上的授权检测工具 查看授权历史记录,在这里可以看到恶意的地址是存在于授权列表中的,也就是说如果这个代币的地址再次转入USDT到钱包中会马上被盗。
确定是被恶意授权盗币后,请停止这个地址的使用,使用工具来清理权限或者最彻底的方法是新建一个地址来转移其他的资产。恶意授权只会影响授权的代币的安全,其他的代币是没有调用权限。
假二维码诈骗
假二维码诈骗是指诈骗
人员利用假的二维码让用户进行授权等操作。通常,用户扫码后打开的是转账界面或其他钓鱼页面,而这个转账操作实则是一次授权过程,如用户进行授权,诈骗人员则获得对资产转账的权限,从而导致资产丢失。
另外,一些假空投信息的海报上也会附带假的二维码,用空投代币作为诱饵吸引用户扫码识别,识别后执行仍需进行授权操作来领取空投,进而落入骗子圈套,被恶意授权转走代币。
假二维码诈骗是指诈骗
人员利用假的二维码让用户进行授权等操作。通常,用户扫码后打开的是转账界面或其他钓鱼页面,而这个转账操作实则是一次授权过程,如用户进行授权,诈骗人员则获得对资产转账的权限,从而导致资产丢失。
另外,一些假空投信息的海报上也会附带假的二维码,用空投代币作为诱饵吸引用户扫码识别,识别后执行仍需进行授权操作来领取空投,进而落入骗子圈套,被恶意授权转走代币。
钓鱼网站诈骗
“钓鱼网站“是指用来欺骗用户的虚假网站,它的页面与真实网站界面基本一致,以假乱真欺骗和窃取用户的私钥或者助记词。钓鱼网站一般只有一个或几个页面,和真实网站差别细微 。该诈骗手段由来已久,骗子传播噱头大多是领取空投、帮助解决问题或其他手段。
切记,TokenPocket 唯一官方网址:
👉🏻 https://tokencpoket.pro
“钓鱼网站“是指用来欺骗用户的虚假网站,它的页面与真实网站界面基本一致,以假乱真欺骗和窃取用户的私钥或者助记词。钓鱼网站一般只有一个或几个页面,和真实网站差别细微 。该诈骗手段由来已久,骗子传播噱头大多是领取空投、帮助解决问题或其他手段。
切记,TokenPocket 唯一官方网址:
👉🏻 https://tokencpoket.pro
假代币诈骗
诈骗人员通过以真币兑换假币的方式仿冒知名代币,以相似的代币合约名字(name)、缩写(symbol)进行诈骗。此类诈骗手段主要的受害群体多为新入门的用户,因为熟悉区块链行业的用户通过核对代币的合约地址来判断某个代币的真假,例如常见的USDT、ETH、BTC等,骗子会说自己有一些代币着急卖出并且给出了很诱人的价格,小白用户贪图便宜买入后收到转入的代币后发现无法进行交易也没有任何价值。
因此,在进行转账前需对代币的合约等信息进行一一核对,以代币的官方信息为准,不轻易相信第三方。
诈骗人员通过以真币兑换假币的方式仿冒知名代币,以相似的代币合约名字(name)、缩写(symbol)进行诈骗。此类诈骗手段主要的受害群体多为新入门的用户,因为熟悉区块链行业的用户通过核对代币的合约地址来判断某个代币的真假,例如常见的USDT、ETH、BTC等,骗子会说自己有一些代币着急卖出并且给出了很诱人的价格,小白用户贪图便宜买入后收到转入的代币后发现无法进行交易也没有任何价值。
因此,在进行转账前需对代币的合约等信息进行一一核对,以代币的官方信息为准,不轻易相信第三方。
假客服诈骗
在钱包的日常使用过程中,总会遇到一些问题需要解决,大部分人遇到问题都会首先想到联系钱包客服来解决,这个时候就会有人趁虚而入,包装成和客服相同的名字和LOGO,主动在各社区中添加用户,在解决问题的时候索取用户的私钥或助记词来进行诈骗行为。
如有任何疑问,请点击 客服 或钱包App的在线客服进行咨询。
一、冒充TokenPocket客服收费解决问题
二、假冒TokenPocket微信客服人员
三、假冒TokenPocket电报群管理员进行欺骗
在钱包的日常使用过程中,总会遇到一些问题需要解决,大部分人遇到问题都会首先想到联系钱包客服来解决,这个时候就会有人趁虚而入,包装成和客服相同的名字和LOGO,主动在各社区中添加用户,在解决问题的时候索取用户的私钥或助记词来进行诈骗行为。
如有任何疑问,请点击 客服 或钱包App的在线客服进行咨询。
一、冒充TokenPocket客服收费解决问题
二、假冒TokenPocket微信客服人员
三、假冒TokenPocket电报群管理员进行欺骗
Dapp授权诈骗
在日常操作例如DEX平台,涉及到币币兑换的时候就会用到授权的功能,只有首次操作授权(Approve)后才可以进行Swap的币币兑换,这个只是应用场景之一。由于Approve操作本质上是将你的部分Token的行使权限授予了另一普通地址或智能合约地址,因此有些骗子利用二维码或者链接的方式来恶意让用户执行Approve操作。例如空投给用户的代币中留下链接,声称可以使用空投的代币来兑换其他代币,用户打开链接并执行兑换的过程中就完成了骗子特定的Dapp恶意授权,从而导致用户资产会被该Dapp随意划转。
如何判断approve是否安全?
Approve产品是否开源是否开源
代码开源可以让用户更好的知道Approve的权限,即该产品在什么情况下可以转走用户的资产。
Approve产品是否开源是否经过审计
经过审计的项目比未审计的安全性更高。
Approve产品是否来历不明
来历不明的产品必须警惕,而例如Uniswap这类知名产品让大家更为放心。
如何查询我的approve操作,怎么取消approve?
目前市面上针对普通用户的approve查询工具有Etherscan、CoinTool、Approved、Approve.sh等等,用户可以查询自己的approve情况,还可以取消approve操作。
在日常操作例如DEX平台,涉及到币币兑换的时候就会用到授权的功能,只有首次操作授权(Approve)后才可以进行Swap的币币兑换,这个只是应用场景之一。由于Approve操作本质上是将你的部分Token的行使权限授予了另一普通地址或智能合约地址,因此有些骗子利用二维码或者链接的方式来恶意让用户执行Approve操作。例如空投给用户的代币中留下链接,声称可以使用空投的代币来兑换其他代币,用户打开链接并执行兑换的过程中就完成了骗子特定的Dapp恶意授权,从而导致用户资产会被该Dapp随意划转。
如何判断approve是否安全?
Approve产品是否开源是否开源
代码开源可以让用户更好的知道Approve的权限,即该产品在什么情况下可以转走用户的资产。
Approve产品是否开源是否经过审计
经过审计的项目比未审计的安全性更高。
Approve产品是否来历不明
来历不明的产品必须警惕,而例如Uniswap这类知名产品让大家更为放心。
如何查询我的approve操作,怎么取消approve?
目前市面上针对普通用户的approve查询工具有Etherscan、CoinTool、Approved、Approve.sh等等,用户可以查询自己的approve情况,还可以取消approve操作。
什么是部分签名的比特币交易(PSBT)
比特币PSBT(部分签名交易)是一种交易描述格式,用于构建和处理比特币交易。它提供了一种安全且灵活的方式,使多个参与方能够协同工作,构建和签名比特币交易,而无需暴露私钥。
PSBT是一个包含交易信息和部分签名数据的数据结构。它的主要目的是允许参与方在交换交易数据的同时进行部分签名,以完成比特币交易的构建过程。由于不同参与方可能拥有不同的私钥,他们可以按照特定的协议规则,将各自的部分签名信息添加到PSBT中。
PSBT的设计非常灵活,可以适应各种使用场景。下面是一些常见的使用场景:
多重签名交易:在多重签名交易中,需要多个参与方的签名才能完成交易。使用PSBT,每个参与方可以单独对交易进行部分签名,然后将其组合成一个完整的交易。这种方式提供了更高的安全性,因为私钥不会在参与方之间传输。
硬件钱包:硬件钱包通常将私钥存储在安全的物理设备中,以提供更高的安全性。使用PSBT,硬件钱包可以在设备内部完成部分签名,并将签名数据返回给连接的计算机。这样,私钥不会离开硬件设备,提供了更好的保护。
高级交易构建:有些比特币交易可能具有复杂的构建要求,例如包含多个输入和输出、多种脚本类型等。使用PSBT,参与方可以逐步构建交易,并在每个步骤中添加必要的部分签名信息。这使得构建和调整复杂交易更加灵活和可控。
值得注意的是,PSBT只是一种交易描述格式,并不是比特币的核心协议的一部分。因此,并非所有的比特币节点都直接支持PSBT。然而,许多常见的比特币钱包和工具已经支持了PSBT,使得在这些平台上可以方便地使用PSBT构建和处理比特币交易。
比特币PSBT(部分签名交易)是一种交易描述格式,用于构建和处理比特币交易。它提供了一种安全且灵活的方式,使多个参与方能够协同工作,构建和签名比特币交易,而无需暴露私钥。
PSBT是一个包含交易信息和部分签名数据的数据结构。它的主要目的是允许参与方在交换交易数据的同时进行部分签名,以完成比特币交易的构建过程。由于不同参与方可能拥有不同的私钥,他们可以按照特定的协议规则,将各自的部分签名信息添加到PSBT中。
PSBT的设计非常灵活,可以适应各种使用场景。下面是一些常见的使用场景:
多重签名交易:在多重签名交易中,需要多个参与方的签名才能完成交易。使用PSBT,每个参与方可以单独对交易进行部分签名,然后将其组合成一个完整的交易。这种方式提供了更高的安全性,因为私钥不会在参与方之间传输。
硬件钱包:硬件钱包通常将私钥存储在安全的物理设备中,以提供更高的安全性。使用PSBT,硬件钱包可以在设备内部完成部分签名,并将签名数据返回给连接的计算机。这样,私钥不会离开硬件设备,提供了更好的保护。
高级交易构建:有些比特币交易可能具有复杂的构建要求,例如包含多个输入和输出、多种脚本类型等。使用PSBT,参与方可以逐步构建交易,并在每个步骤中添加必要的部分签名信息。这使得构建和调整复杂交易更加灵活和可控。
值得注意的是,PSBT只是一种交易描述格式,并不是比特币的核心协议的一部分。因此,并非所有的比特币节点都直接支持PSBT。然而,许多常见的比特币钱包和工具已经支持了PSBT,使得在这些平台上可以方便地使用PSBT构建和处理比特币交易。