Репост из: 卷轴反诈 - 电报小白必备技巧
盗币秒USDT背后玩法逻辑揭秘
只要你通过二维码给骗子转过一次usdt,在转账一次之后就能控制用户钱包,之后你账户的usdt就会被骗子转光。
主要的原理就是钱包的授权,通过调用以太坊合约漏洞,进而实现远程转账付款。
二维码盗币事件
攻击者将预先准备好的恶意二维码发送给用户,诱导用户使用钱包扫描二维码进行转账,用户输入指定金额后确认转账交易(实际运行的是用户approve授权给攻击者USDT的过程),随后用户钱包大量USDT丢失(攻击者调用TransferFrom转走用户USDT)。
这种手法也被称之为 “approve钓鱼”。
获取空投盗币事件
攻击者伪造成交易平台或者DeFi项目,通过媒体社群发起可明显薅羊毛的空投活动,诱导用户使用钱包扫描二维码领取空投,用户扫码后点击领取空投(其实也是用户approve授权给攻击者USDT的过程),随后受害者账户大量USDT被转走(攻击者调用TransferFrom转走用户USDT)
伪装客服骗取私钥
攻击者伪装为客户潜伏在社群中,当有用户出现转账或者提取收益求助时,攻击者及时联系用户协助其处理,通过耐心的解答,发送伪装成去中心化网桥的工单系统,让用户输入助记词解决其交易异常,攻击者拿到私钥后盗取资产,拉黑用户。
假钱包盗币事件
散户们在搜索引擎上搜索钱包的下载地址,然后下载注册,当把资产充值进去的那一刻,就失去了资产的控制权。
硬件钱包骗局
你现在能在京东东,拼多多看见的硬件钱包,全部是被人改装过的,你买的时候其实就是一个二手设备,商家在钱包做了手脚后,卖给你,过几个月就关闭店铺重新开,当你有大额资产储存时,你就被盗。
诈骗链接授权
进入 Web3 之后除了期盼暴富机会的降临,还有一件事情就是应对诈骗链接的泛滥,形形色色的骗局隐藏在 scam 链接之后,稍不注意就能让你瞬间归零,资产还存在,但已经不属于你了!
助记词丢失
助记词保存的方式一般为物理保存,用笔记下来两份放两个地方,大多数散户嫌麻烦,只弄了一份,我也曾经犯过这个错误,放家里的助记词不见了。很多人把助记词截图到相册、或者其他第三方储存软件上、网盘、相册、备忘录什么的,这些都是极度不安全的。很多APP是可以读取你的手机相册的。
还有一种助记词套路就是,许多骗子在社交软件上装小白,说自己不玩了,助记词公布出来里面有多少U,然后小白马上恢复钱包,看见里面没有GAS费,于是就充进去发现也转不出来,这就是人家的套路,就是骗你手续费的。
应对:任何时候,任何平台,任何人的任何私信都要提起12w分的警惕,不要扫码,不要乱点链接,转账仔细核对地址,保管好密钥,虽然我们大部分人都只有三瓜俩枣,但骗子多数情况都是来者不拒的,这也是连 SEC 的官推都难以幸免的原因之一。
只要你通过二维码给骗子转过一次usdt,在转账一次之后就能控制用户钱包,之后你账户的usdt就会被骗子转光。
主要的原理就是钱包的授权,通过调用以太坊合约漏洞,进而实现远程转账付款。
二维码盗币事件
攻击者将预先准备好的恶意二维码发送给用户,诱导用户使用钱包扫描二维码进行转账,用户输入指定金额后确认转账交易(实际运行的是用户approve授权给攻击者USDT的过程),随后用户钱包大量USDT丢失(攻击者调用TransferFrom转走用户USDT)。
这种手法也被称之为 “approve钓鱼”。
获取空投盗币事件
攻击者伪造成交易平台或者DeFi项目,通过媒体社群发起可明显薅羊毛的空投活动,诱导用户使用钱包扫描二维码领取空投,用户扫码后点击领取空投(其实也是用户approve授权给攻击者USDT的过程),随后受害者账户大量USDT被转走(攻击者调用TransferFrom转走用户USDT)
伪装客服骗取私钥
攻击者伪装为客户潜伏在社群中,当有用户出现转账或者提取收益求助时,攻击者及时联系用户协助其处理,通过耐心的解答,发送伪装成去中心化网桥的工单系统,让用户输入助记词解决其交易异常,攻击者拿到私钥后盗取资产,拉黑用户。
假钱包盗币事件
散户们在搜索引擎上搜索钱包的下载地址,然后下载注册,当把资产充值进去的那一刻,就失去了资产的控制权。
硬件钱包骗局
你现在能在京东东,拼多多看见的硬件钱包,全部是被人改装过的,你买的时候其实就是一个二手设备,商家在钱包做了手脚后,卖给你,过几个月就关闭店铺重新开,当你有大额资产储存时,你就被盗。
诈骗链接授权
进入 Web3 之后除了期盼暴富机会的降临,还有一件事情就是应对诈骗链接的泛滥,形形色色的骗局隐藏在 scam 链接之后,稍不注意就能让你瞬间归零,资产还存在,但已经不属于你了!
助记词丢失
助记词保存的方式一般为物理保存,用笔记下来两份放两个地方,大多数散户嫌麻烦,只弄了一份,我也曾经犯过这个错误,放家里的助记词不见了。很多人把助记词截图到相册、或者其他第三方储存软件上、网盘、相册、备忘录什么的,这些都是极度不安全的。很多APP是可以读取你的手机相册的。
还有一种助记词套路就是,许多骗子在社交软件上装小白,说自己不玩了,助记词公布出来里面有多少U,然后小白马上恢复钱包,看见里面没有GAS费,于是就充进去发现也转不出来,这就是人家的套路,就是骗你手续费的。
应对:任何时候,任何平台,任何人的任何私信都要提起12w分的警惕,不要扫码,不要乱点链接,转账仔细核对地址,保管好密钥,虽然我们大部分人都只有三瓜俩枣,但骗子多数情况都是来者不拒的,这也是连 SEC 的官推都难以幸免的原因之一。