利用公衆號平臺,我們多次發佈關於波場錢包的一些安全預警,這裏麪包括假空投詐騙、釣魚網站詐騙、惡意授權詐騙等多種詐騙手段;在社區內也經常會遇到用戶反饋波場 USDT 無故丟失等情況。爲此小編覺得很有必要整理一篇從權限管理查看、實際授權分析、正常權限和惡意權限對比等方面進行一個深層次的剖析,讓用戶更多的瞭解波場管理權限方面的知識。
授權查詢工具
打開 TP 錢包,點擊【發現】頂部搜索 CoinTool 並找到波場鏈應用,(一下內容統一使用 PC 端進行演示。)打開後填入需要查詢權限的波場地址進行查詢。
在日常遇到的惡意授權騙局中,絕大多數是獲得 USDT 的權限,從而轉移資產,騙子也是喜歡穩定資產的,所以我們這裏只把 USDT 的授權部分進行截圖展示,其他類型的 Token 查詢方法和 USDT 是一致的。
這裏是查詢到該地址授權 USDT 的三個記錄,那麼他們有什麼不同呢?在此之前,先簡單說明下上圖中各個位置的釋義:
1、授權智能合約,我們在首次進行 USDT 兌換其他 Token 的時候首先會進行授權(Approve),授權完成後就會在這裏留下痕跡;
2、被授權 Token,這個就是對應的 Token 合約地址,如上圖經過查看是波場鏈上正確的 USDT 的合約地址;
3、授權數量,這個在我們進行授權的時候,會在錢包裏彈出的界面中靈活選擇,默認的情況下是無限;
4、危險等級,這裏的危險等級對應的並不是病毒數據庫,這裏直接和授權數量掛鉤,並不能代表絕對的安全或危險;
5、取消授權先解鎖錢包,這個工具在我們移動端使用中是不需要解鎖的,直接打開使用即可。
數據分析授權權限
USDT 是我們日常使用比較頻繁的 Token 種類,所以看上去都差不多的情況下,我們要揪出惡意授權的真“鬼”,這就我們需要來分析授權智能合約的數據。
點擊授權智能合約,我們在打開的界面中可以直觀的看到授權 Token 的名稱,例如第一個 USDT 授權記錄:
經檢查,這個授權智能合約是 JustSwap 上的正常的 Token 授權,我們繼續看下一個內容:
這裏可以看出是一個普通的波場賬戶地址,那麼我們不都是幣幣兌換怎麼會有一個普通賬戶地址呢?這個疑問留到後面,我們繼續查看第三個 USDT 授權智能合約情況:
第三個授權智能合約又是一個賬號地址,這個中間到底發生過什麼?
案例分析一複合型騙局
先看第二個 USDT 授權地址,經過 Token 查看,發現該地址發行有多個 TRC10 的 Token 內容如下:
這麼多 TRC10 類型的 Token,又不能在 Swap 中兌換,那肯定是另有他用,逐個點開查看 Token 得到以下內容:
Token 的介紹都是中英文版本,有點要一網打盡的意思。翻看轉賬記錄,看到有多達 108 頁的轉入記錄(轉入地址大多不相同),其中包含了不同類型的詐騙手段,例如發送 Trx 附帶留言的方式,發送 TRC10 的 Token 誘導打開釣魚鏈接進行惡意授權詐騙方式等。
案例分析二惡意授權騙局
繼續來看第三個 USDT 授權智能合約,進入賬戶地址,點擊交易欄,看到有一百多條觸發 USDT 的智能合約,點擊執行成功的交易哈希值查看,可以看到以下信息:
上圖發起地址就是惡意授權智能合約地址,發送人是受害者錢包地址,接收人是盜幣者的錢包地址,這是執行了一次轉賬過程,經過這番操作,受害者用戶錢包中的 USDT 就被自動轉出了。
上圖這筆交易是用戶執行惡意授權的鏈上記錄,授權後會自動被轉出 USDT 到指定收款地址中。(第二個授權的 USDT 也是惡意授權合約)
如何避免諸多騙局
騙子的手段多種多樣,充分利用了用戶容易貪圖小便宜的心態;同時這種隱祕的惡意授權方式也讓剛踏入圈子的小白同學幾乎沒有抵抗力就“束手就擒”。如果想讓自己能最大程度的避免此類問題發生,請用戶務必提高警惕,謹防虛假空投網站、釣魚網站、釣魚 App 及各種欺詐手段,增強資產安全意識,避免資金損失。
系列知識回顧:
警惕二維碼釣魚騙局
*“釣魚”是用了什麼黑科技*
安全警示 | 空投 Token 騙局
更多 TokenPocket 信息
公衆號:TokenPocket 錢包
微博:https://weibo.com/tokenpocketwallet
語雀:https://www.yuque.com/tokenpocket
Twitter:https://twitter.com/TokenPocket_TP
Medium:https://tokenpocket-gm.medium.com
Facebook:www.facebook.com/TokenPocket/
Github:https://github.com/TP-Lab
Email :[email protected]
點亮在看,你最好看!
繁體中文
简体中文
English
日本語
Español