虚假授权撤销诈骗诱使 Web3 用户以为通过撤销交易授权就能保障钱包安全,然而实际上,受害者支付的高额“燃料费”直接进了骗子的腰包。
犯罪分子利用 Web3 钱包的“撤销”功能设局,每次尝试撤销虚假授权时,他们便会借机卷走资金。
为保护您的资产安全,请务必核实授权信息、查看手续费,并谨慎处理所有 Web3 交易。
“撤销”操作永远安全,对吧?这是大多数加密货币用户的普遍认知,尤其是因为“撤销”通常被认为是 Web3 钱包维护的关键部分。不幸的是,诈骗者已经找到了利用这一功能的方法。在先前的 Web3 钱包安全博客中,我们探讨了未经仔细验证就批准智能合约交易的固有风险。在本博客中,我们将详细剖析什么是虚假授权诈骗,骗子如何利用“撤销”功能谋取私利,最重要的是,如何避免沦为这些诈骗手段的受害者。
虚假授权诈骗利用“撤销”欺骗用户,让其误以为自己正在收回陌生平台或智能合约的交易权限。当用户尝试这种操作时,最终往往会支付高昂的“燃料费”,还一直以为自己在保障钱包安全。
诱饵:当用户在 Etherscan 等区块链浏览器或在钱包中浏览授权的代币时,发现了他们不认识的代币的陌生授权。似乎某个未知合约访问了其宝贵资产。恐慌袭来,用户本能地争相撤销授权,因为他们认为这是在保护自己的加密货币。
骗局:然而,从一开始就没有获得真正的授权。诈骗者并未触及用户的代币,而是通过操纵钱包或区块链浏览器的信息显示方式,让用户误以为已授权给一个陌生的合约。这不过是一种狡猾的视觉把戏——伪装成合法合规的虚假授权。实际上并未授予任何权限,但当用户尝试撤销授权时,骗局便由此触发。
燃料费噱头:用户触发的“撤销”交易是真实的,这是一种合法操作,但却是精心设计,旨在让用户付出高昂的手续费。骗子从虚增的交易成本中获利,常常利用这些资金铸造新代币或在其控制下执行其他恶意操作。用户原本以为是自我保护的举动,却变成了代价高昂的错误。这种虚假授权不过是引诱用户白白掏钱的诱饵。
虽然这类诈骗并不会直接窃取资金,但却通过让用户支付高昂的燃料费掏空其钱包,而其剩余资产却完好无损。
代价高昂的循环:最糟糕的情况是什么?那个狡猾的授权信息并未从浏览器中消失。如果用户认为撤销失败,可能会再次尝试,不知不觉中便为骗子投喂更多资金。每次尝试都会加剧损失,因为骗子又有机会将用户的加密货币收入囊中。用户越是试图解决问题,就越深陷骗局之中。
在下图中,您会注意到区块链浏览器显示该用户已向未知的支出者授予了 "BEP-20 TOKEN*" 的无限授权。这种令人担忧的情况可能会引发恐慌,让用户误以为自己不知不觉中授权了一个恶意合约。
然而,实际上,这是一枚假冒的 USDT 代币,诈骗者还篡改了其显示,营造出先前已获批准的假象。
仔细查看交易页面就会发现,与此欺诈性代币相关联的多个地址已产生了大约 300 次所谓的授权调用。这种手段意在加剧紧迫感,迫使受害者立即采取行动。
当用户试图撤销授权时,需要支付高昂的手续费,金额从几美元到几百美元不等。这些手续费不仅被浪费了,诈骗者还会积极利用这些漏洞,利用交易铸造新代币或执行其他恶意操作,而所有这一切都不会被察觉。
在上述示例中,受害者试图撤销授权,但适得其反。诈骗者利用交易为自己谋取私利,让用户承担意料之外的高额手续费,却始终没有解决方案:误导性的授权依然清晰可见,加深了用户认为需要再次尝试的错觉。
诈骗者利用您的恐惧和急迫心理诱使您犯错。要是觉得有什么不对劲,先缓一缓、深呼吸,评估一下形势再采取行动。保持清醒的头脑是防止陷入骗局的最好方法。
在授权任何交易之前,请花点时间查看相关细节。金额看起来是否正确?是否认识这个合约地址?是否出现任何奇怪的警告或异常手续费?如果感觉不对劲,请与可信任的来源、平台或论坛仔细核实。
要熟悉您所用区块链上的平均燃料费水平。如果某笔交易的手续费看起来高得离谱或很不寻常,那可能就是一个危险的信号。在进行交易之前,使用诸如 Etherscan 的燃料费追踪器、GasNow 或 Blocknative 的燃料费估算器等工具,实时监测燃料费价格,并核实预期成本。
诈骗者的手段一直在精进,但知识才是最有力的防御手段。您对新兴威胁和最佳安全实践了解得越多,就越能在危险信号演变为代价高昂的错误之前将其识别出来。敬请关注币安学院,深入了解我们的安全系列,以获取对最新欺诈手段的深入洞察。
诈骗者靠制造紧迫感来得逞,而保持些许警惕则大有益处。抵御这些欺诈手段的最佳方法,不只是知晓它们的存在,更要通过仔细复查授权、用可靠工具核实手续费,以及绝不匆忙进行交易,从而先发制人。请记住,格外谨慎并非偏执多疑,在瞬息万变的 Web3 世界里,这是一层额外的保护。
