想必大家都知道,RDNT这个多链借贷项目去年被黑客偷家,币安钱包连续一个月提醒我们要取消这个RDNT项目和币安钱包的授权。这个兄弟可能没有当回事儿,所以才有了今天这种遭遇。
那么是不是所有的授权都要取消呢?肯定不是!甚至取消授权,可能也会丢失资产!下面举例说明。
虚假授权诈骗如何利用撤销功能:
虚假批准撤销骗局欺骗 Web3 用户,让他们相信通过撤销交易批准可以保护自己的钱包——但实际上,受害者支付的是高昂的“gas 费”,而这些费用直接进入了骗子的口袋。
犯罪分子利用 Web3 钱包的“撤销”功能,每次试图取消权限以获得虚假批准时,都会利用该功能窃取您的资金。
“撤销”功能总是安全的,对吧?大多数加密货币用户都这么认为,尤其是在“撤销”功能通常被认为是 Web3 钱包安全的关键环节的情况下。不幸的是,骗子们已经找到了利用这一功能的方法。在我们之前的 Web3 钱包安全博客中,我们探讨了在未仔细核实所有细节的情况下批准智能合约交易所固有的风险。在本篇博客中,我们将深入分析什么是虚假批准骗局,骗子如何利用“撤销”功能为自己牟利,以及最重要的是,如何避免成为这些骗局的受害者。
什么是虚假批准诈骗?
利用“撤销”功能进行虚假批准诈骗,会诱使用户误以为他们正在收回授予陌生平台或智能合约的交易权限。当用户尝试这样做时,他们最终会支付高昂的“Gas 费”,同时却以为自己钱包的安全得到了保障。
诱惑:用户在 Etherscan 等区块链浏览器或钱包中浏览代币审批时,发现了一个陌生的代币审批信息。这似乎意味着某个未知的合约正在访问他们的宝贵资产。用户开始感到恐慌,本能地想要撤销审批,因为他们认为自己这样做是为了保护自己的加密货币。
骗局:然而,真正的授权从一开始就没有被授予。骗子根本没有动过用户的代币。相反,他们利用钱包或区块链浏览器的信息显示方式,使其看起来像是被授予了对某个陌生合约的访问权限。这不过是一个巧妙的视觉技巧——一个伪装成合法授权的虚假授权。实际上,访问权限从未被授予,但当用户试图撤销访问权限时,骗局就触发了。
Gas 骗局:用户触发的“撤销”交易是真实存在的——这是一个合法的操作,但其设计初衷是让他们支付高昂的费用。骗子利用这些虚高的交易成本牟利,通常会利用这些成本铸造新代币或执行其他受其控制的恶意操作。用户原本以为这只是一个保护性措施,结果却酿成了代价高昂的错误。虚假的批准只不过是诱饵,引诱他们白白付费而已。
虽然这些骗局不会直接窃取资金,但它们会通过收取高昂的 gas 费来榨干用户的钱包,而不会动用用户的剩余资产。
代价高昂的循环:最糟糕的是?这种偷偷摸摸的批准不会从浏览器上消失。如果用户认为撤销失败,他们可能会再次尝试,在不知不觉中向骗子提供更多资金。每次尝试都会加大损失,因为骗子又一次有机会窃取用户的加密货币。用户越是试图修复,就越是陷入陷阱。
在下图中,您会注意到链浏览器显示用户已向未知支出者授予“BEP-20 TOKEN*”的无限制授权。这种令人担忧的景象可能会引发恐慌,使用户误以为他们在不知情的情况下授权了一个恶意合约。
但实际上,这是一个假的 USDT 代币,诈骗者操纵了显示效果,制造了事先获得批准的假象。
仔细查看交易页面,可以发现与该欺诈性代币关联的多个地址生成了 300 个所谓的批准调用。这种策略旨在放大紧迫性,迫使受害者立即采取行动。
当用户试图撤销批准时,他们反而会被收取高昂的费用——从几美元到数百美元甚至更多。这些费用不仅被浪费了;诈骗者还会积极利用这些费用,利用交易铸造新的代币或执行其他恶意操作,而这一切都不会被察觉。
在上面的例子中,受害者试图撤销批准,却适得其反。骗子利用这笔交易牟取私利,导致用户支付了意想不到的高额费用,却得不到任何解决方案:误导性的批准信息仍然可见,强化了用户需要再次尝试的错觉。
在批准任何交易之前,请花点时间检查一下详细信息。金额看起来正确吗?您认得合约地址吗?是否有任何奇怪的警告或异常费用?如果感觉不对劲,请与可靠的来源、平台或论坛进行核对。
了解您的费用
熟悉您使用的区块链上的平均 Gas 费用。如果交易费用看起来可疑地高或异常,则可能是一个危险信号。使用 Etherscan 的 Gas Tracker、GasNow 或 Blocknative 的 Gas Estimator 等工具来监控实时 Gas 价格,并在继续操作之前验证预期成本。
