想必大家都知道,RDNT這個多鏈借貸項目去年被黑客偷家,幣安錢包連續一個月提醒我們要取消這個RDNT項目和幣安錢包的授權。這個兄弟可能沒有當回事兒,所以纔有了今天這種遭遇。
那麼是不是所有的授權都要取消呢?肯定不是!甚至取消授權,可能也會丟失資產!下面舉例說明。
虛假授權詐騙如何利用撤銷功能:
虛假批准撤銷騙局欺騙 Web3 用戶,讓他們相信通過撤銷交易批准可以保護自己的錢包——但實際上,受害者支付的是高昂的“gas 費”,而這些費用直接進入了騙子的口袋。
犯罪分子利用 Web3 錢包的“撤銷”功能,每次試圖取消權限以獲得虛假批准時,都會利用該功能竊取您的資金。
“撤銷”功能總是安全的,對吧?大多數加密貨幣用戶都這麼認爲,尤其是在“撤銷”功能通常被認爲是 Web3 錢包安全的關鍵環節的情況下。不幸的是,騙子們已經找到了利用這一功能的方法。在我們之前的 Web3 錢包安全博客中,我們探討了在未仔細覈實所有細節的情況下批准智能合約交易所固有的風險。在本篇博客中,我們將深入分析什麼是虛假批准騙局,騙子如何利用“撤銷”功能爲自己牟利,以及最重要的是,如何避免成爲這些騙局的受害者。
什麼是虛假批准詐騙?
利用“撤銷”功能進行虛假批准詐騙,會誘使用戶誤以爲他們正在收回授予陌生平臺或智能合約的交易權限。當用戶嘗試這樣做時,他們最終會支付高昂的“Gas 費”,同時卻以爲自己錢包的安全得到了保障。
誘惑:用戶在 Etherscan 等區塊鏈瀏覽器或錢包中瀏覽代幣審批時,發現了一個陌生的代幣審批信息。這似乎意味着某個未知的合約正在訪問他們的寶貴資產。用戶開始感到恐慌,本能地想要撤銷審批,因爲他們認爲自己這樣做是爲了保護自己的加密貨幣。
騙局:然而,真正的授權從一開始就沒有被授予。騙子根本沒有動過用戶的代幣。相反,他們利用錢包或區塊鏈瀏覽器的信息顯示方式,使其看起來像是被授予了對某個陌生合約的訪問權限。這不過是一個巧妙的視覺技巧——一個僞裝成合法授權的虛假授權。實際上,訪問權限從未被授予,但當用戶試圖撤銷訪問權限時,騙局就觸發了。
Gas 騙局:用戶觸發的“撤銷”交易是真實存在的——這是一個合法的操作,但其設計初衷是讓他們支付高昂的費用。騙子利用這些虛高的交易成本牟利,通常會利用這些成本鑄造新代幣或執行其他受其控制的惡意操作。用戶原本以爲這只是一個保護性措施,結果卻釀成了代價高昂的錯誤。虛假的批准只不過是誘餌,引誘他們白白付費而已。
雖然這些騙局不會直接竊取資金,但它們會通過收取高昂的 gas 費來榨乾用戶的錢包,而不會動用用戶的剩餘資產。
代價高昂的循環:最糟糕的是?這種偷偷摸摸的批准不會從瀏覽器上消失。如果用戶認爲撤銷失敗,他們可能會再次嘗試,在不知不覺中向騙子提供更多資金。每次嘗試都會加大損失,因爲騙子又一次有機會竊取用戶的加密貨幣。用戶越是試圖修復,就越是陷入陷阱。
在下圖中,您會注意到鏈瀏覽器顯示用戶已向未知支出者授予“BEP-20 TOKEN*”的無限制授權。這種令人擔憂的景象可能會引發恐慌,使用戶誤以爲他們在不知情的情況下授權了一個惡意合約。
但實際上,這是一個假的 USDT 代幣,詐騙者操縱了顯示效果,製造了事先獲得批准的假象。
仔細查看交易頁面,可以發現與該欺詐性代幣關聯的多個地址生成了 300 個所謂的批准調用。這種策略旨在放大緊迫性,迫使受害者立即採取行動。
當用戶試圖撤銷批准時,他們反而會被收取高昂的費用——從幾美元到數百美元甚至更多。這些費用不僅被浪費了;詐騙者還會積極利用這些費用,利用交易鑄造新的代幣或執行其他惡意操作,而這一切都不會被察覺。
在上面的例子中,受害者試圖撤銷批准,卻適得其反。騙子利用這筆交易牟取私利,導致用戶支付了意想不到的高額費用,卻得不到任何解決方案:誤導性的批准信息仍然可見,強化了用戶需要再次嘗試的錯覺。
在批准任何交易之前,請花點時間檢查一下詳細信息。金額看起來正確嗎?您認得合約地址嗎?是否有任何奇怪的警告或異常費用?如果感覺不對勁,請與可靠的來源、平臺或論壇進行覈對。
瞭解您的費用
熟悉您使用的區塊鏈上的平均 Gas 費用。如果交易費用看起來可疑地高或異常,則可能是一個危險信號。使用 Etherscan 的 Gas Tracker、GasNow 或 Blocknative 的 Gas Estimator 等工具來監控實時 Gas 價格,並在繼續操作之前驗證預期成本。