去年,imToken 揭示了一系列新型骗局,如相同尾号地址、TRX 多重签名等。这些骗局不仅狡猾,而且复杂,让一些用户难以理解和防范。因此,本期钱包安全月报将解答用户在理解这些新型骗局时的常见疑惑,并提供相关的防范建议。
疑惑一:代币转错地址,客服是否能帮我退回资产?
在解答这个疑惑之前,请先思考这个问题:如果你想转账给一个转过的地址,你是否会直接从钱包交易记录中复制地址再转账?
如果是这样,你就要小心了。因为骗子就是利用这个习惯,生成相同尾号的伪装地址,并向用户小额转账。这样一来,骗子的地址就会出现在用户的交易记录中。如果用户不仔细检查地址,就可能会误转到骗子的钱包里。这就是相同尾号地址骗局。
有些用户不小心转错给骗子后,找到客服要求将这笔资产退还。然而,区块链上的转账一旦成功,就不可逆转。
因此,在转账前核对地址的正确性是十分重要的,大家可以借助钱包的一些便捷功能来确保地址准确,比如 imToken 钱包的地址本功能,将常用的地址记录在地址本里,下次转账的时候可以一键输入。
imToken 地址本功能
疑惑二:为什么我拥有私钥,却无法转移我的资产?
在绝大多数情况下,拥有私钥就相当于拥有了钱包的所有权,可以自由地转账自己钱包的资产。但是,如果你遇到了 TRX 多重签名骗局,被不法分子修改了账户权限,那么你就可能无法转移资产了。
多重签名是一种区块链技术,旨在提高账户的安全性。该技术通过让多个地址共同控制一个账户,并且只有在满足一定的签名阈值后才能执行交易,从而增加对账户的保护。举个例子,一个 2/3 的多签钱包,表示 3 个人拥有签名权,而 2 个人签名就可以支配这个账户里的资金。
然而,多重签名技术也可能被不法分子利用,来实施诈骗。在这种骗局中,其行骗手法分为两步:
- 在搜索引擎购买广告位等方式,诱导用户下载假 App,获取用户的私钥
- 骗子获取了用户的私钥,再利用多重签名技术将用户的账户设置成 2/2 的多签钱包,这意味着该账户在转账时需要 2 个签名才可以执行交易:一个是用户的账户,一个是骗子的账户。
一个被修改权限的账户
由于骗子已经获取了用户的私钥,他们可以随心所欲地转走用户的资产。而用户却不知道骗子的账户私钥,只能眼睁睁地看着自己的钱被控制。
这种情况下,即使找到客服也无法修改账户权限。因为 imToken 是一款非托管钱包,用户私钥自持。只有同时拥有骗子和用户的账户私钥才可以进行修改账户权限、转账等操作。
目前,这种骗局隐蔽且流行。为了避免更多用户上当受骗,imToken 团队提醒大家:
- 请务必在官方渠道下载 imToken:
- imToken 唯一官网:https://token.im/
- 如果遇到下载问题,可发送「下载」至 support@token.im 获取最新版 imToken。
- 定期检查 TRX 钱包账户权限。点击可直达教程。
疑惑三:我收到了诈骗短信,是谁泄露了我的信息?
近期,有用户反映自己收到了诈骗短信。这些诈骗短信假冒 imToken 官方人员,并以「暂停提币功能服务」「imToken 旧版本关停」等理由,诱导用户访问假网站并输入助记词,导致用户遭遇资产损失。
用户收到的诈骗短信
请注意,「暂停提币功能服务」「imToken 旧版本关停」都是虚假信息。imToken 各项功能及服务均正常,用户无需担心。
不少用户收到这些短信的时候会感到困惑,为什么骗子知道我的手机号码?难道是你们泄露了我的信息?
其实不然。imToken 是一个去中心化的钱包,不会收集用户的手机号码、身份证等个人信息。imToken 安全团队认为骗子是通过非法途径获取了用户在交易所注册的手机号码,并且假定对应号码归属者使用 imToken 钱包,然后通过广撒网的方式发送短信钓鱼诈骗。
因此,如果你收到了声称来自 imToken 的短信或者电话,对方一定是骗子!
最后
imToken 一直把用户的资产安全放在心上。除了安全科普外,imToken 安全团队在二月份共标记了 12 个风险代币、50 个风险 DApp 网站和 130 个风险地址(详见风控数据),帮助用户识别风险代币等,从而避免上当受骗。
如果你发现了疑似风险的代币或 DApp,请及时反馈给我们:support@token.im。