近期,不法分子在小红书、Telegram 等社交平台冒充官方人员,散布「老用户专享 / 质押挖矿」等虚假活动,诱导用户充值,或骗取用户代币转账权限,导致用户遭受资产损失。
案例
用户小王在 Telegram 收到一条陌生私信,对方自称是某社群成员,向他推荐了一个「官方回馈老用户的挖矿活动」。骗子的话术:“名额有限!存入 600 USDT 购买矿机,每天就能自动挖出官方代币,预计年化收益高达 120%!”
小王心动之下,向对方网站转入了 600 USDT,并很快在页面上看到了「持续增长的收益」。当他尝试提现时,假冒「客服」却称,需要「进行一次链上交互来激活收益下发功能」。小王按照引导连接钱包并进行了签名。几分钟后,所谓的收益并未到账,他反而发现自己钱包里的 USDT 等代币被全部转走了。
骗局是如何包装的?
1.伪装官方,建立信任
- 外观模仿:网站的域名、Logo、配色和页面设计都高度模仿官方,迷惑性极强。
- 虚假背书:骗子会伪造「官方激励计划」、「知名交易所上币公告」、「市值 / 成交量」等信息,并安排假客服进行一对一诱导,营造出「正规、专业」的假象。
2.营造稀缺,催你决策
- 制造紧迫感:使用「老用户专享」、「活动倒计时」、「剩余名额」等描述,让你感觉机会难得,从而在没有充分核实的情况下迅速转账或签名。
- 诱导充值与授权,盗取资产
此类骗局分为两层:
- 引诱充值,以高收益质押 / 挖矿为诱饵,直接骗取你的本金。
- 混淆授权,将危险的代币授权操作,伪装成「领取收益」、「激活账户」或「验证资格」等。你以为只是简单的确认,实际上却是将你钱包资产的转账权限交给了骗子。一旦签名,攻击者便可立即将你授权的代币全部转走。
什么是「授权」?
在钱包中进行「签名授权」,不等于简单的「登录」或「确认」。它可能意味着:你允许某个合约地址,在未来任意时间,从你的钱包里转走你授权的代币。 这就是为什么骗子在拿到授权后可以瞬间清空你的资产。
授权本身只是区块链上的一种技术,并无好坏之分。但授权的对象,却有这个区分。
用户在链上与去中心化应用(DApp)交互时,授权是完成复杂操作的必要步骤。 以在去中心化交易所 Uniswap 将 USDT 兑换 ETH 为例:你需要先授权给 Uniswap 的智能合约,允许它从你的钱包中划走你想要兑换的 USDT。合约收到 USDT 后,再自动将等值的 ETH 发送到你的钱包,完成兑换。
关键区别在于: 正规操作的授权对象是像 Uniswap 这样知名的、经过安全审计的 DApp 合约,且目的在于协助你完成代币兑换;而骗局中的授权对象是未知的恶意合约,目的是盗取你的资产。
你可以通过下面文章,更多了解代币授权:
imToken 安全团队提醒:
- 警惕第三方网站:钱包 App 浏览器功能是开放的,允许用户访问各类 DApp,并不代表与所访问网站存在合作或背书;访问前请评估风险。
- 警惕「授权」请求:要求你「授权」或「签名」才能领取收益、激活账户的行为,极大可能是高危骗局。签名时务必看清弹窗提示,一旦出现 approve、授权等字样,请谨慎签名。
- 定期清理授权:使用 Revoke.cash 等工具,定期检查并取消不再使用或可疑的授权,消除潜在风险。
- 官方绝不私聊:官方团队不会通过任何渠道主动私信你参与活动。任何自称「客服」、「管理员」、「社区人员」的主动联系,都应立即拉黑。
imToken 一直在行动
安全风控
九月份,imToken 共标记风险代币 114306 个;封禁风险 DApp 网站 704 个;标记风险地址 757 个。详见风控数据。
另外,如果你发现了疑似风险的代币或者 DApp,请及时反馈给我们:support@token.im,帮助更多用户避免资产损失。
最后
诈骗手段层出不穷,对于普通用户来说,确实难以全面预防。imToken 致力于快速发现和找到解决方案,并向社区及时反馈和科普各种新型骗局,以降低用户损失,全面提升用户在加密货币领域的安全性,努力构建一个可信赖的数字代币管理生态系统。
我们诚邀你阅读并分享「imToken 钱包安全月报」,和 imToken 携手,保护每一份代币安全。