近期,不法分子诱导用户在钱包中添加恶意 RPC 节点,通过返回伪造的余额制造「收款到账」假象,进而诱导用户转账、缴费,导致用户资产损失。与传统盗币骗局不同,这类诈骗不会在链上留下真实转账记录,而是通过操控钱包「看到的结果」来完成欺骗,隐蔽性更强,迷惑性更高。
什么是 RPC 节点?
在分析骗局之前,先理解一个概念:RPC 节点是钱包 App 连接区块链的「数据入口」。你可以把它理解为钱包与区块链之间的「通讯员」,负责把链上的余额、交易记录等信息同步到你的 App 界面。
需要注意的是:
- 钱包 App 不托管资产:代币始终在链上,钱包是用户管理链上资产和展示链上数据的工具。
- 数据依赖节点:钱包显示的余额与交易记录,依赖当前连接的 RPC 节点返回的数据。
如果这个「通讯员」被伪造或被控制,它就可能向钱包返回假数据:你会看到「余额增加」、「收款成功」,但真实链上并未发生转账。
正常情况下使用钱包 App 默认的安全节点即可。骗子常用的 RPC 网址可能包含 virtual.mainnet.rpc.tenderly 等字样,这类链接来自虚拟 / 模拟环境,仅用于交易模拟与调试,显示的「资产」无法在真实网络流通,不具备真实价值。
案例:小林的「提现」陷阱
用户小林在某第三方网站获利,想要提现时却发现第三方网站功能受限。第三方网站客服告诉他:可以直接提现到自己的去中心化钱包地址中。在对方指导下,小林在钱包中添加了所谓的「专用网络通道」。设置完成后,小林看到钱包内出现了一大笔余额,误以为代币已到账。
当他尝试把这些代币从钱包地址中转出至交易所时,转账交易却始终等待确认无法成功。第三方网站客服随即解释:由于金额较大,需要先支付一笔服务费激活账户,才能完成转账。
小林这才意识到不对劲,他将网络切换回钱包的默认节点后,发现钱包中的代币余额瞬间归零,看不到任何交易记录。联系钱包 App 官方客服后才发现,所谓「大额到账」只是第三方网站客服诱导他修改 RPC 节点产生的假象,自己已经陷入骗局。
骗局是如何包装的?
骗子利用信息差,通常按以下步骤实施诈骗:
1. 建立信任或制造紧迫感
有时先进行小额真实转账(如 10 USDT、0.005 ETH),让用户相信「对方确实转账了」,降低防备;或像案例一样,利用用户急于提现、急于拿回资金的心理,诱导其配合操作。
2. 诱导修改 RPC 节点
骗子常见话术包括:「当前官方节点拥堵,转账进不来」、「网络延迟太高,需要切换专用通道」、「用这个更快更稳定的节点,能秒到账」。一旦你添加了对方提供的 RPC 节点(往往是模拟器节点),钱包获取数据的来源就可能被替换,出现「看似到账、实际没上链」的情况。
3. 伪造余额,进行二次收割
连接到恶意 RPC 后,余额会瞬间暴涨。随后骗子可能会趁用户「看得到却取不出」的焦虑心理,继续诱导支付所谓的「服务费 / 加速费 / 税费 / 解冻费 / 保证金」等,实施二次诈骗。
imToken 安全团队提醒:
RPC 修改因不涉及「助记词 / 私钥」或「授权代币转账权限」,更容易被忽视。为保障资产安全,请务必记住以下几点:
- 不要随意修改网络节点: imToken 默认 RPC 节点经过安全验证与速度优化。任何要求你「手动添加 RPC 节点来接收转账」的说法,都应高度警惕,尤其是陌生人或所谓「客服」手把手指导时。
- 以链上数据为准:区块链数据公开透明、不可篡改。判断是否真正到账的核心标准是:区块链浏览器(如 Etherscan)能否查到对应交易记录,交易状态是否成功。浏览器查不到=没到账。
- 不理解的设置,不要轻易操作:凡是对方用技术细节牵着你走、要求改设置 / 交费时,应立即停止操作,并通过官方渠道核实。
imToken 一直在行动
安全风控
十一月份,imToken 共标记风险代币 221139 个;封禁风险 DApp 网站 673 个;标记风险地址 447 个。详见风控数据。
另外,如果你发现了疑似风险的代币或者 DApp,请及时反馈给我们:support@token.im,帮助更多用户避免资产损失。
最后
诈骗手段层出不穷,对于普通用户来说,确实难以全面预防。imToken 致力于快速发现和找到解决方案,并向社区及时反馈和科普各种新型骗局,以降低用户损失,全面提升用户在加密货币领域的安全性,努力构建一个可信赖的数字代币管理生态系统。
我们诚邀你阅读并分享「imToken 钱包安全月报」,和 imToken 携手,保护每一份代币安全。