近期,不少用户因误用虚假的「能量租赁平台」导致资产损失。诈骗分子以「极低价格、平台代付手续费」为诱饵,诱导用户在诈骗网站签名恶意代币授权,从而盗取钱包内的 USDT。
案例
用户小温在社群看到「0.5 TRX 即可租赁 6.4 万+能量」的广告,随即访问了诈骗网站 buytrx.ch。该网站提供「闪兑」「能量租赁」等看似专业的功能。小温在点击「立即租用」后,钱包弹出了签名请求。由于误以为这是支付 TRX 的确认操作,他未仔细核对签名内容便完成了确认。
随后不久,小温钱包里的 7 万多 USDT 被异常转出。此时他才意识到,刚才签名的并非正常的支付交易。回看交易记录可以发现,记录中出现了授权额度变更及恶意合约调用交易。
骗局是如何包装的?
1. 精准踩中「刚需」,降低防备
在 Tron 网络中,转账会消耗链上资源(能量和带宽)。由于直接燃烧 TRX 获取资源成本较高,且质押 TRX 会占用大量资产,用户往往倾向于选择成本较低的「能量租赁」服务。骗子正是利用这一高频需求,用极低价格吸引用户进入钓鱼网站。
2. 伪装租赁流程,实为「恶意授权」
这是这类骗局的核心。正规能量租赁本质上是普通转账操作。租赁时,你按页面提示向服务商地址发送 TRX 或 USDT,对方为你代理能量,整个过程不涉及任何代币授权。
而诈骗网站则通过伪装租赁流程,诱导用户签名恶意代币授权交易。一旦签名确认,就相当于将钱包内的 USDT 使用权交给了骗子控制的合约地址,对方可随时调用权限转走资产。
3. 隐蔽性强,部分地址会延迟作案
部分骗子在获取授权后并不会立即盗取资产,而是在链上持续监控。等到用户钱包中转入更多 USDT 后,再发起恶意转账。这种延迟作案方式极具迷惑性,也更容易让用户忽视此前的授权风险。
如何安全获取能量?
- 通过转账页面租赁:在 imToken 的 USDT 转账页面,使用「支付 TRX 租赁能量」即可一键租赁能量并完成转账。操作便捷高效,可节省约 30% 的转账成本。
- 用 USDT 购买功能:在 Tron 钱包首页功能栏进入「购买 TRX」DApp,可直接使用账户内的 USDT 购买能量或 TRX。一键签名即可完成购买,安全可靠。
imToken 安全团队提醒
1.谨慎签名:在进行任何能量租赁操作时,请务必核对签名内容,确认这是否是一笔明确的「发送至地址」的转账交易。如看到授权使用代币、无限、陌生合约地址等提示,请立即停止操作。
2.定期清理授权:建议养成定期检查钱包授权记录的习惯。若发现不明授权,请尽快撤销以规避风险。
- 查询工具:imToken 的 Tron 钱包首页功能栏左滑,点击「授权管理」管理 Tron 钱包的代币授权;或在「浏览」页面搜索 Revoke.cash,管理以太坊、EVM、Layer2 钱包的代币授权。
- 操作指南:请参考安全提醒|请警惕代币授权骗局
imToken 一直在行动
安全风控
二月份,imToken 共标记风险代币 75067 个;封禁风险 DApp 网站 437 个;标记风险地址 441 个。详见风控数据。
另外,如果你发现了疑似风险的代币或者 DApp,请及时反馈给我们:support@token.im,帮助更多用户避免资产损失。
最后
诈骗手段层出不穷,对于普通用户来说,确实难以全面预防。imToken 致力于快速发现和找到解决方案,并向社区及时反馈和科普各种新型骗局,以降低用户损失,全面提升用户在加密货币领域的安全性,努力构建一个可信赖的数字代币管理生态系统。
我们诚邀你阅读并分享「imToken 钱包安全月报」,和 imToken 携手,保护每一份代币安全。