AI Agent 正在降低 Web3 的使用门槛,但也可能被攻击者利用。过去难以大规模排查的老旧合约和历史授权,如今更容易被自动化工具批量扫描和识别。近期,某 DApp 项目就发生了一起与旧版合约相关的安全事件。其早期部署在 TRON 链上的旧合约虽已于 2022 年弃用,但近期黑客利用了其中的历史漏洞,导致曾与该旧合约交互过的用户遭受资产损失。
案例
几年前,用户小林使用某第三方 DApp 进行代币兑换。为了方便交易,他授权了该 DApp 无限使用其 USDT。后来该 DApp 升级切换了新合约,小林便逐渐忘记了当初的授权记录。
直到最近,小林发现钱包里的 USDT 被全数转走。经排查,他近期未访问过可疑链接,问题恰恰出在那次多年前的授权——攻击者利用了旧合约中的历史漏洞,通过合约调用转移了他的资产。
为什么旧合约与历史授权会成为风险?
1. 链上痕迹永久留存
智能合约一旦部署通常无法删除,而用户对应的代币授权,在主动取消前也会持续生效。也就是说「旧版 DApp / 合约或协议下线」不等于「链上风险清零」,相关旧合约依然可能保留对用户资产的操作权限。
2. 「知名项目」带来的安全错觉
很多用户会认为,只要当初交互的是知名 DApp 就不会存在风险。但安全是一个持续演进的过程。早期合约可能存在当时未被发现的技术局限或漏洞。即便项目方后来升级了新版合约,废弃的旧合约仍可能成为链上的隐性风险。
3. 自动化攻击成本降低
过去,低活跃度的老旧合约,因为人工排查成本较高,往往不容易被关注。随着 AI 自动化合约扫描和漏洞验证等工具的发展,攻击者可以更低成本地筛查老旧合约、低维护项目。
这意味着,过去一些长期沉睡的小漏洞,也可能被重新发现并利用。只要历史授权仍未取消,相关资产就仍可能暴露在潜在风险中。
imToken 安全团队提醒
1. 定期检查并清理历史授权:
建议养成定期排查钱包授权记录的习惯。若发现以下情况,请及时撤销:
- 高危对象:授权给不知名合约 / 个人地址,或仿冒知名 DApp 的合约(可在区块浏览器查看,如部署时间较短、调用次数较少即视为高危合约)。
- 过度授权:额度为「无限」或明显超出实际交易需求。
- 古早授权:授权时间较早,且当前已不再使用的 DApp。
如何查询与撤销授权:
- TRON 钱包:打开 imToken 首页 -> 功能栏左滑 -> 点击「授权管理」即可查看并撤销。
- EVM 及 Layer2 钱包:在 imToken「浏览」页搜索 Revoke.cash,连接钱包后进行检查与撤销。
- 操作指南:请参考安全提醒|请警惕代币授权骗局
2. 培养「按需授权」的使用习惯
- 拒绝默认:未来使用 DApp 时,尽量避免「无限授权」,手动修改为本次交易的实际所需额度。
- 用完即撤:对于低频、尝试性体验的项目,建议使用专用地址交互,完成后随手取消授权。
- 定期清理:养成闲时盘点钱包的习惯。长期不用的地址建议彻底清空授权;常用的地址则应定期清理,撤销可疑或不常用的授权。
3. 关注官方公告,警惕二次诈骗
安全事件发生后,常有骗子冒充客服或安全团队,声称可提供「资产追回」「赔付登记」服务。请牢记:
- 任何索要私钥、助记词的行为均为诈骗!
- 任何提供第三方链接,要求验证钱包地址 / 资金所有权,实则诱骗签名大额 / 无限额代币使用权限的行为,均为诈骗。
- 任何手把手教下载钱包 App,并以创建 / 导入钱包为由接收所谓赔付款项的行为,均为诈骗。
- 所有赔付相关信息,请务必以项目方官方渠道发布为准,切勿轻信陌生人私信。
imToken 一直在行动
安全风控
三月份,imToken 共标记风险代币 12227 个;封禁风险 DApp 网站 552 个;标记风险地址 349 个。详见风控数据。
另外,如果你发现了疑似风险的代币或者 DApp,请及时反馈给我们:support@token.im,帮助更多用户避免资产损失。
最后
诈骗手段层出不穷,对于普通用户来说,确实难以全面预防。imToken 致力于快速发现和找到解决方案,并向社区及时反馈和科普各种新型骗局,以降低用户损失,全面提升用户在加密货币领域的安全性,努力构建一个可信赖的数字代币管理生态系统。
我们诚邀你阅读并分享「imToken 钱包安全月报」,和 imToken 携手,保护每一份代币安全。