什么是授权骗局?
近期诈骗案件频发,请大家务必提高警惕以防资产损失!今天这篇文章要剖析的授权骗局就是诈骗案件中的一个典型。
|朋友给了我一个收款码,我扫码只支付了 1U,然后剩下的币就被盗走了。
|有人告诉我可以通过 imToken 钱包参与 XXX 代币质押获得高额收益,我点击确认同意了,结果钱包里剩下的币在我不知道的情况下都被人转走了。
在没有你同意的情况下,骗子凭什么能转走你的资产?骗子凭借的是你不经意间给他的转账权限,当他诱骗你进行转账 / 质押的同时,把代币转账权限也骗到了手。
那么,代币转账权限到底是什么呢?举个例子。
支付宝里有个亲密付功能,当我对家人开通这个功能后,他们购买物品时就会直接通过我的账户进行扣款。即便家人不知道我的支付宝密码,也能使用我账户里的钱。
类似的,当你把代币转账权限给了「朋友」后,对方即便不知道你的助记词和支付密码,也能转走你钱包里的代币。而很多人由于不了解代币转账权限的含义,在给出这个权限时,往往不自知,所以这类骗局发生得很隐蔽,且越来越多人上当。
骗子通常会以这两种方式骗走你的转账权限:二维码收款和假借「质押挖矿」名义的资金盘。
方式一:二维码收款
骗子会发给你一个链接或假冒 imToken 收款的二维码,你扫码后会进入假冒的转账页。一旦你在该页面中进行了「转账」,骗子的计谋就得逞了。
请注意,扫码后你可以通过查看页面右上角的图标,区分真假转账页面和二维码。骗子制作的转账页面右上角为「···」和「X」的图标,imToken 钱包内的正常转账页面右上角是扫描二维码的图标。
左:骗子仿冒的 USDT 转账页面;右:真的 USDT 转账页面
此外,imToken 在最新版本中全新设计了签名体验,针对此类骗局采取了更强有力的措施。现在,当你签名此类交易时,系统会识别其为一笔授权交易,并检测到交易有风险,提醒你请勿参与,以免造成资产损失。
方式二:假借「质押挖矿」名义的资金盘
骗子假冒 imToken 客服,告诉你通过钱包进入某个网站参与质押挖矿,存入 USDT 即可获得每天 1% 的收益,存入的代币数额越多,收益率越高。有些骗子甚至会告诉你无需存入代币,只需支付一点矿工费就可以获取稳定的收益。
当你被高额收益吸引,打开骗子网站参与其中时,通常你会看到一个「授权代币转账权限」的页面,在授权代币的额度这里写着无限额度或者 99999……一个接近无限大的数字。若你仍选择确认交易并签名,骗子就获得了转走你钱包中所有对应代币的权限。
所以,针对这类骗局,imToken 同样优化了签名体验。当你签名此类交易时,imToken 会提示交易存在风险,提醒你请勿参与,避免资产损失。
那么如何检查自己的代币转账权是否有外泄的情况,以及如果外泄了该怎么应对呢?
授权查询和取消
代币授权骗局主要发生在以太坊和波场上,因此本文提供 ETH 和 TRX 两类钱包的授权查询和取消的教程。
TRX 钱包
准备
确保钱包地址中至少有 30 个 TRX。若没有,你可以通过交易所提币至自己的钱包地址,或通过 App 内「帮助与反馈」联系我们。
手把手教程
1. 打开 imToken 内的 TRX 钱包,切换至浏览页面,并在搜索框中输入「浏览器」。点击「区块浏览器」-「TRX」即可进入「TRONSCAN」页面,选择要查询授权的钱包地址。
TRONSACN:可查询和处理 TRX 钱包授权的工具。如果你无法打开此页面,请切换网络后再尝试打开。
2. 进入 TRONSCAN 后点击右上角菜单栏,点击「English」-「简体中文」进行语言切换。
3. 将页面向下滑动,点击「授权列表」即可查看你授权的地址和数量。如果列表中有不明地址,并且你自身也不了解该地址的控制方,那么这很有可能是骗子地址,请点击右上角的放大图标,点击授权记录右侧的▼,点击「取消授权」并在弹窗页面中再次确认。
4. 取消授权后,请确认授权记录的状态为「已取消」且当前授权数量为「0」。
ETH 钱包
确保钱包地址中有至少 0.02 个 ETH。若没有,你可以通过交易所提币至自己的以太坊钱包地址。
注:提币时请选择 ETH(ERC20) 网络通道。
手把手教程
1. 打开 imToken 内的 ETH 钱包,切换至浏览页面。在搜索框中输入「审查授权合约」并点击即可进入「Etherscan」页面。
Etherscan:可查询和处理 ETH 钱包授权的工具。如果你的网络不稳定,点击「审查授权合约」后可能需要完成 1 次人机验证才可进行后续操作。
2. 点击「Connect to Web3」-「WalletConnect」-「imToken」授权连接。连接成功后,返回上一页,此时页面会显示「Connected」。
3. 将页面向下滑动,在 Approved Spender 和 Allowance 下方可查看你授权的地址和数量。
在下图第二张截图中,我们可以看到 Approved Spender 一栏显示有 Uniswap、SushiSwap 等。这是因为当我们在 DEX 中交易时需要先进行代币转账授权,其目的是让 DEX 获得代币的转账权限,方便完成后续的代币兑换。
4. 但如果你发现 Approved Spender 这一列有不明地址,并且你自身也不了解该地址的控制方,那么这很有可能是骗子地址,请立刻取消授权。点击地址右侧的「Revoke」,在弹窗页面再次点击「Revoke」并确认取消授权。
取消授权的交易发出后点击「View your transaction」即可查看该交易的状态。当 Status显示为 Success 时,说明你已成功取消授权。
注:若 Status 显示为 Pending,耐心等待其变为 Success 即可。
温馨提示:如有任何问题,请通过 App 内「帮助与反馈」联系我们获取帮助。
最后
为了保障用户资产安全、打造优质加密生态,imToken 致力于普及安全资讯并提供解决方案。
imToken 是一款有温度、有责任的区块链数字资产管理工具,有严格的安全审计和风控措施保障用户资产安全,遍布 150 多个国家,超千万区块链爱好者的选择。