此组别内的文章

查看更多

安全提醒|请警惕代币授权骗局

Avatar
Whale
  • 更新于
关注

900383.png

目录

  • 什么是授权骗局?
  • 常见套路
    • 二维码收款
    • 假借「质押挖矿」名义的资金盘
  • 授权查询和取消
    • TRX 钱包
    • ETH 钱包

什么是授权骗局?

近期诈骗案件频发,请大家务必提高警惕以防资产损失!今天这篇文章要剖析的授权骗局就是诈骗案件中的一个典型。

朋友给了我一个收款码,我扫码只支付了 1U,然后剩下的币就被盗走了。

有人告诉我可以通过 imToken 钱包参与 XXX 代币质押获得高额收益,我点击确认同意了,结果钱包里剩下的币在我不知道的情况下都被人转走了。

在没有你同意的情况下,骗子凭什么能转走你的资产?骗子凭借的是你不经意间给他的转账权限,当他诱骗你进行转账 / 质押的同时,把代币转账权限也骗到了手。

那么,代币转账权限到底是什么呢?举个例子。

支付宝里有个亲密付功能,当我对家人开通这个功能后,他们购买物品时就会直接通过我的账户进行扣款。即便家人不知道我的支付宝密码,也能使用我账户里的钱。

类似的,当你把代币转账权限给了「朋友」后,对方即便不知道你的助记词和支付密码,也能转走你钱包里的代币。而很多人由于不了解代币转账权限的含义,在给出这个权限时,往往不自知,所以这类骗局发生得很隐蔽,且越来越多人上当。

骗子通常会以这两种方式骗走你的转账权限:二维码收款和假借「质押挖矿」名义的资金盘。

方式一:二维码收款

骗子会发给你一个链接或假冒 imToken 收款的二维码,你扫码后会进入假冒的转账页。一旦你在该页面中进行了「转账」,骗子的计谋就得逞了。

请注意,扫码后你可以通过查看页面右上角的图标,区分真假转账页面和二维码。骗子制作的转账页面右上角为「···」和「X」的图标,imToken 钱包内的正常转账页面右上角是扫描二维码的图标。

image10.png

左:骗子仿冒 Tokenlon 的授权页面;右:真转账页面

此外,发起普通转账时,你看到的是「支付详情」页。而骗子诱导你进行授权时,弹出的是「申请授权」的提醒。若点击确认,骗子将获得转走你钱包中对应代币的权限。在上面截图的例子中,虽然假页面上方显示的是 USDT 转账,但骗子实际骗取的是 LON 的转账权限。

Imtoken.godnest.club 申请 LON 转账授权

imtoken.godnest.club 是骗子制作的假 DApp 名称,一旦确认授权,骗子即可转走该钱包地址中所有的 LON。

方式二:假借「质押挖矿」名义的资金盘

骗子假冒 imToken 客服,告诉你通过钱包进入某个网站参与质押挖矿,存入 USDT 即可获得每天 1% 的收益,存入的代币数额越多,收益率越高。有些骗子甚至会告诉你无需存入代币,只需支付一点矿工费就可以获取稳定的收益。

当你被高额收益吸引,打开骗子网站参与其中时,通常你会看到一个「申请授权」的页面,在授权数量这里写着 unlimited(无限) 或者 99999……一个接近无限大的数字。若你输入密码点击了下一步,骗子就获得了转走你钱包中所有对应代币的权限。

所以在转账或参与项目时,请你务必注意 App 内弹出的是「支付详情」的页面还是「申请授权」的页面,保持警惕。如果你无法辨别,可以通过 App 内的「帮助与反馈」 联系 imToken 官方客服协助。

那么如何检查自己的代币转账权是否有外泄的情况,以及如果外泄了该怎么应对呢?

授权查询和取消

代币授权骗局主要发生在以太坊和波场上,因此本文提供 ETH 和 TRX 两类钱包的授权查询和取消的教程。

TRX 钱包

准备

确保钱包地址中至少有 5 个 TRX。若没有,你可以通过交易所提币至自己的钱包地址,或通过 App 内「帮助与反馈」联系我们。

手把手教程

  1. 打开 imToken 内的 TRX 钱包,切换至浏览页面,并在搜索框中输入「浏览器」。点击「区块浏览器」-「TRX」即可进入「TRONSCAN」页面,选择要查询授权的钱包地址。

    TRONSACN:可查询和处理 TRX 钱包授权的工具。如果你无法打开此页面,请切换网络后再尝试打开。
    image8.png
  2. 进入 TRONSCAN 后点击右上角菜单栏,点击「English」-「简体中文」进行语言切换。
    image1.png
  3. 将页面向下滑动,点击「授权列表」即可查看你授权的地址和数量。如果列表中有不明地址,并且你自身也不了解该地址的控制方,那么这很有可能是骗子地址,请点击右上角的放大图标enlarge-16.png,点击授权记录右侧的▼,点击「取消授权」并在弹窗页面中再次确认。image4.png
  4. 取消授权后,请确认授权记录的状态为「已取消」且当前授权数量为「0」。
    image5.png温馨提示:如有任何问题,请通过 App 内「帮助与反馈」联系我们获取帮助。

ETH 钱包

准备

确保钱包地址中有至少 0.02 个 ETH。若没有,你可以通过交易所提币至自己的以太坊钱包地址。

注:提币时请选择 ETH 网络通道。

手把手教程

  1. 打开 imToken 内的 ETH 钱包,切换至浏览页面。在搜索框中输入「审查授权合约」并点击即可进入「Etherscan」页面。

    Etherscan:可查询和处理 ETH 钱包授权的工具。如果你的网络不稳定,点击「审查授权合约」后可能需要完成 1 次人机验证才可进行后续操作。
    image4.png
  2. 点击「Connect to Web3」-「WalletConnect」-「imToken」授权连接。连接成功后,返回上一页,此时页面会显示「Connected」。
    image3.png
  3. 将页面向下滑动,在 Approved Spender 和 Allowance 下方可查看你授权的地址和数量。

    在下图第二张截图中,我们可以看到 Approved Spender 一栏显示有 Uniswap、SushiSwap 等。这是因为当我们在 DEX 中交易时需要先进行代币转账授权,其目的是让 DEX 获得代币的转账权限,方便完成后续的代币兑换。
    image6.png
  4. 但如果你发现 Approved Spender 这一列有不明地址,并且你自身也不了解该地址的控制方,那么这很有可能是骗子地址,请立刻取消授权。点击地址右侧的「Revoke」,在弹窗页面再次点击「Revoke」并确认取消授权。

    取消授权的交易发出后点击「View your transaction」即可查看该交易的状态。当 Status显示为 Success 时,说明你已成功取消授权。

    注:若 Status 显示为 Pending,耐心等待其变为 Success 即可。
    image9.png
    温馨提示:如有任何问题,请通过 App 内「帮助与反馈」联系我们获取帮助。

相关文章