安全提醒｜请警惕代币授权骗局

什么是授权骗局？

近期诈骗案件频发，请大家务必提高警惕以防资产损失！今天这篇文章要剖析的授权骗局就是诈骗案件中的一个典型。

｜朋友给了我一个收款码，我扫码只支付了 1U，然后剩下的币就被盗走了。

｜有人告诉我可以通过 imToken 钱包参与 XXX 代币质押获得高额收益，我点击确认同意了，结果钱包里剩下的币在我不知道的情况下都被人转走了。

在没有你同意的情况下，骗子凭什么能转走你的资产？骗子凭借的是你不经意间给他的转账权限，当他诱骗你进行转账 / 质押的同时，把代币转账权限也骗到了手。

那么，代币转账权限到底是什么呢？举个例子。

支付宝里有个亲密付功能，当我对家人开通这个功能后，他们购买物品时就会直接通过我的账户进行扣款。即便家人不知道我的支付宝密码，也能使用我账户里的钱。

类似的，当你把代币转账权限给了「朋友」后，对方即便不知道你的助记词和支付密码，也能转走你钱包里的代币。而很多人由于不了解代币转账权限的含义，在给出这个权限时，往往不自知，所以这类骗局发生得很隐蔽，且越来越多人上当。

骗子通常会以这两种方式骗走你的转账权限：二维码收款和假借「质押挖矿」名义的资金盘。

方式一：二维码收款

骗子会发给你一个链接或假冒 imToken 收款的二维码，你扫码后会进入假冒的转账页。一旦你在该页面中进行了「转账」，骗子的计谋就得逞了。

请注意，扫码后你可以通过查看页面右上角的图标，区分真假转账页面和二维码。骗子制作的转账页面右上角为「···」和「X」的图标，imToken 钱包内的正常转账页面右上角是扫描二维码的图标。

左：骗子仿冒的 USDT 转账页面；右：真的 USDT 转账页面

此外，imToken 在最新版本中全新设计了签名体验，针对此类骗局采取了更强有力的措施。现在，当你签名此类交易时，系统会识别其为一笔授权交易，并检测到交易有风险，提醒你请勿参与，以免造成资产损失。

方式二：假借「质押挖矿」名义的资金盘

骗子假冒 imToken 客服，告诉你通过钱包进入某个网站参与质押挖矿，存入 USDT 即可获得每天 1% 的收益，存入的代币数额越多，收益率越高。有些骗子甚至会告诉你无需存入代币，只需支付一点矿工费就可以获取稳定的收益。

当你被高额收益吸引，打开骗子网站参与其中时，通常你会看到一个「授权代币转账权限」的页面，在授权代币的额度这里写着无限额度或者 99999……一个接近无限大的数字。若你仍选择确认交易并签名，骗子就获得了转走你钱包中所有对应代币的权限。

所以，针对这类骗局，imToken 同样优化了签名体验。当你签名此类交易时，imToken 会提示交易存在风险，提醒你请勿参与，避免资产损失。

那么如何检查自己的代币转账权是否有外泄的情况，以及如果外泄了该怎么应对呢？

授权查询和取消

代币授权骗局主要发生在以太坊和波场上，因此本文提供 ETH 和 TRX 两类钱包的授权查询和取消的教程。

TRX 钱包

准备

确保钱包地址中至少有 30 个 TRX。若没有，你可以通过交易所提币至自己的钱包地址，或通过 App 内「帮助与反馈」联系我们。

手把手教程

1. 打开 imToken 内的 TRX 钱包，切换至浏览页面，并在搜索框中输入「浏览器」。点击「区块浏览器」-「TRX」即可进入「TRONSCAN」页面，选择要查询授权的钱包地址。

TRONSACN：可查询和处理 TRX 钱包授权的工具。如果你无法打开此页面，请切换网络后再尝试打开。

2. 进入 TRONSCAN 后点击右上角菜单栏，点击「English」-「简体中文」进行语言切换。

3. 将页面向下滑动，点击「授权列表」即可查看你授权的地址和数量。如果列表中有不明地址，并且你自身也不了解该地址的控制方，那么这很有可能是骗子地址，请点击右上角的放大图标，点击授权记录右侧的▼，点击「取消授权」并在弹窗页面中再次确认。

4. 取消授权后，请确认授权记录的状态为「已取消」且当前授权数量为「0」。

ETH 钱包

确保钱包地址中有至少 0.02 个 ETH。若没有，你可以通过交易所提币至自己的以太坊钱包地址。

注：提币时请选择 ETH（ERC20） 网络通道。

手把手教程

1. 打开 imToken 内的 ETH 钱包，切换至浏览页面。在搜索框中输入「审查授权合约」并点击即可进入「Etherscan」页面。

Etherscan：可查询和处理 ETH 钱包授权的工具。如果你的网络不稳定，点击「审查授权合约」后可能需要完成 1 次人机验证才可进行后续操作。

2. 点击「Connect to Web3」-「WalletConnect」-「imToken」授权连接。连接成功后，返回上一页，此时页面会显示「Connected」。

3. 将页面向下滑动，在 Approved Spender 和 Allowance 下方可查看你授权的地址和数量。

在下图第二张截图中，我们可以看到 Approved Spender 一栏显示有 Uniswap、SushiSwap 等。这是因为当我们在 DEX 中交易时需要先进行代币转账授权，其目的是让 DEX 获得代币的转账权限，方便完成后续的代币兑换。

4. 但如果你发现 Approved Spender 这一列有不明地址，并且你自身也不了解该地址的控制方，那么这很有可能是骗子地址，请立刻取消授权。点击地址右侧的「Revoke」，在弹窗页面再次点击「Revoke」并确认取消授权。

取消授权的交易发出后点击「View your transaction」即可查看该交易的状态。当 Status显示为 Success 时，说明你已成功取消授权。

注：若 Status 显示为 Pending，耐心等待其变为 Success 即可。

温馨提示：如有任何问题，请通过 App 内「帮助与反馈」联系我们获取帮助。

最后

为了保障用户资产安全、打造优质加密生态，imToken 致力于普及安全资讯并提供解决方案。

imToken 是一款有温度、有责任的区块链数字资产管理工具，有严格的安全审计和风控措施保障用户资产安全，遍布 150 多个国家，超千万区块链爱好者的选择。