近期,不法分子在小紅書、Telegram 等社交平台冒充官方人員,散布「老用戶專享/質押挖礦」等虛假活動,誘導用戶充值,或騙取用戶代幣轉帳授權,導致用戶遭受資產損失。
案例
用戶小王在 Telegram 收到一則陌生私訊,對方自稱是某社群成員,向他推薦了一個「官方回饋老用戶的挖礦活動」。詐騙者的話術是:「名額有限!存入 600 USDT 購買礦機,每天就能自動挖出官方代幣,預計年化收益高達 120%!」
小王心動之下,向對方網站轉入了 600 USDT,並很快在頁面上看到了「持續增長的收益」。當他嘗試提現時,假冒的「客服」卻聲稱,需要「進行一次鏈上互動來啟用收益發放功能」。小王按照引導連接錢包並進行了簽名。幾分鐘後,所謂的收益並未到帳,他反而發現自己錢包裡的 USDT 等代幣被全部轉走了。
騙局是如何包裝的?
1. 偽裝官方,建立信任
- 外觀模仿:網站的網域、Logo、配色和頁面設計都高度仿照官方,迷惑性極強。
- 虛假背書:詐騙者會偽造「官方激勵計畫」、「知名交易所上幣公告」、「市值/成交量」等資訊,並安排假客服進行一對一誘導,營造出「正規、專業」的假象。
2. 營造稀缺,催你決策
- 製造緊迫感:使用「老用戶專享」、「活動倒數」、「剩餘名額」等描述,讓你覺得機會難得,從而在沒有充分查證的情況下迅速轉帳或簽名。
- 誘導充值與授權,盜取資產
此類騙局一般分為兩層:
- 引誘充值:以高收益質押/挖礦為餌,直接騙取你的本金。
- 混淆授權:把危險的代幣授權操作,偽裝成「領取收益」、「啟用帳戶」或「驗證資格」等。你以為只是簡單的確認,實際上卻是把你錢包資產的轉帳權限交給了詐騙者。一旦簽名,攻擊者便可立即把你授權的代幣全部轉走。
什麼是「授權」?
在錢包中進行「簽名授權」,不等同於單純的「登入」或「確認」。它可能代表著:你允許某個合約位址,在未來的任意時間,從你的錢包裡轉走你所授權的代幣。這就是為什麼詐騙者在拿到授權後,可以瞬間清空你的資產。
授權本身只是區塊鏈上的一種技術,沒有好壞之分;但授權的對象,卻有好壞之別。用戶在鏈上與去中心化應用(DApp)互動時,授權是完成複雜操作的必要步驟。以在去中心化交易所 Uniswap 將 USDT 兌換成 ETH 為例:你需要先授權給 Uniswap 的智慧合約,允許它從你的錢包中扣除你想兌換的 USDT。合約收到 USDT 後,再自動將等值的 ETH 發送回你的錢包,完成兌換。
關鍵差別在於:正規操作的授權對象是像 Uniswap 這樣知名、經過安全審計的 DApp 合約,目的在於協助你完成代幣兌換;而騙局中的授權對象是未知的惡意合約,目的就是盜取你的資產。
你可以透過下面的文章,進一步了解代幣授權:
imToken 安全團隊提醒:
- 警惕第三方網站:錢包 App 的瀏覽器功能是開放的,允許用戶訪問各類 DApp,並不代表與所訪問網站存在合作或背書;訪問前請自行評估風險。
- 警惕「授權」請求:要求你「授權」或「簽名」才能領取收益、啟動帳戶的行為,極大可能是高危險騙局。簽名時務必看清彈窗提示,一旦出現 approve、授權等字樣,請謹慎簽名。
- 定期清理授權:使用 Revoke.cash 等工具,定期檢查並取消不再使用或可疑的授權,消除潛在風險。
- 官方絕不私聊:官方團隊不會透過任何管道主動私訊你參與活動。任何自稱「客服」、「管理員」、「社群人員」的主動聯繫,都應立即封鎖。
imToken 一直在行動
安全風控
九月份,imToken 共標記風險代幣 114306 個;封鎖風險 DApp 網站 704 個;標記風險地址 757 個。詳見風控數據。
另外,如果你發現了疑似風險的代幣或 DApp,請及時回饋給我們:support@token.im,幫助更多用戶避免資產損失。
最後
詐騙手法層出不窮,對一般用戶來說,確實難以全面預防。imToken 致力於快速發現和找到解決方案,並向社群及時回饋和科普各種新型騙局,以降低用戶損失,全面提升用戶在加密貨幣領域的安全性,並努力建立一個可信賴的數位代幣管理生態系統。
我們誠摯邀請你閱讀並分享「imToken 錢包安全月報」,和 imToken 攜手,保護每一份代幣安全。