近期,不法分子誘導用戶在錢包中新增惡意 RPC 節點,透過回傳偽造的餘額製造「收款到帳」的假象,進而誘使用戶轉帳、繳費,最終導致資產損失。與傳統盜幣詐騙不同,這類詐騙不會在鏈上留下真實的轉帳紀錄,而是透過操控錢包「看到的結果」來完成欺騙,隱蔽性更高、迷惑性更強。
什麼是 RPC 節點?
在分析騙局之前,先理解一個概念:RPC 節點是錢包 App 連接區塊鏈的「資料入口」。你可以將它理解為錢包與區塊鏈之間的「通訊員」,負責將鏈上的餘額、交易紀錄等資訊同步到你的 App 介面。
需要注意的是:
- 錢包 App 不託管資產:代幣始終存在於鏈上,錢包只是用來管理鏈上資產並展示鏈上資料的工具。
- 資料依賴節點:錢包顯示的餘額與交易紀錄,取決於當前連接的 RPC 節點所回傳的資料。
如果這個「通訊員」被偽造或遭到控制,就可能向錢包回傳假資料:你會看到「餘額增加」、「收款成功」,但實際上鏈上並未發生任何轉帳。
正常情況下,使用錢包 App 預設的安全節點即可。詐騙者常使用的 RPC 網址可能包含 virtual.mainnet.rpc.tenderly 等字樣,這類連結來自虛擬/模擬環境,僅用於交易模擬與除錯,所顯示的「資產」無法在真實網路中流通,並不具備實際價值。
案例:小林的「提現」陷阱
用戶小林在某第三方網站獲利,準備提現時卻發現該網站功能受限。第三方網站客服告訴他,可以直接將資金提現到自己的去中心化錢包地址。在對方的指引下,小林在錢包中新增了所謂的「專用網路通道」。設定完成後,小林看到錢包內出現了一大筆餘額,誤以為代幣已成功到帳。
當他嘗試將這些代幣從錢包地址轉出至交易所時,轉帳交易卻一直顯示等待確認,始終無法完成。第三方網站客服隨即解釋稱:由於金額較大,需要先支付一筆服務費以啟用帳戶,才能完成轉帳。
此時小林察覺異常,將網路切換回錢包的預設節點後,發現錢包中的代幣餘額瞬間歸零,也看不到任何交易紀錄。聯繫錢包 App 官方客服後才得知,所謂的「大額到帳」只是第三方網站客服誘導他修改 RPC 節點所製造的假象,他早已落入詐騙陷阱。
騙局是如何包裝的?
詐騙者利用資訊落差,通常依照以下步驟實施詐騙:
1. 建立信任或製造緊迫感
有時會先進行小額的真實轉帳(如 10 USDT、0.005 ETH),讓用戶相信「對方確實轉帳了」,從而降低戒心;或如案例所示,利用用戶急於提現、急於拿回資金的心理,誘導其配合操作。
2. 誘導修改 RPC 節點
詐騙者常見話術包括:「目前官方節點擁堵,轉帳進不來」、「網路延遲太高,需要切換專用通道」、「使用這個更快、更穩定的節點,可以秒到帳」。一旦新增對方提供的 RPC 節點(往往是模擬器節點),錢包取得資料的來源就可能被替換,出現「看似到帳、實際未上鏈」的情況。
3. 偽造餘額,進行二次收割
連接到惡意 RPC 後,餘額會瞬間暴增。隨後詐騙者可能利用用戶「看得到卻取不出」的焦慮心理,繼續誘導支付所謂的「服務費/加速費/稅費/解凍費/保證金」等,實施二次詐騙。
imToken 安全團隊提醒:
RPC 修改因不涉及「助記詞/私鑰」或「授權代幣轉帳權限」,更容易被忽視。為保障資產安全,請務必記住以下幾點:
- 不要隨意修改網路節點: imToken 預設的 RPC 節點已通過安全驗證與速度最佳化。任何要求你「手動新增 RPC 節點來接收轉帳」的說法,都應高度警惕,特別是陌生人或所謂「客服」手把手指導時。
- 以鏈上資料為準: 區塊鏈資料公開透明、不可竄改。判斷是否真正到帳的核心標準是:是否能在區塊鏈瀏覽器(如 Etherscan)查到對應的交易紀錄,以及交易狀態是否成功。瀏覽器查不到=未到帳。
- 不理解的設定,不要輕易操作: 只要對方以技術細節牽著你操作,或要求修改設定、先行付費時,應立即停止,並透過官方管道進行核實。
imToken 一直在行動
安全風控
十一月份,imToken 共標記風險代幣 221139 個;封鎖風險 DApp 網站 673 個;標記風險地址 447 個。詳見風控數據。
另外,如果你發現了疑似風險的代幣或 DApp,請及時回饋給我們:support@token.im,幫助更多用戶避免資產損失。
最後
詐騙手法層出不窮,對一般用戶來說,確實難以全面預防。imToken 致力於快速發現和找到解決方案,並向社群及時回饋和科普各種新型騙局,以降低用戶損失,全面提升用戶在加密貨幣領域的安全性,並努力建立一個可信賴的數位代幣管理生態系統。
我們誠摯邀請你閱讀並分享「imToken 錢包安全月報」,和 imToken 攜手,保護每一份代幣安全。