近期,不少用戶因誤用虛假的「能量租賃平台」而導致資產損失。詐騙分子以「極低價格、平台代付手續費」為誘餌,誘導用戶在詐騙網站上簽名惡意代幣授權,從而盜取錢包內的 USDT。
案例
用戶小溫在社群中看到「0.5 TRX 即可租賃 6.4 萬+能量」的廣告,隨即訪問了詐騙網站 buytrx.ch。該網站提供「閃兌」「能量租賃」等看似專業的功能。小溫點擊「立即租用」後,錢包彈出了簽名請求。由於誤以為這是支付 TRX 的確認操作,他未仔細核對簽名內容便完成了確認。
不久之後,小溫錢包中的 7 萬多 USDT 被異常轉出。此時他才意識到,剛才簽名的並非正常的支付交易。回看交易記錄可發現,其中出現了授權額度變更及惡意合約調用交易。
騙局是如何包裝的?
1. 精準命中「剛需」,降低防備
在 Tron 網路中,轉帳會消耗鏈上資源(能量與頻寬)。由於直接燃燒 TRX 取得資源成本較高,且質押 TRX 會佔用大量資產,用戶通常傾向選擇成本較低的「能量租賃」服務。詐騙者正是利用這一高頻需求,以極低價格吸引用戶進入釣魚網站。
2. 偽裝租賃流程,實為「惡意授權」
這是此類詐騙的核心。正規能量租賃本質上是一般轉帳操作。租賃時,你依照頁面提示向服務商地址發送 TRX 或 USDT,對方為你代理能量,整個過程不涉及任何代幣授權。
而詐騙網站則透過偽裝租賃流程,誘導用戶簽名惡意代幣授權交易。一旦簽名確認,就等同於將錢包內 USDT 的使用權交給詐騙者控制的合約地址,對方可隨時調用權限轉走資產。
3. 隱蔽性強,部分地址會延遲作案
部分詐騙者在取得授權後並不會立即盜取資產,而是持續在鏈上監控。一旦用戶錢包中轉入更多 USDT,才發起惡意轉帳。這種延遲作案方式具有高度迷惑性,也更容易讓用戶忽視此前的授權風險。
如何安全獲取能量?
- 通过转账页面租赁:在 imToken 的 USDT 轉帳頁面,使用「支付 TRX 租賃能量」即可一鍵租賃能量並完成轉帳。操作便捷高效,並可節省約 30% 的轉帳成本。
- 使用 USDT 購買功能:在 Tron 錢包首頁功能欄進入「購買 TRX」DApp,可直接使用帳戶內的 USDT 購買能量或 TRX。一鍵簽名即可完成購買,安全可靠。
imToken 安全團隊提醒
1. 謹慎簽名:在進行任何能量租賃操作時,請務必核對簽名內容,確認是否為一筆明確的「發送至某地址」的轉帳交易。若看到「授權使用代幣」「無限授權」或陌生合約地址等提示,請立即停止操作。
2. 定期清理授權:建議養成定期檢查錢包授權記錄的習慣。若發現不明授權,請儘快撤銷以降低風險。
- 查詢工具:在 imToken 的 Tron 錢包首頁功能欄左滑,點擊「授權管理」,可管理 Tron 錢包的代幣授權;或在「瀏覽」頁面搜尋 Revoke.cash,管理以太坊、EVM、Layer2 錢包的代幣授權。
操作指南:請參考安全提醒|請警惕代幣授權騙局
imToken 一直在行動
安全風控
二月份,imToken 共標記風險代幣 75067 個;封鎖風險 DApp 網站 437 個;標記風險地址 441 個。詳見風控數據。
另外,如果你發現了疑似風險的代幣或 DApp,請及時回饋給我們:support@token.im,幫助更多用戶避免資產損失。
最後
詐騙手法層出不窮,對一般用戶來說,確實難以全面預防。imToken 致力於快速發現和找到解決方案,並向社群及時回饋和科普各種新型騙局,以降低用戶損失,全面提升用戶在加密貨幣領域的安全性,並努力建立一個可信賴的數位代幣管理生態系統。
我們誠摯邀請你閱讀並分享「imToken 錢包安全月報」,和 imToken 攜手,保護每一份代幣安全。