随着Web3的迅速发展,链上生态日益繁荣,参与链上交易等活动的用户数量持续攀升。与此同时,各类链上诈骗手段也层出不穷,不法分子通过伪装诱导用户授权交易或泄露密钥,以窃取资产。
为帮助用户全面守护Web3安全,OKX提供了多层次的安全防护措施,并提醒用户在高风险场景中保持警惕、提升安全意识。以下是一些常见的链上诈骗案例,以及OKX的应对方案和用户建议,以期能帮助您识别和规避Web3风险。
诱导授权盗币
诱导恶意授权是Web3诈骗常用的手法之一,在一些投资或转账交易中,诈骗者通过各种手段伪装授权交易,诱导用户签署授权,从而获取用户资产的操作权限。
1、Approve授权诈骗
诈骗案例
Approve授权允许用户授予某个智能合约(或EOA地址)访问自己资产的权限,常见的诈骗案例有:
钓鱼链接:诈骗者通过社群发布所谓“高收益”投资信息,引导用户点击链接,骗取用户授权,用于“存币挖矿”或“质押空投”等。
OTC伪装:骗子假冒OTC商家,要求用户先进行1美元的小额测试转账,但实质上是授权交易,获取用户资产操作权限。
OKX Web3钱包防护措施
针对该诈骗方式,OKX Web3钱包通过多层技术手段为用户提供保护:
第一道防线:针对登录网址进行恶意检测,若发现网址为恶意网站,则直接阻止访问。
第二道防线:若网站本身未被标识为恶意,但用户在该网站上发起了针对EOA的授权,钱包也会进行拦截。
第三道防线:即使网站正常,若用户授权给合约,而该合约被检测为恶意,系统亦会进行拦截。
第四道防线:对于一些特殊的网络(如Tron),若签名内容和描述不一致,则立即拦截交易。
2、Permit、Permit2授权诈骗
诈骗案例
Permit和Permit2是由Uniswap推出的节省Gas的资产授权方式。然而,这种无需Gas费的授权方式往往容易被用户忽视交易的安全性,因此Permit授权逐渐成为黑客诱骗授权的工具。
OKX Web3钱包防护措施
使用OKX Web3钱包同样可以有效识别和拦截该类诈骗:
第一道防线-明确交易类型:明确显示交易类型为Permit类授权,清晰标识涉及的代币、操作权限范围和授权到期时间,确保用户对该交易有全面了解。
第二道防线-交易拦截:对于有潜在风险的Dapp请求,OKX Web3钱包会自动阻断,并提示用户在签署前仔细核查交易风险。
3、eth_sign授权诈骗
诈骗案例
eth_sign允许对任意交易哈希进行签名,相当于提供一张以太坊“空白支票”,诈骗者常通过诱导用户使用eth_sign签名,从而可以构造任何自定义交易来窃取用户资产。
OKX Web3钱包防护措施
自动拦截:鉴于eth_sign方法权限过大且签名对象不明,在正常交易中极少使用。由于绝大多数eth_sign交易具有钓鱼性质,因此OKX Web3钱包会自动识别并直接拦截此类交易,以保障用户资产安全。
安全提示
保持警惕,不轻信他人投资建议:避免盲目跟随社交媒体或群聊中的投资信息,尤其是涉及不明链接或所谓“高收益”项目时,务必保持警觉。
避免与陌生合约交互:授权任何合约前,应验证其来源可靠性。建议仅与知名平台或自己充分了解的DApp交互,谨慎处理任何不明来源的合约请求。
拒绝不明交易签署:批准交易前,仔细检查授权的对象和金额,特别是“Approve”和“increaseAllowance”类操作,确保完全理解授权的潜在后果。优先关注权限范围和授权过期时间,不确定的交易宁可不签署。
了解新型授权的潜在风险:Permit和Permit2等新型授权尽管能节省Gas费,但也可能带来安全风险。
切勿因签名交易不产生Gas费而误认为无风险。
理解签名授权的性质:应了解不同签名授权的用途及可能性,授权时务必明确权限范围及过期时间,减少不必要的授权风险。
截屏录屏盗密钥
通过截屏录屏骗取新手用户的钱包私钥/助记词、进而盗取资产也是骗子常用的诈骗手段:
诈骗案例
诱导新用户提供密钥:骗子常伪装成“投资顾问”或“交易专家”,通过社交平台吸引新手加入所谓的“高收益”项目。获取信任后,他们假借“详细指导”为名,诱导用户在创建钱包时逐步截图或在视频通话中展示操作,甚至直接索要助记词。为了骗取密钥,骗子甚至可能会通过搭建假冒钱包的钓鱼网站,伪装成官方页面,以“钱包更新”或“安全检测”为由诱导用户输入助记词。骗子一旦掌握助记词等信息,便能完全控制用户账户,窃取资产。
OKX Web3钱包防护措施
第一道防线-禁止截屏/录屏:在助记词显示页面,OKX Web3钱包已禁用部分敏感界面的截图和录屏功能,并警示用户截图和录屏的潜在风险,提醒用户注意防范意识。
第二道防线-禁止投屏:在OKX Web3钱包,助记词页面的安全机制使得用户无法投屏助记词,确保用户不会在分享屏幕时无意泄漏敏感信息。
安全提示
手写并妥善保存助记词:助记词应手写记录在纸质介质上,避免截图或保存于电子设备,降低黑客通过技术手段获取密钥的风险。
警惕陌生人索要助记词:助记词是账户恢复的唯一途径,绝不能与他人共享,尤其是陌生人或声称帮助用户投资的“专家”。
避免远程协助操作:在视频会议、电话指导或远程协助中,应始终避免展示助记词或私钥等敏感信息,确保资产安全。
恶意空投盗币
诈骗案例
诈骗者向大量地址空投发送无价值的垃圾币,名称或合约地址与知名代币相似,诱导用户误以为收到了空投奖励。当用户尝试在正规平台上出售这些垃圾币发现不可交易时,可能会被诱导至钓鱼网站。钓鱼网站声称可帮助用户出售这些垃圾币,但用户一旦连接钱包并签署交易,便会被授予不法分子操作权限,导致所有资产被转走。
在恶意空投中,诈骗者可能诱导用户取消钓鱼代币的授权,声称这将有助于提升账户安全。实际上,取消授权的过程中,用户支付的Gas费被设定为极高,诈骗者则通过程序截取这一部分费用来获利,从而在用户毫不知情的情况下消耗大量Gas。
OKX Web3钱包防护措施
恶意空投代币隐藏:OKX Web3钱包能够自动隐藏疑似恶意的空投代币,防止用户无意中看到这些钓鱼代币,避免用户因此误入钓鱼网站的风险。
安全提示
不随意处理未知空投代币:对于来源不明的空投代币应保持警惕,不要轻易与之交互。在不确定代币性质前,可通过OKX或其他平台查询代币信息。
避免登录可疑网站:遇到无法在正规平台交易的代币,不要轻信非官方渠道提供的出售方法,避免签署任何可疑交易,保护资产安全。
相似地址诈骗
诈骗案例
诈骗者会生成与用户交互过的地址高度相似的地址,通常仅在几个字符上有所不同。当用户误认为该地址是常用地址而将资产转入时,资产会直接落入诈骗者手中,造成资金损失。
OKX Web3钱包防护措施
首尾相似地址提示:OKX Web3钱包能够在转账页面列出相似地址,并强调它们的首尾一致性,以提示用户对转账地址进行进一步确认,确保接收方地址正确。
安全提示
仔细核对转账地址:在转账前务必检查地址的前几位和后几位是否完全一致,以避免误转至相似地址。
支持地址标签:OKX Web3钱包支持地址标签功能,用户可为常用地址添加标签,方便快速识别并避免因地址相似导致的错误操作。
项目方卷款逃跑
诈骗案例
在某些情况下,尽管一些DApp曾提供过优质服务,但可能因经营不善,一些项目团队可能产生卷款逃跑的意图。在发现用户未取消的授权时,便可能利用这些权限在跑路前转走用户资产。
OKX Web3钱包防护措施
授权提醒:若用户长时间未使用某个已授权的DApp,OKX Web3钱包会提醒用户取消不必要的授权,确保账户安全。
安全提示
谨慎授权:不要轻易为不完全信任的DApp或合约授权,尤其是那些承诺“高收益”或“无风险”的项目。授权前应仔细阅读授权条款。
定期管理授权:应定期检查并取消长时间未使用的DApp授权,减少潜在风险。
貔貅盘诈骗
诈骗案例
诈骗者发布貔貅盘代币,并通过社区推广或代币空投等方式吸引用户,为了吸引到更多用户和资金,诈骗者还会过拉高貔貅盘代币价格的方式,给予交易者“高收益高回报”的信心。然而,貔貅盘代币通常无法出售,用户因而蒙受损失。
OKX Web3钱包防护措施
第一道防线-风险评估拦截:OKX Web3钱包内置检测引擎,会评估此类代币的风险,并在高风险情况下直接禁止购买貔貅盘。
第二道防线-链上风险检测:对于部分支持链,OKX Web3钱包提供风险代币检测功能,以进一步保障用户安全。
安全提示
警惕貔貅盘风险:购买前建议用户在OKX或其他官方平台查询代币信息,若发现风险代币应立即停止购买。
避免跟风炒作:诈骗者常利用社区炒作吸引用户购买貔貅盘代币,用户应保持警惕,不轻易参与陌生项目的炒作。
© 2024 OKX. This article may be reproduced or distributed in its entirety, or excerpts of 100 words or less of this article may be used, provided such use is non-commercial. Any reproduction or distribution of the entire article must also prominently state: “This article is © 2024 OKX and is used with permission.” Permitted excerpts must cite to the name of the article and include attribution, for example “Article Name, [author name if applicable], © 2024 OKX.” No derivative works or other uses of this article are permitted.
Information about: digital currency exchange services is prepared by OKX Australia Pty Ltd (ABN 22 636 269 040); derivatives and margin by OKX Australia Financial Pty Ltd (ABN 14 145 724 509, AFSL 379035) and is only intended for wholesale clients (within the meaning of the Corporations Act 2001 (Cth)); and other products and services by the relevant OKX entities which offer them (see Terms of Service). Information is general in nature and should not be taken as investment advice, personal recommendation or an offer of (or solicitation to) buy any crypto or related products. You should do your own research and obtain professional advice, including to ensure you understand the risks associated with these products, before you make a decision about them. Past performance is not indicative of future performance - never risk more than you are prepared to lose. Read our Terms of ServiceTerms of Serviceand Risk Disclosure Statement for more information.
