随着Web3的迅速发展,链上生态日益繁荣,参与链上交易等活动的用户数量持续攀升。与此同时,各类链上诈骗手段也层出不穷,不法分子通过伪装诱导用户授权交易或泄露密钥,以窃取资产。
为帮助用户全面守护Web3安全,OKX提供了多层次的安全防护措施,并提醒用户在高风险场景中保持警惕、提升安全意识。以下是一些常见的链上诈骗案例,以及OKX的应对方案和用户建议,以期能帮助您识别和规避Web3风险。
诱导授权盗币
诱导恶意授权是Web3诈骗常用的手法之一,在一些投资或转账交易中,诈骗者通过各种手段伪装授权交易,诱导用户签署授权,从而获取用户资产的操作权限。
1、Approve授权诈骗
诈骗案例
Approve授权允许用户授予某个智能合约(或EOA地址)访问自己资产的权限,常见的诈骗案例有:
钓鱼链接:诈骗者通过社群发布所谓“高收益”投资信息,引导用户点击链接,骗取用户授权,用于“存币挖矿”或“质押空投”等。
OTC伪装:骗子假冒OTC商家,要求用户先进行1美元的小额测试转账,但实质上是授权交易,获取用户资产操作权限。
OKX Web3钱包防护措施
针对该诈骗方式,OKX Web3钱包通过多层技术手段为用户提供保护:
第一道防线:针对登录网址进行恶意检测,若发现网址为恶意网站,则直接阻止访问。
第二道防线:若网站本身未被标识为恶意,但用户在该网站上发起了针对EOA的授权,钱包也会进行拦截。
第三道防线:即使网站正常,若用户授权给合约,而该合约被检测为恶意,系统亦会进行拦截。
第四道防线:对于一些特殊的网络(如Tron),若签名内容和描述不一致,则立即拦截交易。
2、Permit、Permit2授权诈骗
诈骗案例
Permit和Permit2是由Uniswap推出的节省Gas的资产授权方式。然而,这种无需Gas费的授权方式往往容易被用户忽视交易的安全性,因此Permit授权逐渐成为黑客诱骗授权的工具。
OKX Web3钱包防护措施
使用OKX Web3钱包同样可以有效识别和拦截该类诈骗:
第一道防线-明确交易类型:明确显示交易类型为Permit类授权,清晰标识涉及的代币、操作权限范围和授权到期时间,确保用户对该交易有全面了解。
第二道防线-交易拦截:对于有潜在风险的Dapp请求,OKX Web3钱包会自动阻断,并提示用户在签署前仔细核查交易风险。
3、eth_sign授权诈骗
诈骗案例
eth_sign允许对任意交易哈希进行签名,相当于提供一张以太坊“空白支票”,诈骗者常通过诱导用户使用eth_sign签名,从而可以构造任何自定义交易来窃取用户资产。
OKX Web3钱包防护措施
自动拦截:鉴于eth_sign方法权限过大且签名对象不明,在正常交易中极少使用。由于绝大多数eth_sign交易具有钓鱼性质,因此OKX Web3钱包会自动识别并直接拦截此类交易,以保障用户资产安全。
安全提示
保持警惕,不轻信他人投资建议:避免盲目跟随社交媒体或群聊中的投资信息,尤其是涉及不明链接或所谓“高收益”项目时,务必保持警觉。
避免与陌生合约交互:授权任何合约前,应验证其来源可靠性。建议仅与知名平台或自己充分了解的DApp交互,谨慎处理任何不明来源的合约请求。
拒绝不明交易签署:批准交易前,仔细检查授权的对象和金额,特别是“Approve”和“increaseAllowance”类操作,确保完全理解授权的潜在后果。优先关注权限范围和授权过期时间,不确定的交易宁可不签署。
了解新型授权的潜在风险:Permit和Permit2等新型授权尽管能节省Gas费,但也可能带来安全风险。
切勿因签名交易不产生Gas费而误认为无风险。
理解签名授权的性质:应了解不同签名授权的用途及可能性,授权时务必明确权限范围及过期时间,减少不必要的授权风险。
截屏录屏盗密钥
通过截屏录屏骗取新手用户的钱包私钥/助记词、进而盗取资产也是骗子常用的诈骗手段:
诈骗案例
诱导新用户提供密钥:骗子常伪装成“投资顾问”或“交易专家”,通过社交平台吸引新手加入所谓的“高收益”项目。获取信任后,他们假借“详细指导”为名,诱导用户在创建钱包时逐步截图或在视频通话中展示操作,甚至直接索要助记词。为了骗取密钥,骗子甚至可能会通过搭建假冒钱包的钓鱼网站,伪装成官方页面,以“钱包更新”或“安全检测”为由诱导用户输入助记词。骗子一旦掌握助记词等信息,便能完全控制用户账户,窃取资产。
OKX Web3钱包防护措施
第一道防线-禁止截屏/录屏:在助记词显示页面,OKX Web3钱包已禁用部分敏感界面的截图和录屏功能,并警示用户截图和录屏的潜在风险,提醒用户注意防范意识。
第二道防线-禁止投屏:在OKX Web3钱包,助记词页面的安全机制使得用户无法投屏助记词,确保用户不会在分享屏幕时无意泄漏敏感信息。
安全提示
手写并妥善保存助记词:助记词应手写记录在纸质介质上,避免截图或保存于电子设备,降低黑客通过技术手段获取密钥的风险。
警惕陌生人索要助记词:助记词是账户恢复的唯一途径,绝不能与他人共享,尤其是陌生人或声称帮助用户投资的“专家”。
避免远程协助操作:在视频会议、电话指导或远程协助中,应始终避免展示助记词或私钥等敏感信息,确保资产安全。
恶意空投盗币
诈骗案例
诈骗者向大量地址空投发送无价值的垃圾币,名称或合约地址与知名代币相似,诱导用户误以为收到了空投奖励。当用户尝试在正规平台上出售这些垃圾币发现不可交易时,可能会被诱导至钓鱼网站。钓鱼网站声称可帮助用户出售这些垃圾币,但用户一旦连接钱包并签署交易,便会被授予不法分子操作权限,导致所有资产被转走。
在恶意空投中,诈骗者可能诱导用户取消钓鱼代币的授权,声称这将有助于提升账户安全。实际上,取消授权的过程中,用户支付的Gas费被设定为极高,诈骗者则通过程序截取这一部分费用来获利,从而在用户毫不知情的情况下消耗大量Gas。
OKX Web3钱包防护措施
恶意空投代币隐藏:OKX Web3钱包能够自动隐藏疑似恶意的空投代币,防止用户无意中看到这些钓鱼代币,避免用户因此误入钓鱼网站的风险。
安全提示
不随意处理未知空投代币:对于来源不明的空投代币应保持警惕,不要轻易与之交互。在不确定代币性质前,可通过OKX或其他平台查询代币信息。
避免登录可疑网站:遇到无法在正规平台交易的代币,不要轻信非官方渠道提供的出售方法,避免签署任何可疑交易,保护资产安全。
相似地址诈骗
诈骗案例
诈骗者会生成与用户交互过的地址高度相似的地址,通常仅在几个字符上有所不同。当用户误认为该地址是常用地址而将资产转入时,资产会直接落入诈骗者手中,造成资金损失。
OKX Web3钱包防护措施
首尾相似地址提示:OKX Web3钱包能够在转账页面列出相似地址,并强调它们的首尾一致性,以提示用户对转账地址进行进一步确认,确保接收方地址正确。
安全提示
仔细核对转账地址:在转账前务必检查地址的前几位和后几位是否完全一致,以避免误转至相似地址。
支持地址标签:OKX Web3钱包支持地址标签功能,用户可为常用地址添加标签,方便快速识别并避免因地址相似导致的错误操作。
项目方卷款逃跑
诈骗案例
在某些情况下,尽管一些DApp曾提供过优质服务,但可能因经营不善,一些项目团队可能产生卷款逃跑的意图。在发现用户未取消的授权时,便可能利用这些权限在跑路前转走用户资产。
OKX Web3钱包防护措施
授权提醒:若用户长时间未使用某个已授权的DApp,OKX Web3钱包会提醒用户取消不必要的授权,确保账户安全。
安全提示
谨慎授权:不要轻易为不完全信任的DApp或合约授权,尤其是那些承诺“高收益”或“无风险”的项目。授权前应仔细阅读授权条款。
定期管理授权:应定期检查并取消长时间未使用的DApp授权,减少潜在风险。
貔貅盘诈骗
诈骗案例
诈骗者发布貔貅盘代币,并通过社区推广或代币空投等方式吸引用户,为了吸引到更多用户和资金,诈骗者还会过拉高貔貅盘代币价格的方式,给予交易者“高收益高回报”的信心。然而,貔貅盘代币通常无法出售,用户因而蒙受损失。
OKX Web3钱包防护措施
第一道防线-风险评估拦截:OKX Web3钱包内置检测引擎,会评估此类代币的风险,并在高风险情况下直接禁止购买貔貅盘。
第二道防线-链上风险检测:对于部分支持链,OKX Web3钱包提供风险代币检测功能,以进一步保障用户安全。
安全提示
警惕貔貅盘风险:购买前建议用户在OKX或其他官方平台查询代币信息,若发现风险代币应立即停止购买。
避免跟风炒作:诈骗者常利用社区炒作吸引用户购买貔貅盘代币,用户应保持警惕,不轻易参与陌生项目的炒作。
© 2023 OKX。本文可以全文复制或分发,也可以使用本文 100 字或更少的摘录,前提是此类使用是非商业性的。整篇文章的任何复制或分发亦必须突出说明:“本文版权所有 © 2023 OKX,经许可使用。”允许的摘录必须引用文章名称并包含出处,例如“文章名称,[作者姓名 (如适用)],© 2023 OKX”。不允许对本文进行衍生作品或其他用途。