只要你通过二维码给骗子转过一次usdt,第二次转账成功后就能控制你的钱包,之后你账户的usdt就不翼而飞
主要原理是钱包的授权,通过调用以太坊合约漏洞,进而实现远程转账付款
二维码盗币事件
攻击者将预先准备好的恶意二维码发送给用户,诱导用户使用钱包扫描二维码进行转账,用户输入指定金额后确认转账交易(实际运行的是用户approve授权给攻击者USDT的过程),随后用户钱包大量USDT丢失,攻击者调用TransferFrom转走用户USDT
这种手法也被称之为approve钓鱼
获取空投盗币事件
攻击者伪造成交易平台或DeFi项目,通过媒体社群发起可明显薅羊毛的空投活动,诱导用户使用钱包扫描二维码领取空投,用户扫码后点击领取空投(其实也是用户approve授权给攻击者USDT的过程),随后受害者账户大量USDT被转走(攻击者调用TransferFrom转走用户USDT)
伪装客服骗取私钥
攻击者伪装成客户潜伏在社群中,当有用户出现转账或者提取收益求助时,攻击者及时联系用户协助其处理,通过耐心解答,发送伪装成去中心化网桥的工单系统,让用户输入助记词解决其交易异常,攻击者拿到私钥后盗取资产,拉黑用户
假钱包盗币事件
散户在搜索引擎上搜索钱包的下载地址,然后下载注册,当把资产充值进去的那一刻,就失去了资产的控制权,你下载的是假APP,麻烦你去应用市场下载,这么隐私的东西,你靠搜索引擎?
硬件钱包骗局
我们在京东,拼多多看见的硬件钱包,全部是被人改装过的,你买的时候其实是二手设备,商家在钱包设备里做了手脚后卖给你,过几个月就关闭店铺重新开,当你有大额资产储存时,瞬间清空
诈骗链接授权
进入 Web3 之后除了期盼暴富机会的降临,还有一件事情就是应对诈骗链接的泛滥,形形色色的骗局隐藏在scam链接之后,稍不注意就能让你瞬间归零,资产还存在,但已经不属于你了
助记词丢失
助记词保存的方式一般为物理保存,用笔记下来两份放两个地方,大多数散户嫌麻烦,只弄了一份,很多人把助记词截图到相册、或其他第三方储存软件上、网盘、相册、备忘录,很不安全,很多APP是可以读取你手机相册的,用苹果手机,苹果
另一种,骗子在社交软件上装小白,说自己不玩了,助记词公布出来里面有多少U,你用他的助记词恢复钱包,看见里面没有GAS费,于是充进去,发现U转不出来,这就是人家的套路,骗你手续费
应对:任何时候,任何平台,任何人的任何私信都要提高警惕,不要扫码,不要点链接,转账核对地址,保管好密钥,大部分人只有三瓜俩枣,但骗子多数情况都是来者不拒的,这也是连SEC的官推都难以幸免的原因之一