木星链 木星链
Ctrl+D收藏木星链

APP:多用户遭遇空投局,授权操作需谨慎

作者:

时间:1900/1/1 0:00:00

原文标题:《「高价」空投设盗币陷阱授权操作需谨慎》,作者凯尔

自从Uniswap、1inch、dydx等DeFi协议给交互用户发放空投奖励以来,链上用户们已经习惯了空投的存在,但一些来历不明的空投,可能会掏空用户的钱包。

9月10日,投资者阿飞遭遇了一起空投局。他发现钱包中出现了75万枚Zepe代币,钱包显示估值超过10万美元。阿飞以为是天降横财,当发现在去中心化交易所无法卖出后,他登陆代币同名网址并进行了授权交易,但随后他地址中的资产被转移一空。

社交网络中,还有多名用户自曝落入了同一陷阱,有人因此损失高达7万枚USDT。蜂巢财经查询Zepe合约接受代币的地址发现,其于近日转出了16.5万枚USDC以及13枚BNB,疑似赃款转移。

实际上,近期类似的空投局频发,许多用户都发现钱包地址中出现了大量的不明代币。区块链安全机构PeckShield告诉蜂巢财经,这些代币在常用的DEX中交易通常都会失败,页面会提示用户去它的官网兑换,而后用户在授权交易时,往往会授予智能合约转走账户资产的权限,导致资产被盗。

易纲:绿色转型就是鼓励大家多用清洁能源 少用化石能源:6月10日,中国人民银行行长易纲在第十三届陆家嘴论坛上表示,绿色转型就是鼓励大家多用清洁能源,少用化石能源。但问题是在现有技术条件下,化石能源便宜而且稳定,清洁能源贵而且尚不稳定,因为化石能源碳排放基本上没算成本。绿色转型的任务就是对碳排放加以限制,使碳排放的成本显性化,即要求排放者对增量的碳排放付出成本,同时对存量的碳排放权通过定价实现可交易,使减排者获得收益,也使得排放者付出适当成本,从而鼓励生产和消费向低碳方式转型。(财联社)[2021/6/10 23:26:30]

PeckShield提示,用户在进行链上协议交互时不要过度授权,同时应定期对不常用的Dapp取消授权,并注意防范欺诈者「换马甲」,以避免遭受资产损失。

dYdX给早期用户发放的空投开启申领,随着DYDX代币涨至10美元上方,空投所有者们都获得了可观的收益。就在dYdX带来的财富效应在社交网络发酵时,一个以空投作饵的陷阱也悄然设下。

受信息泄露事件影响 众多用户公开表态将对Ledger提起集体诉讼:12月21日,随着Ledger今年6月份被盗的客户信息在黑客网站被公开,已有很多Ledger用户公开表态,要对Ledger提起集体诉讼。而对此,Ledger则回应称,官方一直在与执法部门合作起诉黑客,并阻止一些者。(Finance Magnates)[2020/12/21 15:58:21]

两天后,投资者阿飞在社群中讲述了他不幸掉落陷阱的遭遇。9月10日,阿飞打开他的区块链钱包时,意外发现其中多了75万枚名为Zepe的代币,钱包显示这些代币价值超过10万美元。

毫无戒备的阿飞打开了代币关联的网站并连接了钱包。据其他用户描述,该代币无法在去中心化交易平台卖出,但代币关联网站提供了一个类似Swap的兑换页面,支持将Zepe.io兑换成BNB。阿飞称,他链接钱包、点了授权交易后,没有获得任何代币的同时,钱包中的数千枚CHESS代币反而被转走。发现代币丢失后,阿飞才意识到陷入局。

HDAO COO:NFT让实体投资更碎片化,让更多用户受益于DeFi:9月25日晚8点,ForTube联合创始人雷宇先生做客HDAO中文社区,与HDAO COO Ryan共同探讨DeFi行业的发展新趋势,以及NFT流动性挖矿等话题。雷宇表示,NFT资产目前主要分为线下真实世界产权和链上原生资产产权两类,他本人非常看好其发展,或将直接用资金参与HDAO流动性矿池挖矿。据Ryan介绍,HDAO已经从信誉良好的KOL开始,并与东南亚的第三方托管人和物业经理进行对接,推动实际资产作为创造NFT的抵押品。Ryan称,NFT将物理世界的资产上链,让实体投资更碎片化,让更多用户受益于DeFi。[2020/9/26]

Zepe.io的虚假兑换页面

本以为这波空投是一笔意外之财,没想到钱包却被掏空了。在社交网络中,多名用户也自曝落入了同一个空投陷阱,有人称被盗资产多达7万USDT。据统计,此次设局者广泛撒网,代币空投到BSC、HECO、Matic等多个区块链网络上的大量地址中,许多用户都反映收到了空投。

分析 | ZkSystems:与WhatsApp、Telegram相比,DAPP几乎没有得到许多用户:据bitcoinexchangeguide报道,根据ZkSystems使用来自stateofthedapps的数据进行的研究,与WhatsApp、Telegram相比,DAPP几乎没有得到许多用户。该公司首席执行官Diana Rees称,只有10%的基于以太坊的DAPP拥有普通用户,并且不断用于金融交易。zkSystems进行的研究涉及1812个以太坊DAPP。与其他平台上的DAPP相比,基于以太坊的似乎表现不佳。由EOS运营的DICE每天拥有近50万笔金融交易。此外,DappRadar前十名中几乎所有有着大量交易的DAPP都在Tron网络上运行。[2019/2/9]

据区块链安全机构Armors审查发现,该代币对应合约未做代码验证,且所有授权与转账事务都执行失败,而所有执行失败的备注中都要求用户到对应网站进行提取,一旦用户登陆网站进行钱包授权,代币就会被盗。

声音 | 央行货币金银局局长:央行数字货币多用于零售支付:据新浪财经报道,中国人民银行货币金银局局长王信表示,在中国,将CBDC用于零售支付可能更合理。王信称,央行数字货币替代实物现金,主要指央行数字货币多用于零售、小额支付,是对M0而不是对M1、M2的替代,并不是说实物现金很快就会消失,这是不可能的。我们鼓励各种支付方式的发展,但强调要尊重消费者在支付方式上的选择权,其中当然包括作为法定货币的现金。目前已出现商家里明明有人却拒收现金的情况,这会影响法定货币的正常流通,对此要加以打击。[2018/7/9]

蜂巢财经通过区块链浏览器查询设局者接收代币的地址发现,其于近日转出了16.5万枚USDC以及13枚BNB,疑似赃款转移。

实际上,近期出现的空投局不止一起。许多投资者都曾反映区块链钱包中出现大量来历不明的代币,这些代币的普遍特征是数目庞大,引人注目。如果用户在尝试卖出代币过程中授权合约,就可能给予发币方转移钱包资金的权限,进而损失资产。

而设局者在得手后,往往会选择在去中心化交易所混币,并转移到其他地址进行套现。受者在遭遇类似的局后,往往难以追回资金。

空投局不断演化?用户需谨慎授权合约

由于区块链是一个公开、透明的网络,所有用户的钱包地址虽然匿名,但完全公开在网络上,任何人都可以向其中发送代币。一般来说,接收代币并不会导致钱包被盗,而如果用户想要卖出该代币,就可能在其中某一步因授权资产转移权限或暴露私钥而被作恶者掏空钱包。

事实上,类似局早在2019年就曾出现。当时,在Telegram流行过一个空投OMG代币的术,子称钱包中有ETH和OMG的用户,可以按照钱包余额中ETH1:32、OMG1:0.3的比例领取OMG免费空投,许多人动了心。

当用户按照提示的步骤打开空投领取网站时,页面要求用户输入以太坊钱包地址和余额,这一步操作并不会导致资产被盗。但随后,页面会提示用户输入以太坊钱包的私钥,以便证明这个钱包归本人所有。页面还提示,「这是安全的,我们不会使用、存储或收集您的个人数据,没有人能够访问你的钱包。」结果,许多人在输入了私钥后,钱包里的资产很快被转移一空。很显然,这是一个彻头彻尾的局。

虚假空投网站要求用户输入私钥

如今,随着DeFi的发展,越来越多用户开始使用链上钱包,想要自己保管资产。老玩家已经知道「私钥暴露意味着不再拥有钱包的唯一控制权」的常识,因此,要求用户输入私钥的局已不再常见。然而,作恶者并没有消失,反而升级演化出多种术,让新老用户们防不胜防。

不久前,有部分用户遭遇了虚假钱包局。子首先会仿照用户常见的钱包制作一个伪去中心化的钱包,当用户下载并导入私钥后,就会泄露私钥信息。还有人在社群以高价收币为诱饵诱惑用户转账,当用户扫描其提供的钱包二维码时,会跳转至第三方网站,如果在该网站中发起转账并授权,就会导致账户被盗。

在多起地址资金被盗事件发生后,不少用户都已经有了防范意识,通常不会泄露私钥,在下载区块链钱包及交易所时,也会到官网进行下载。但由于新用户一批批进入区块链,他们往往欠缺基础技术知识,对代码合约不甚了解,在参与DeFi项目或想要卖出空投代币时,往往会授权陌生合约,如果作恶者在合约中做文章,用户极可能损失地址中的所有资产。

那么,子是如何通过合约转移用户资产的?

区块链安全机构PeckShield告诉蜂巢财经,代币授权操作主要分为两步。第一步是授权交易,这一步操作是为了告知ERC-20Token合约,将来目标合约地址可能会从授权钱包账户转走一定数量的代币;第二步是交易执行,当目标合约中的逻辑执行需要进行该代币交易时,合约会主动触发转走用户授权的代币。

以Zepe.io空投局为例,者会先创建代币并完成空投,并添加代币到DEX中增加流动性,使代币具有价值。一些用户看到账户中出现了「有价值」的空投币后,就想去DEX进行兑换,而这一步的授权交易通常都会失败,但失败后会有error提示用户去它的官网兑换,陷阱就在此时出现,当用户在指定页面授权交易后,其账户中的价值币就会被转走。

PeckShield表示,类似的空投局有一个主要的共同特征,即代币名字大多是网站地址,如ShibaDrop.io、AirStack.net、BNBw.me等,当用户接收到类似的代币,就需要加以防范。该安全机构提示,用户在进行链上协议交互时不要过度授权,比如授权代币交易时可以设置指定数量而不要设置最大数量。同时,用户应定期对不常用的Dapp取消授权,并注意防范欺诈者「换马甲」。

对于链上用户来说,区块链网络是一个相对自由但也充斥风险的世界。用户需切记掌管好私钥,避免因贪婪轻易授权陌生合约造成资产损失。记住,「天上不会掉馅饼」这句老话在区块链世界里同样适用。

标签:APP区块链DAPDAPP数字人民币千万别开通app区块链存证DappatozDappatoz

以太坊交易所热门资讯
LGO:Algorand基金会推出3亿美元基金,以支持DeFi创新

据Cryptoslate消息,9月11日,Algorand基金会宣布推出ViridisDeFi计划,这是一个1.5亿枚Algo的基金,用于支持Algorand网络上的DeFi创新.

1900/1/1 0:00:00
NAT:大平台的信任危机:OpenSea 高管利用「老鼠仓」获利?

撰文:0x13、0x21,律动BlockBeats你能想象「老鼠仓」居然会出现在NFT领域吗?前不久,Coinbase就因内控问题导致频频出现「老鼠仓」而为人诟病,如今.

1900/1/1 0:00:00
COI:CoinTiger币虎暂时关闭KIN充提币业务的公告

尊敬的用户:由于solana主网维护,CoinTiger币虎暂时关闭KIN充提币业务,恢复时间另行通知.

1900/1/1 0:00:00
BAN:一文了解Bankless DAO:社区协作的优秀样本

过去的两个月里每当谈论到社区协作的话题,我都会给大家讲BanklessDAO,推荐大家去围观、学习、参与。在我看来,仅仅成立4个多月的BanklessDAO已经是社区协作的一个优秀样本.

1900/1/1 0:00:00
AME:ZT创新板即将上线GAME

亲爱的ZT用户:ZT创新板即将上线GAME,并开启GAME/USDT交易对。具体上线时间如下:充值:已开启;交易:2021年9月13日17:00?;GAME项目简介:Gamestarter是一个.

1900/1/1 0:00:00
SPR:Spruce 获以太坊基金会资助以开发可通过以太坊账号登录第三方应用的技术

链闻消息,数字身份认证公司Spruce宣布在以太坊基金会和以太坊域名系统联合发起的招标中胜出,将开发通过以太坊账号登录第三方Web应用的技术.

1900/1/1 0:00:00