“领到巨额代币”别以为是授权发财的骗局“自我保护是关键”

自Uniswap、1inch、dydx等DeFi协议向交互用户发放空投奖励以来，链上用户已经习惯了空投的存在，但一些来路不明的空投可能会掏空用户的钱包。

9月10日usdt的骗局，投资人阿飞遭遇空投骗局。 他在钱包中发现了 750,000 个 Zepe 代币，显示其估值超过 100,000 美元。 阿飞觉得是意外之财。 当他发现在去中心化交易所卖不出去时，他就去同名网站授权交易，但随后他地址里的资产就全部转移了。

在加密货币社区，不少用户透露自己掉进了同样的陷阱，有的损失高达70,000 USDT。 《蜂巢财经》查询Zepe合约收币地址发现，其近期转账16.5万个USDC和13个BNB，疑似转账赃款。

事实上，近期类似的空投骗局屡有发生，不少用户在自己的钱包地址中发现了大量不明代币。 区块链安全机构PeckShield告诉蜂巢财经，这些代币在常用的DEX中交易通常会失败，页面会提示用户去其官网兑换，然后在用户授权交易时，往往会授予智能合约“转移账户资产”，导致资产被盗。

PeckShield 提醒用户在与链上协议交互时不要过度授权。 同时，定期取消对不常用Dapp的授权，注意防止骗子“换马甲”，避免资产流失。

Zepe空投诈骗多名用户钱包被清空

9月8日，去中心化衍生品协议dYdX开始申请空投给早期用户。 随着DYDX代币升至10美元以上，空投持有者获得了可观的收益。 就在dYdX带来的财富效应在社区发酵的时候，一个以空投为诱饵的圈套悄然布下。

两天后，投资人阿飞向社区讲述了自己落入圈套的不幸经历。 9月10日，阿飞打开自己的区块链钱包，无意中发现里面多了75万枚Zepe代币，钱包显示这些代币价值超过10万美元。

毫无戒心的阿飞打开了与代币关联的网站，并连接了钱包。 据其他用户反映，代币无法在去中心化交易平台上出售，但代币相关网站提供了类似Swap的兑换页面，支持将Zepe.io兑换成BNB。 阿飞说，他绑定钱包并下单授权交易后，并没有得到任何代币，反而钱包里的几千个CHESS代币被转走了。 阿飞发现信物不见了，才意识到自己落入了骗局。

Zepe.io 的虚假交易页面

本以为这波空投是一笔意外之财，没想到钱包被掏空了。 此外，多位用户还透露自己也落入了同一个空投陷阱，有用户称被盗资产高达70,000 USDT。 据统计，策划者此次大撒网，向BSC、HECO、Matic等多个区块链网络的大量地址空投了代币，不少用户反映收到了空投。

经区块链安全机构Armors审核，该代币对应合约未经过代码验证，所有授权转账交易均未能执行，所有执行失败提示需用户前往相应网站提取. 一旦用户登录到网站授权钱包，令牌将被盗。

蜂巢财经使用区块链浏览器查询收币人地址，发现其近期转账16.5万个USDC和13个BNB，涉嫌转账赃款。

事实上，最近发生的空投骗局不止一件。 许多投资者反映，区块链钱包中存在大量来历不明的代币。 这些代币的普遍特点是大而醒目。 如果用户在尝试出售代币时授权合约，它可能会授予代币发行者转移钱包资金的权限，从而造成资产损失。

setter成功后，往往会选择在去中心化交易所混币，转入其他地址套现。 受害人在遇到类似骗局后，往往难以追回资金。

空投骗局不断演变，用户授权合约需谨慎

由于区块链是一个公开透明的网络，虽然所有用户的钱包地址都是匿名的，但在网络上是完全公开的，任何人都可以向其发送代币。 一般来说，接收代币不会导致钱包被盗，而如果用户想要出售代币，则可能会在其中一个步骤中通过授权资产转移权限或暴露私钥等方式将钱包清空。

其实类似的骗局早在2019年就出现了，当时Telegram上流行一种空投OMG代币骗局。 骗子声称，用户钱包中有ETH和OMG的用户，可以按照钱包余额中ETH 1:32和OMG 1:0.3的比例免费获得OMG空投。 很多人都心动了。

当用户按照提示步骤打开空投领取网站时，页面要求用户输入以太坊钱包地址和余额，不会导致资产被盗。 但是随后，页面会提示用户输入以太坊钱包的私钥，以证明钱包是自己的。 该页面还提示，“这是安全的，我们不会使用、存储或收集你的个人信息（如私钥），任何人都无法访问你的钱包。” 结果，在很多人输入私钥后，钱包的资产很快就被移除了。 显然，这是一个彻头彻尾的骗局。

假空投网站要求用户输入私钥

如今随着DeFi的发展，越来越多的用户开始使用链上钱包，想要自己保管资产。 资深玩家已经知道“私钥暴露意味着他们不再是钱包的唯一控制权”的常识。 因此，要求用户输入私钥的骗局不再常见。 然而作案者并没有消失，反而升级进化出多种骗术，让新老用户防不胜防。

不久前，一些用户遇到了假钱包骗局。 诈骗者首先会模仿用户的普通钱包创建一个伪去中心化钱包。 当用户下载并导入私钥时，私钥信息将被泄露。 社区中也有人高价购买代币作为诱饵，引诱用户转账。 当用户扫描用户提供的二维钱包时，会跳转到第三方网站。 被盗。

在经历了多起地址资金被盗事件后，很多用户已经有了防范意识，通常不会泄露自己的私钥。 下载区块链钱包和交易所时，也会去官网下载。 但是usdt的骗局，随着新用户批量进入区块链，往往缺乏基础技术知识，对代码合约了解不多。 在参与 DeFi 项目或想出售空投代币时，往往会授权不熟悉的合约。 如果在合约上做文章，用户很可能会失去地址中的所有资产。

那么，骗子是如何通过合约转移用户资产的呢？

区块链安全机构PeckShield告诉蜂巢财经，通证授权操作主要分为两步。 第一步是授权交易。 这一步是为了通知ERC-20代币合约目标合约地址未来可能会从授权钱包账户中转出一定数量的代币； 第二步是交易执行。 当目标合约地址逻辑执行需要代币交易时，合约会主动触发用户授权代币的转移。

以Zepe.io空投骗局为例，骗子会先创建代币并完成空投，然后将代币添加到DEX中，增加流动性，让代币变得有价值。 一些用户在看到自己账户中“有价值”的空投币后，想去DEX兑换。 但是这一步的授权交易通常会失败，但失败后会出现错误提示用户到其官网进行兑换。 陷阱就在这个时候，当用户在指定页面授权交易时，账户中有价值的代币就会被转走。

PeckShield表示，类似的空投骗局有一个主要的共同特点，即代币名称多为网站地址，如ShibaDrop.io、AirStack.net、BNBw.me等，用户在收到类似代币时，需要采取防范措施 。 安全机构提醒用户在与链上协议交互时不要过度授权。 例如，在授权代币交易时，可以设置一个指定的数量而不是最大数量。 同时，用户应定期取消对不常用Dapp的授权，注意防止骗子“换马甲”。

对于链上用户来说，区块链网络是一个相对自由但充满风险的世界。 用户需切记妥善保管好私钥，以免因贪婪和轻易授权陌生合约而造成资产损失。 请记住，“天上没有馅饼”这句老话在区块链世界也适用。

（以上内容经合作方火星财经授权摘抄转载，原文链接|来源：蜂巢财经）

鼓励