昨天,差点木进入马网站被盗取钱包全部本金的我,心有余伤的发了个推。
昨天翻盖睡不着,后决定写一篇去博客来详细解释被盗原理方法和骗子常用的解释。
的朋友,想像的朋友,推特的朋友,圈不和谐的朋友圈,不是围绕着网络3的三大平台。
一、行骗方法
1. twitter私信假冒项目方
自己的项目通过另外官方号宣传的评论,我们通过等方式获得项目可以获奖的方式,有资格通过获得新项目的获奖资格。
骗子用机器人追踪点赞或转发的所有用户,进行用户锁定。并将行骗的twitter小号的头像更改为项目方或者相应管理员头像,对参与项目的用户进行私信,通知 已经被项目方选中获得白名单,然后发送一个钓鱼网站,要求你进入后链接并授权钱包进行白名单地址登记。
点进这些骗子的twitter动态,都是转发项目方相关信息,只不过网站都是假冒的。这些伪装达到了以假乱真的程度,再加上用户正沉浸在中奖的喜悦下,从而大意进入木马网站进行钱包授权,最终不免钱包被血洗的结果。
最著名的案例则是年初的伪装Azuki项目方事件
2.discord和telegram 冒充项目方
telegram和discord是以加入频道或服务器的方式,进入项目方创建的群聊中,项目方的信息一般都发不在tg的置顶消息中或者dc的公告频道,但是由于成员的鱼龙混杂,导致骗子藏匿其中。 当你进入tg或者dc中后,顶着项目方头像的骗子会立刻私信 套路和twitter的私信一模一样,一个恭喜获奖的通知+钓鱼网站 。
我们进入dc和tg的目的就是获取白名单/ido/预售的权限,当你收到消息后,可能感性高于理性 心里想着 终于轮到我当天选之人了,终于可以不用熬夜抢公售 狠狠赚几E 然而结果确是感性大于理性 未加筛选的 轻松掉入骗子的陷阱 授权诈骗合约后 眼睁睁钱包 被掏空。
昨天的我就是进入dc后遭遇此种骗术,在钱包链接前瞬间清醒 吓出一身冷汗。
3.telegram 群内预售/ido抢发钓鱼网站
tg作为项目方发布和交流信息的主要平台 在项目方会在公布预售时间前的三分钟,频道中会异常热闹,大家都在焦急的等待并催促项目方放出预售链接,骗子此时发布假的预售网站链接 由于此时的fomo情绪达到顶点,大家都不甘人后,很多粗心的用户在情绪的感染下也不去仔细辨别 从而导致钱包授权后 财产损失
我的一个朋友是被此种骗术套路后损失2b差点退圈。
但是值得注意的是,现在很多项目方会提前10分钟全体禁言 并置顶官方链接 从而防止用户被骗。
4.其他骗术(不限于授权钱包)
- tg、dc私信 或短信 邮箱 宣传xx投资机构投资的百倍币项目+官网
- twitter 机器人 发布free mint nft 官网信息 并@你
- tg 拉你进金狗同名貔貅群 群里的k线和官网都是真的 只有合约是假的 并且群内90%都是托 疯狂诱导你购买
- 收到今天是CZ和V神 生日,网站交互就送 100B或者100E(手动狗头)
5.骗术总结
一句话概括 通过各种奖励,诱导你进入钓鱼网站!!!
千万不要打开不明网站 !
千万不要打开不明网站 !
千万不要打开不明网站 !
私信你发项目官网的 200%都是骗子 正常的白名单都会在 项目方官推 tg频道置顶 dc 公告频道 进行公布
只要别被一时的喜悦冲昏头脑,仔细对照项目方发布网站,哪怕一个字母不一样,都是钓鱼网站
退一万步讲,如果授权后,通过取消授权的方法,也可能挽回部分损失,具体情况在第三部分介绍。
二、钱包被盗原理
一句话解释:只要你的钱包approve(授权)了一个合约,不需要私钥理论上也可以把对应的钱全部转走。钓鱼合约能够对账号里面Token进行操作,而且一般是没有数量限制的。
注: approve方法是会被链上记录的,可以在etherscan.io中被查看到。
一个钱包approve授权木马合约的脸上记录如下:
追溯该转账记录的详细授权信息:
基本上metamask默认授权的时候是
ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
转换成数字,我们认识的就是 1.157920892373162 乘以 10 的 59 次方。基本上就可以理解为无限量转账了,也就是这个授权的操作,可以让这个合约无限量的操纵用户账号中的token。
黑客操纵一个可以控制这个合约方法的钱包地址,就发起合约转账方法,随后把钱转走。
为什么要approve?
我们在pancakeswap、uniswap上买卖token或者在项目方官网上mint nft 操作时,都需要进行approve操作。
以买卖token为例,无论是在以太链还是币安链,我们的交易都不是点对点交易,而是都需要去中心化交易所DEX的作为媒介,如bsc上的pancake和eth上的uniswap。
只有对swap进行approve操作后,swap才可以将你钱包中的授权token进行转移进入流动池,从而换取对应的等值代币。如果将钱包approve给swap 则无法买卖token。
而对木马合约进行授权后,会瞬间触发转账事件
正常的转账,转账方和合约执行的转账方应该是同一个人,而此时的转账的这笔交易,这两个不是同一个地址。推测应该是由一个可以执行钓鱼合约的钱包地址控制执行了合约,然后将我钱包洗劫一空。
所以以后一定要注意,不要随便给不知道的项目授权!!! 所以以后一定要注意,不要随便给不知道的项目授权!!! 所以以后一定要注意,不要随便给不知道的项目授权!!!
三、如何取消授权
既然讲了那么多,那么如何查看并取消授权,从而避免钱包资金被盗呢?
metamask 官方的技术支持中给出了几个网站可以进行查询并取消:
- Revoke (Ethereum mainnet)
- Unrekt (multiple networks)
- approved.zone (Ethereum mainnet)
- Cointool (multiple networks)
- beefy.finance (BSC/BNB Smart Chain).
如果大家对这些网站持有怀疑,那么可以在etherscan.io中取消授权,这个可是妥妥的官网。
可以看到,我的eth钱包没有任何授权,这就证明非常安全。
BSC链的只需要在 bscscan.com 进行相同的操作即可。
在BSC上的一个approve的撤销即成功!!! 多个按相同步骤连续操作即可!!!
四、写在最后
就在我构思这篇博客的时候,突然间收到了下面这条消息。
希望大家用过permint平台的,赶快按照第三部分的去进行取消授权操作,谨防意外损失。
在Web3的黑暗森林中,任何用户或平台都是猎物,黑客就像隐藏其中的猎人,永远要提高警惕,防止黑暗中的獠牙随时向你扑来。
最后,希望大家多关注我的twitter,以后会分享更加有趣和有深度的内容。