900383.png

什么是授权骗局?

近期诈骗案件频发,请大家务必提高警惕以防代币损失!今天这篇文章要剖析的授权骗局就是诈骗案件中的一个典型。

|朋友给了我一个收款码,我扫码只支付了 1U,然后剩下的币就被盗走了。

|有人告诉我可以通过 imToken 钱包参与 XXX 代币质押获得高额收益,我点击确认同意了,结果钱包里剩下的币在我不知道的情况下都被人转走了。

在没有你同意的情况下,骗子凭什么能转走你的代币?骗子凭借的是你不经意间给他的转账权限,当他诱骗你进行转账 / 质押的同时,把代币转账权限也骗到了手。

那么,代币转账权限到底是什么呢?举个例子。

支付宝里有个亲密付功能,当我对家人开通这个功能后,他们购买物品时就会直接通过我的账户进行扣款。即便家人不知道我的支付宝密码,也能使用我账户里的钱。

类似的,当你把代币转账权限给了「朋友」后,对方即便不知道你的助记词和支付密码,也能转走你钱包里的代币。而很多人由于不了解代币转账权限的含义,在给出这个权限时,往往不自知,所以这类骗局发生得很隐蔽,且越来越多人上当。

骗子通常会以这两种方式骗走你的转账权限:二维码收款和假借「质押挖矿」名义的资金盘。

方式一:二维码收款

骗子会发给你一个链接或假冒 imToken 收款的二维码,你扫码后会进入假冒的转账页。一旦你在该页面中进行了「转账」,骗子的计谋就得逞了。

请注意,扫码后你可以通过查看页面右上角的图标,区分真假转账页面和二维码。骗子制作的转账页面右上角为「···」和「X」的图标,imToken 钱包内的正常转账页面右上角是扫描二维码的图标。

安全提醒|请警惕代币授权骗局 - ZH - 01.png

左:骗子仿冒的 USDT 转账页面;右:真的 USDT 转账页面

此外,imToken 在最新版本中全新设计了签名体验,针对此类骗局采取了更强有力的措施。现在,当你签名此类操作时,系统会识别其为一笔授权交互,并检测到风险,提醒你请勿参与,以免造成代币损失。

方式二:假借「质押挖矿」名义的资金盘

骗子假冒 imToken 客服,告诉你通过钱包进入某个网站参与质押挖矿,存入 USDT 即可获得每天 1% 的收益,存入的代币数额越多,收益率越高。有些骗子甚至会告诉你无需存入代币,只需支付一点矿工费就可以获取稳定的收益。

安全提醒|请警惕代币授权骗局 - ZH - 02.png

当你被高额收益吸引,打开骗子网站参与其中时,通常你会看到一个「授权代币转账权限」的页面,在授权代币的额度这里写着无限额度或者 99999……一个接近无限大的数字。若你仍选择确认操作并签名,骗子就获得了转走你钱包中所有对应代币的权限。

所以,针对这类骗局,imToken 同样优化了签名体验。当你签名此类操作时,imToken 会提示存在风险,提醒你请勿参与,避免代币损失。

安全提醒|请警惕代币授权骗局 - ZH - 03.png

那么如何检查自己的代币转账权是否有外泄的情况,以及如果外泄了该怎么应对呢?

授权查询和取消

代币授权骗局主要发生在以太坊和波场上,因此本文提供 ETH 和 TRX 两类钱包的授权查询和取消的教程。

TRX 钱包

准备

确保钱包地址中至少有 30 个 TRX。若没有,你可以通过交易所提币至自己的钱包地址,或通过 App 内「帮助与反馈」联系我们。

手把手教程

1. 打开 imToken 内的 TRX 钱包,切换至浏览页面,并在搜索框中输入「浏览器」。点击「区块浏览器」-「TRX」即可进入「TRONSCAN」页面,选择要查询授权的钱包地址。

TRONSACN:可查询和处理 TRX 钱包授权的工具。如果你无法打开此页面,请切换网络后再尝试打开。

安全提醒|请警惕代币授权骗局 - ZH - 04.png

2. 进入 TRONSCAN 后点击右上角菜单栏,点击「English」-「简体中文」进行语言切换。

安全提醒|请警惕代币授权骗局 - ZH - 05.png

3. 将页面向下滑动,点击「授权列表」即可查看你授权的地址和数量。如果列表中有不明地址,并且你自身也不了解该地址的控制方,那么这很有可能是骗子地址,请点击右上角的放大图标,点击授权记录右侧的▼,点击「取消授权」并在弹窗页面中再次确认。

安全提醒|请警惕代币授权骗局 - ZH - 06.png

4. 取消授权后,请确认授权记录的状态为「已取消」且当前授权数量为「0」。

安全提醒|请警惕代币授权骗局 - ZH - 07.png

ETH 钱包

确保钱包地址中有至少 0.02 个 ETH。若没有,你可以通过交易所提币至自己的以太坊钱包地址。

注:提币时请选择 ETH(ERC20) 网络通道。

手把手教程

1. 打开 imToken 内的 ETH 钱包,切换至浏览页面。在搜索框中输入「审查授权合约」并点击即可进入「Etherscan」页面。

Etherscan:可查询和处理 ETH 钱包授权的工具。如果你的网络不稳定,点击「审查授权合约」后可能需要完成 1 次人机验证才可进行后续操作。

安全提醒|请警惕代币授权骗局 - ZH - 08.png

2. 点击「Connect to Web3」-「WalletConnect」-「imToken」授权连接。连接成功后,返回上一页,此时页面会显示「Connected」。

安全提醒|请警惕代币授权骗局 - ZH - 09.png

3. 将页面向下滑动,在 Approved Spender 和 Allowance 下方可查看你授权的地址和数量。

在下图第二张截图中,我们可以看到 Approved Spender 一栏显示有 Uniswap、SushiSwap 等。这是因为当我们在 DEX 中兑换时需要先进行代币转账授权,其目的是让 DEX 获得代币的转账权限,方便完成后续的代币兑换。

安全提醒|请警惕代币授权骗局 - ZH - 10.png

4. 但如果你发现 Approved Spender 这一列有不明地址,并且你自身也不了解该地址的控制方,那么这很有可能是骗子地址,请立刻取消授权。点击地址右侧的「Revoke」,在弹窗页面再次点击「Revoke」并确认取消授权。

取消授权的交互发出后点击「View your transaction」即可查看对应的状态。当 Status 显示为 Success 时,说明你已成功取消授权。

注:若 Status 显示为 Pending,耐心等待其变为 Success 即可。

安全提醒|请警惕代币授权骗局 - ZH - 11.png

温馨提示:如有任何问题,请通过 App 内「帮助与反馈」联系我们获取帮助。

最后

为了保障用户钱包安全、打造优质加密生态,imToken 致力于普及安全资讯并提供解决方案。

imToken 是一款有温度、有责任的区块链代币管理工具,有严格的安全审计和风控措施保障用户钱包安全,遍布 150 多个国家,超千万区块链爱好者的选择。

imToken 官方下载链接:https://token.im/download