反诈骗
1 次浏览
2 个内容
Hot
Latest
警惕“零金额”转账骗局
恶意授权是通过Approve操作给某个Token授权在一定数量范围内可以调用的权限,通常会盗取授权Token的所有余额。那么如果一个普通的地址没有执行过Approve操作是否也可以被调用呢?
近期越来越多的用户反馈,在自己的USDT转账列表中会看到有0USDT被转出的记录,如下图:
看到自己的地址被调用转出0资产,第一反应会认为自己可能会有被恶意授权的风险,于是打开权限检测工具或浏览器查看自己的授权记录。
在授权列表中发现了一条授权记录,但是在右侧发现【已取消】的提示,点击箭头查看授权和取消的记录。
授权变更记录中的内容是空白的,这个时候用户彻底陷入迷茫中。
别担心!让我们一起来还原这一操作。
1.打开波场浏览器,找到USDT合约地址,点击【合约】--【编写合约】--【transferFrom】
2.在这里分别填入发送地址、接收地址和数量,然后点击【Send】利用插件钱包完成签名后就可以看到底部绿色的【true】说明执行成功。如果这里的数量设置其他,那么会提示已发送的内容,但是因为对方并没有可以调用的数量,所以无法执行成功。这里消耗的TRX由对方来买单。
3.执行成功后,我们继续查看这个地址的授权信息,果然是又增加了一条空白的记录。
到这里,相信大家应该对这种问题发生的原因有了充分了解,说明任何地址都可以被拿来调用,只是这种方法是徒劳的,它并不会让我们的资产有任何的风险,但他们的最终目的还是想让你使用错误的地址来触发误转账来谋取利益。和模拟相同尾号地址诈骗属于互补的一种骗局方式。
这种调用在其他EVM链上同样适用,之前的高仿尾号地址诈骗方式是主动转入的方式,现在的这种调用是一个转出的方式,对于触发误操作的迷惑性会更强。骗子的骗术更新很快,大家要多注意防范。
针对大家比较疑惑的几个问题进行解读:
1.为什么我的资产会被调用。
这种是直接通过USDT的 TransferFrom 功能执行操作,任何地址都可以在这里被调用并在钱包中生成一个记录,在授权记录中生成一个空白的记录。
2.出现这种情况,我的资产还安全吗。
这种操作目的就是为了模拟从用户地址转出的记录,结合伪装地址的方式来诱导用户误操作进行转账,它并不能对你的资产产生任何风险,但是请一定要注意这种可能误操作的执行。
3.钱包为什么不采取措施。
这是一种新出现的辅助诈骗的方式,利用了正常的机制来执行的操作,所以暂时钱包中还没有进行太多优化,不过这个问题TokenPocket会在接下来进行优化。
#TokenPocket #Web3 #资产安全 #区块链骗局 #反诈骗
近期越来越多的用户反馈,在自己的USDT转账列表中会看到有0USDT被转出的记录,如下图:
看到自己的地址被调用转出0资产,第一反应会认为自己可能会有被恶意授权的风险,于是打开权限检测工具或浏览器查看自己的授权记录。
在授权列表中发现了一条授权记录,但是在右侧发现【已取消】的提示,点击箭头查看授权和取消的记录。
授权变更记录中的内容是空白的,这个时候用户彻底陷入迷茫中。
别担心!让我们一起来还原这一操作。
1.打开波场浏览器,找到USDT合约地址,点击【合约】--【编写合约】--【transferFrom】
2.在这里分别填入发送地址、接收地址和数量,然后点击【Send】利用插件钱包完成签名后就可以看到底部绿色的【true】说明执行成功。如果这里的数量设置其他,那么会提示已发送的内容,但是因为对方并没有可以调用的数量,所以无法执行成功。这里消耗的TRX由对方来买单。
3.执行成功后,我们继续查看这个地址的授权信息,果然是又增加了一条空白的记录。
到这里,相信大家应该对这种问题发生的原因有了充分了解,说明任何地址都可以被拿来调用,只是这种方法是徒劳的,它并不会让我们的资产有任何的风险,但他们的最终目的还是想让你使用错误的地址来触发误转账来谋取利益。和模拟相同尾号地址诈骗属于互补的一种骗局方式。
这种调用在其他EVM链上同样适用,之前的高仿尾号地址诈骗方式是主动转入的方式,现在的这种调用是一个转出的方式,对于触发误操作的迷惑性会更强。骗子的骗术更新很快,大家要多注意防范。
针对大家比较疑惑的几个问题进行解读:
1.为什么我的资产会被调用。
这种是直接通过USDT的 TransferFrom 功能执行操作,任何地址都可以在这里被调用并在钱包中生成一个记录,在授权记录中生成一个空白的记录。
2.出现这种情况,我的资产还安全吗。
这种操作目的就是为了模拟从用户地址转出的记录,结合伪装地址的方式来诱导用户误操作进行转账,它并不能对你的资产产生任何风险,但是请一定要注意这种可能误操作的执行。
3.钱包为什么不采取措施。
这是一种新出现的辅助诈骗的方式,利用了正常的机制来执行的操作,所以暂时钱包中还没有进行太多优化,不过这个问题TokenPocket会在接下来进行优化。
#TokenPocket #Web3 #资产安全 #区块链骗局 #反诈骗
假官网、假钱包骗局离我们有多远
区块链概念现在已经被更多人群所了解,其中基于区块链的数字钱包已成为人们了解和参与区块链生态的主要方式。人们已经习惯于中心化的数据处理方式,而这种思维性和习惯性都可能会给自己的资产安全带来巨大风险。如最基础的下载和使用一款正版的数字钱包就可能会成为新手上路中的“绊脚石”,因为假钱包网站和假钱包现在已经大量的出现在网络中。
本期文章将从概念阐述、用户使用习惯、思维方式分析;假网站、假钱包的识别和防范等方面进行总结。
什么是区块链
区块链是一种分布式账本技术,具有以下几个特点:
去中心化:区块链是由分布在网络上的节点共同维护和管理的,没有机构或个人控制和管理。这种去中心化的特点使得区块链更加安全、透明和公正。
不可篡改性:区块链上的每一笔数据都被记录在一个区块中,而这些区块都是通过加密算法相互链接起来的,因此一旦记录在区块链上的操作被确认,就不可能被篡改或删除,保证了数据的真实性和完整性。
透明性:由于区块链是公开的、去中心化的账本,每个参与者都可以在网络上查看所有执行记录,确保了数据的透明性和公正性。
高安全性:区块链采用了复杂的密码学算法来确保数据的安全性和隐私保护,同时去中心化的特点也使得区块链更加难以被攻击或篡改。
可编程性:区块链可以通过智能合约实现自动化的执行和操作,具有高度的可编程性,可以满足不同场景下的需求。
中心化和去中心化服务
中心化服务:
是指由一家或多家机构或个人掌控和管理的服务,这些机构或个人拥有决策权、管理权和控制权,用户需要向它们提供个人信息、信用评估等信息才能使用这些服务。中心化服务通常是由一些大型机构或公司提供,如社交媒体平台、电子商务平台、在线支付平台等。
去中心化服务:
去中心化服务是指在不需要机构或个人掌控和管理的情况下,通过分布式网络和协议来提供服务的一种形式。这些服务通常由分布式网络中的节点和用户协同完成,不依赖于机构的控制和管理。去中心化服务的典型应用是区块链技术领域。
去中心化更不容易遭受攻击和控制,它们具有更高的灵活性和可定制性。去中心化服务通常是透明的,用户可以实时地查看服务的状态和运行情况,从而获得更多的信任和支持。
中心化思维的风险
中心化思维是一种集中式的思维方式,会把安全控制和管理的重点放在机构或个人身上。相反,去中心化思维是一种分散式的思维方式,会把安全和可信度放在第一位,追求分布式的架构和自治,可以更加安全和可信。
如果使用中心化思维方式来使用去中心化自托管钱包,那么主观上会认为资产是在钱包中被保存和管理,只要不泄露自己的密码别人就无法控制自己的资产。所以在选择使用钱包的时候比较随意,使用搜索到的链接或他人发送的安装包安装,当使用假钱包后,就会导致自己导入或创建的助记词、私钥泄露,最终导致资产丢失。
区块链特有的匿名性和不可篡改性,链上执行成功后的结果就变得无法干涉,并且任何人都无法冻结盗取人的链上地址或资产。所以,去中心化自托管钱包的使用必须要通过官网或者安全统一的平台,例如App Store或Google Play,其他所有搜索平台中的结果都不可信。
假官网骗局
假网站的出现主要是因为欺诈分子利用互联网技术进行官网的模板和素材进行套用,使用户误认为他们是正规的钱包网站。他们还会利用网站排名优化等方式使网站在搜索引擎中提高可见度和排名,从而吸引更多的访问流量和潜在客户。假网站是用户下载假钱包的主要途径,所以诈骗分子会在假网站做足文章。以下是某主流搜索工具对关键词“TP钱包”的搜索结果。
如此庞大的假链接数据,用户访问使用其中任意一个假钱包,都会带来资产的损失。
假钱包骗局
假钱包是诈骗分子通过对apk或 ipa进行反编译,加入对钱包创建或导入的私钥、助记词数据上传功能,重新打包后分发到假网站中提供下载。一旦用户下载使用假钱包导入私钥、助记词等内容,这些数据会自动同步到诈骗分子服务器中,从而盗取用户资产或对用户资产进行监控,最终导致用户的资产损失。以下是假网站中提供的假钱包安装后多客户端的展示。
正版的安卓钱包无论是官网版或Google Play版只能在钱包中存在一个客户端,所以如果发现手机中可以多个客户端共存,那么说明是遇到了假钱包。
正版的iOS钱包,只能通过App Store平台下载,请核对好钱包名称:TP Wallet,开发者:【TP Global Ltd】。
钱包版本号可以在官网的下载界面中查看,如果有任何高于官方版本的客户端,那么肯定会是假钱包,极个别会有如1.3.7版本的假钱包,这些钱包的验证可以通过安装包哈希值验证教程来验证。
如何避免假官网和假钱包
正版钱包的使用需要通过官网:www.tokenpocket.pro 和 www.tpwallet.io ,或通过App Store或Google Play中下载。不要使用搜索平台所提供的网站和安装包,也不要相信任何主动私聊你并发送假链接或假钱包安装包的人。
在使用正版钱包的前提下,做好私钥助记词的离线备份和保管,做好授权防护,不要随意使用第三方来路不明的链接和授权,转账过程中要对收款地址和额度进行认真核对。除此之外,TokenPocket还支持冷钱包、多签钱包和硬件钱包,适用于不同场景,都可以让资产得到更好的保护。
资产安全的几种因素
在使用去中心化自托管钱包时,影响资产安全的风险主要集中在以下三种途径:
第一,私钥助记词泄露问题。例如使用假钱包、假客服诱导骗取、参与钓鱼网站、个人保管问题(将私钥、助记词联网存放,如聊天工具收藏夹,相册,云端的网盘等渠道),这些都是有可能会引起泄露问题发生;
第二,恶意授权类的问题(验证码网站、购买礼品卡、虚假活动链接、虚假空投、二维码扫码等近百种骗局);
第三,“零金额”、“相同地址尾号”等比较“低级”的骗局,利用粗心大意复制错误的收款地址并进行转账。
所以在日常使用中,我们根据上述风险因素进行相关知识的补充和学习,认真查看好钱包里出现的每一个提示信息,增强反诈骗意识才可以让自己的资产有更好的安全保证。
#Web3 #TokenPocket #资产安全 #反诈骗 #新手上路
本期文章将从概念阐述、用户使用习惯、思维方式分析;假网站、假钱包的识别和防范等方面进行总结。
什么是区块链
区块链是一种分布式账本技术,具有以下几个特点:
去中心化:区块链是由分布在网络上的节点共同维护和管理的,没有机构或个人控制和管理。这种去中心化的特点使得区块链更加安全、透明和公正。
不可篡改性:区块链上的每一笔数据都被记录在一个区块中,而这些区块都是通过加密算法相互链接起来的,因此一旦记录在区块链上的操作被确认,就不可能被篡改或删除,保证了数据的真实性和完整性。
透明性:由于区块链是公开的、去中心化的账本,每个参与者都可以在网络上查看所有执行记录,确保了数据的透明性和公正性。
高安全性:区块链采用了复杂的密码学算法来确保数据的安全性和隐私保护,同时去中心化的特点也使得区块链更加难以被攻击或篡改。
可编程性:区块链可以通过智能合约实现自动化的执行和操作,具有高度的可编程性,可以满足不同场景下的需求。
中心化和去中心化服务
中心化服务:
是指由一家或多家机构或个人掌控和管理的服务,这些机构或个人拥有决策权、管理权和控制权,用户需要向它们提供个人信息、信用评估等信息才能使用这些服务。中心化服务通常是由一些大型机构或公司提供,如社交媒体平台、电子商务平台、在线支付平台等。
去中心化服务:
去中心化服务是指在不需要机构或个人掌控和管理的情况下,通过分布式网络和协议来提供服务的一种形式。这些服务通常由分布式网络中的节点和用户协同完成,不依赖于机构的控制和管理。去中心化服务的典型应用是区块链技术领域。
去中心化更不容易遭受攻击和控制,它们具有更高的灵活性和可定制性。去中心化服务通常是透明的,用户可以实时地查看服务的状态和运行情况,从而获得更多的信任和支持。
中心化思维的风险
中心化思维是一种集中式的思维方式,会把安全控制和管理的重点放在机构或个人身上。相反,去中心化思维是一种分散式的思维方式,会把安全和可信度放在第一位,追求分布式的架构和自治,可以更加安全和可信。
如果使用中心化思维方式来使用去中心化自托管钱包,那么主观上会认为资产是在钱包中被保存和管理,只要不泄露自己的密码别人就无法控制自己的资产。所以在选择使用钱包的时候比较随意,使用搜索到的链接或他人发送的安装包安装,当使用假钱包后,就会导致自己导入或创建的助记词、私钥泄露,最终导致资产丢失。
区块链特有的匿名性和不可篡改性,链上执行成功后的结果就变得无法干涉,并且任何人都无法冻结盗取人的链上地址或资产。所以,去中心化自托管钱包的使用必须要通过官网或者安全统一的平台,例如App Store或Google Play,其他所有搜索平台中的结果都不可信。
假官网骗局
假网站的出现主要是因为欺诈分子利用互联网技术进行官网的模板和素材进行套用,使用户误认为他们是正规的钱包网站。他们还会利用网站排名优化等方式使网站在搜索引擎中提高可见度和排名,从而吸引更多的访问流量和潜在客户。假网站是用户下载假钱包的主要途径,所以诈骗分子会在假网站做足文章。以下是某主流搜索工具对关键词“TP钱包”的搜索结果。
如此庞大的假链接数据,用户访问使用其中任意一个假钱包,都会带来资产的损失。
假钱包骗局
假钱包是诈骗分子通过对apk或 ipa进行反编译,加入对钱包创建或导入的私钥、助记词数据上传功能,重新打包后分发到假网站中提供下载。一旦用户下载使用假钱包导入私钥、助记词等内容,这些数据会自动同步到诈骗分子服务器中,从而盗取用户资产或对用户资产进行监控,最终导致用户的资产损失。以下是假网站中提供的假钱包安装后多客户端的展示。
正版的安卓钱包无论是官网版或Google Play版只能在钱包中存在一个客户端,所以如果发现手机中可以多个客户端共存,那么说明是遇到了假钱包。
正版的iOS钱包,只能通过App Store平台下载,请核对好钱包名称:TP Wallet,开发者:【TP Global Ltd】。
钱包版本号可以在官网的下载界面中查看,如果有任何高于官方版本的客户端,那么肯定会是假钱包,极个别会有如1.3.7版本的假钱包,这些钱包的验证可以通过安装包哈希值验证教程来验证。
如何避免假官网和假钱包
正版钱包的使用需要通过官网:www.tokenpocket.pro 和 www.tpwallet.io ,或通过App Store或Google Play中下载。不要使用搜索平台所提供的网站和安装包,也不要相信任何主动私聊你并发送假链接或假钱包安装包的人。
在使用正版钱包的前提下,做好私钥助记词的离线备份和保管,做好授权防护,不要随意使用第三方来路不明的链接和授权,转账过程中要对收款地址和额度进行认真核对。除此之外,TokenPocket还支持冷钱包、多签钱包和硬件钱包,适用于不同场景,都可以让资产得到更好的保护。
资产安全的几种因素
在使用去中心化自托管钱包时,影响资产安全的风险主要集中在以下三种途径:
第一,私钥助记词泄露问题。例如使用假钱包、假客服诱导骗取、参与钓鱼网站、个人保管问题(将私钥、助记词联网存放,如聊天工具收藏夹,相册,云端的网盘等渠道),这些都是有可能会引起泄露问题发生;
第二,恶意授权类的问题(验证码网站、购买礼品卡、虚假活动链接、虚假空投、二维码扫码等近百种骗局);
第三,“零金额”、“相同地址尾号”等比较“低级”的骗局,利用粗心大意复制错误的收款地址并进行转账。
所以在日常使用中,我们根据上述风险因素进行相关知识的补充和学习,认真查看好钱包里出现的每一个提示信息,增强反诈骗意识才可以让自己的资产有更好的安全保证。
#Web3 #TokenPocket #资产安全 #反诈骗 #新手上路
