恶意授权是通过Approve操作给某个Token授权在一定数量范围内可以调用的权限,通常会盗取授权Token的所有余额。那么如果一个普通的地址没有执行过Approve操作是否也可以被调用呢?
近期越来越多的用户反馈,在自己的USDT转账列表中会看到有0USDT被转出的记录,如下图:
看到自己的地址被调用转出0资产,第一反应会认为自己可能会有被恶意授权的风险,于是打开权限检测工具或浏览器查看自己的授权记录。
在授权列表中发现了一条授权记录,但是在右侧发现【已取消】的提示,点击箭头查看授权和取消的记录。
授权变更记录中的内容是空白的,这个时候用户彻底陷入迷茫中。
别担心!让我们一起来还原这一操作。
1.打开波场浏览器,找到USDT合约地址,点击【合约】--【编写合约】--【transferFrom】
2.在这里分别填入发送地址、接收地址和数量,然后点击【Send】利用插件钱包完成签名后就可以看到底部绿色的【true】说明执行成功。如果这里的数量设置其他,那么会提示已发送的内容,但是因为对方并没有可以调用的数量,所以无法执行成功。这里消耗的TRX由对方来买单。
3.执行成功后,我们继续查看这个地址的授权信息,果然是又增加了一条空白的记录。
到这里,相信大家应该对这种问题发生的原因有了充分了解,说明任何地址都可以被拿来调用,只是这种方法是徒劳的,它并不会让我们的资产有任何的风险,但他们的最终目的还是想让你使用错误的地址来触发误转账来谋取利益。和模拟相同尾号地址诈骗属于互补的一种骗局方式。
这种调用在其他EVM链上同样适用,之前的高仿尾号地址诈骗方式是主动转入的方式,现在的这种调用是一个转出的方式,对于触发误操作的迷惑性会更强。骗子的骗术更新很快,大家要多注意防范。
针对大家比较疑惑的几个问题进行解读:
1.为什么我的资产会被调用。
这种是直接通过USDT的 TransferFrom 功能执行操作,任何地址都可以在这里被调用并在钱包中生成一个记录,在授权记录中生成一个空白的记录。
2.出现这种情况,我的资产还安全吗。
这种操作目的就是为了模拟从用户地址转出的记录,结合伪装地址的方式来诱导用户误操作进行转账,它并不能对你的资产产生任何风险,但是请一定要注意这种可能误操作的执行。
3.钱包为什么不采取措施。
这是一种新出现的辅助诈骗的方式,利用了正常的机制来执行的操作,所以暂时钱包中还没有进行太多优化,不过这个问题TokenPocket会在接下来进行优化。
