写在前面的话
近段时间波场钱包被恶意多签的案例高发,在此之前,我们专门针对此类的诈骗方式做过警示,并分析了导致多签的几种场景。具体的可以查看《警惕 | 波场恶意更改权限骗局》和《假链接、假钱包骗局离我们有多远》这两篇文章。主要从假官网下载假钱包导致私钥助记词泄露被多签以及访问含有恶意代码的链接执行签名后被多签。所以我们再次提示用户不要使用搜索工具查找并使用钱包,也不要随意执行第三方不明来历的链接,尤其是一些验证码、增粉、买卡等平台的充值链接。
TokenPocket官网 : tokenpocket.pro 、 tpwallet.io
恶意授权特征
Approve即授权。它允许持有 Token 的用户,通过调用 Approve 方法,授权给指定账户一定额度,赋予该账户自由支配额度内 Token 的权力。如果授权给恶意账户,那么授权资产就会有极大风险。
通常我们接触的到恶意授权会使用链接的方式来“包装”,例如二维码识别后打开一个仿冒的转账界面链接,当完成转账后就会被恶意授权;还有类似于一些验证码、增粉、买卡等平台的链接,在充值过程中植入了恶意授权的代码在执行成功后就被执行了恶意授权,恶意授权的Token会被盗取。
如果现在恶意授权换一种新的执行方式,你还可以分辨吗?
新型恶意授权骗局
对方会主动联系你,声称可以解决你遇到的问题。例如你持有无法流通的Token,对方说可以通过十六进制的方式帮你处理,他们不会问你索取私钥助记词,也不会给链接让你访问和签名,下面是一个诈骗案例的过程。
骗子会声称拥有“黑科技”手段,可以帮助你解决问题,还会耐心的帮你查看相关的链上信息,最后细心的教导你如何操作,当填写完十六进制的字符并执行了转账操作,你授权的资产就会被对方通过恶意授权的方式盗取。
这里就要了解,像以太坊这类区块链进行转账、授权等操作,任何智能合约的交互都是可以直接通过这个十六进制来完成的。可以通过区块链浏览器查看每个操作中包含的十六进制的数据。
不同函数链上执行数据
为了便于区分,在这里展示普通转账和执行包含十六进制以及approve操作的链上执行数据区别。
' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
需要说明的是,以上的数据是在解析以后的展示方式,按照下图的选项可以查看原始提交的数据内容。
演示授权过程
0xeE9E75500741A5936D3884924749b972bF562935这是在BSC公链上新建的地址,使用这个地址作为“诱饵”来执行含有十六进制的转账。0x2f75b95C6B5dE369321e184469691A3FAf92aFC7 这个新建的BSC钱包地址作为模拟“恶意授权”的地址,利用工具得到其十六进制代码为:
0x395093510000000000000000000000002f75b95C6B5dE369321e184469691A3FAf92aFC70fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
0x55d398326f99059ff775485246999027b3197955设置为收款地址,数量设置0,高级模式中填入十六进制代码并完成转账。
转账完成也就意味着恶意授权的完成,通过链上的授权记录查看数据,在这里可以看到调用的时间,授权数量和授权的地址,其中地址就是我们上面C7结尾的模拟恶意授权地址。
安全风险提示
由上述案例和数据可以看出,授权执行是通过Data数据的方式发送并调用函数执行的操作,根本上还是使用私钥或助记词的权限对恶意代码进行签名的结果。所以任何主动联系并热心帮助你解决问题的人都可能会心怀鬼胎,请不要相信他们热情的服务,不要按照他们的要求来进行包含有十六进制字符的转账操作。诈骗者从来都是站在与我们资产安全对立面,所以一定要学习区块链知识、了解其工作原理利用掌握的安全和反欺诈知识来更好地保护资产安全。
