惡意授權是通過Approve操作給某個Token授權在一定數量範圍內可以調用的權限,通常會盜取授權Token的所有餘額。那麼如果一個普通的地址沒有執行過Approve操作是否也可以被調用呢?
近期越來越多的用戶反饋,在自己的USDT轉賬列表中會看到有0USDT被轉出的記錄,如下圖:
看到自己的地址被調用轉出0資產,第一反應會認爲自己可能會有被惡意授權的風險,於是打開權限檢測工具或瀏覽器查看自己的授權記錄。
在授權列表中發現了一條授權記錄,但是在右側發現【已取消】的提示,點擊箭頭查看授權和取消的記錄。
授權變更記錄中的內容是空白的,這個時候用戶徹底陷入迷茫中。
別擔心!讓我們一起來還原這一操作。
1.打開波場瀏覽器,找到USDT合約地址,點擊【合約】--【編寫合約】--【transferFrom】
2.在這裏分別填入發送地址、接收地址和數量,然後點擊【Send】利用插件錢包完成簽名後就可以看到底部綠色的【true】說明執行成功。如果這裏的數量設置其他,那麼會提示已發送的內容,但是因爲對方並沒有可以調用的數量,所以無法執行成功。這裏消耗的TRX由對方來買單。
3.執行成功後,我們繼續查看這個地址的授權信息,果然是又增加了一條空白的記錄。
到這裏,相信大家應該對這種問題發生的原因有了充分了解,說明任何地址都可以被拿來調用,只是這種方法是徒勞的,它並不會讓我們的資產有任何的風險,但他們的最終目的還是想讓你使用錯誤的地址來觸發誤轉賬來謀取利益。和模擬相同尾號地址詐騙屬於互補的一種騙局方式。
這種調用在其他EVM鏈上同樣適用,之前的高仿尾號地址詐騙方式是主動轉入的方式,現在的這種調用是一個轉出的方式,對於觸發誤操作的迷惑性會更強。騙子的騙術更新很快,大家要多注意防範。
針對大家比較疑惑的幾個問題進行解讀:
1.爲什麼我的資產會被調用。
這種是直接通過USDT的 TransferFrom 功能執行操作,任何地址都可以在這裏被調用並在錢包中生成一個記錄,在授權記錄中生成一個空白的記錄。
2.出現這種情況,我的資產還安全嗎。
這種操作目的就是爲了模擬從用戶地址轉出的記錄,結合僞裝地址的方式來誘導用戶誤操作進行轉賬,它並不能對你的資產產生任何風險,但是請一定要注意這種可能誤操作的執行。
3.錢包爲什麼不採取措施。
這是一種新出現的輔助詐騙的方式,利用了正常的機制來執行的操作,所以暫時錢包中還沒有進行太多優化,不過這個問題TokenPocket會在接下來進行優化。
