寫在前面的話
近段時間波場錢包被惡意多籤的案例高發,在此之前,我們專門針對此類的詐騙方式做過警示,並分析了導致多籤的幾種場景。具體的可以查看《警惕 | 波場惡意更改權限騙局》和《假鏈接、假錢包騙局離我們有多遠》這兩篇文章。主要從假官網下載假錢包導致私鑰助記詞泄露被多籤以及訪問含有惡意代碼的鏈接執行簽名後被多籤。所以我們再次提示用戶不要使用搜索工具查找並使用錢包,也不要隨意執行第三方不明來歷的鏈接,尤其是一些驗證碼、增粉、買卡等平臺的充值鏈接。
TokenPocket官網 : tokenpocket.pro 、 tpwallet.io
惡意授權特徵
Approve即授權。它允許持有 Token 的用戶,通過調用 Approve 方法,授權給指定賬戶一定額度,賦予該賬戶自由支配額度內 Token 的權力。如果授權給惡意賬戶,那麼授權資產就會有極大風險。
通常我們接觸的到惡意授權會使用鏈接的方式來“包裝”,例如二維碼識別後打開一個仿冒的轉賬界面鏈接,當完成轉賬後就會被惡意授權;還有類似於一些驗證碼、增粉、買卡等平臺的鏈接,在充值過程中植入了惡意授權的代碼在執行成功後就被執行了惡意授權,惡意授權的Token會被盜取。
如果現在惡意授權換一種新的執行方式,你還可以分辨嗎?
新型惡意授權騙局
對方會主動聯繫你,聲稱可以解決你遇到的問題。例如你持有無法流通的Token,對方說可以通過十六進制的方式幫你處理,他們不會問你索取私鑰助記詞,也不會給鏈接讓你訪問和簽名,下面是一個詐騙案例的過程。
騙子會聲稱擁有“黑科技”手段,可以幫助你解決問題,還會耐心的幫你查看相關的鏈上信息,最後細心的教導你如何操作,當填寫完十六進制的字符並執行了轉賬操作,你授權的資產就會被對方通過惡意授權的方式盜取。
這裏就要了解,像以太坊這類區塊鏈進行轉賬、授權等操作,任何智能合約的交互都是可以直接通過這個十六進制來完成的。可以通過區塊鏈瀏覽器查看每個操作中包含的十六進制的數據。
不同函數鏈上執行數據
爲了便於區分,在這裏展示普通轉賬和執行包含十六進制以及approve操作的鏈上執行數據區別。
' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
需要說明的是,以上的數據是在解析以後的展示方式,按照下圖的選項可以查看原始提交的數據內容。
演示授權過程
0xeE9E75500741A5936D3884924749b972bF562935這是在BSC公鏈上新建的地址,使用這個地址作爲“誘餌”來執行含有十六進制的轉賬。0x2f75b95C6B5dE369321e184469691A3FAf92aFC7 這個新建的BSC錢包地址作爲模擬“惡意授權”的地址,利用工具得到其十六進制代碼爲:
0x395093510000000000000000000000002f75b95C6B5dE369321e184469691A3FAf92aFC70fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
0x55d398326f99059ff775485246999027b3197955設置爲收款地址,數量設置0,高級模式中填入十六進制代碼並完成轉賬。
轉賬完成也就意味着惡意授權的完成,通過鏈上的授權記錄查看數據,在這裏可以看到調用的時間,授權數量和授權的地址,其中地址就是我們上面C7結尾的模擬惡意授權地址。
安全風險提示
由上述案例和數據可以看出,授權執行是通過Data數據的方式發送並調用函數執行的操作,根本上還是使用私鑰或助記詞的權限對惡意代碼進行簽名的結果。所以任何主動聯繫並熱心幫助你解決問題的人都可能會心懷鬼胎,請不要相信他們熱情的服務,不要按照他們的要求來進行包含有十六進制字符的轉賬操作。詐騙者從來都是站在與我們資產安全對立面,所以一定要學習區塊鏈知識、瞭解其工作原理利用掌握的安全和反欺詐知識來更好地保護資產安全。
