EDGE:安全提醒｜請警惕釣魚二維碼騙局_BADGER

近期有不少用戶反饋出現了假冒imToken收款的二維碼，掃碼后會跳轉至第三方網站，在騙子的誘導下于第三方網站發起轉賬并授權，最終導致資產丟失。

假收款二維碼騙局

如何區分真假轉賬頁面避免受騙？

請注意，掃描收款碼后應直接跳轉轉賬頁面，若掃碼后出現第三方DApp訪問提示，說明收款碼已被替換，掃碼后訪問的是詐騙網站。

區分真假轉賬頁面的另一個辦法，是查看頁面右上角的圖標。騙子制作的轉賬頁面右上角為「···」和「X」的圖標，imToken錢包內的原生轉賬頁面右上角是二維碼掃描的圖標。

DeFiBox安全提示：警惕CORN項目安全風險:DeFi門戶網站DeFiBox.com項目監測發現，Heco鏈上一個名為CORN的項目存在極高安全風險。用戶在參與該項目挖礦過程中一旦退出質押，本金將會被扣除99%。據項目白皮書顯示，該部分資金中94%將被默認捐贈給社區，5%的流動性資金將繼續挖礦，但該情況未在挖礦頁顯著位置告知用戶。另外需要注意的是，該項目未開源且未經任何安全機構審計通過。DeFiBox.com提醒廣大用戶警惕安全風險，遠離此類未開源未審計的高危項目。[2021/4/15 20:21:31]

左：騙子仿冒Tokenlon的授權頁面；右：真轉賬頁面

安全提醒：警惕Filecoin假充值攻擊:近日，慢霧安全團隊捕獲了一起針對交易所的 FIL 假充值攻擊事件，經分析發現，由于 Filecoin 鏈上的交易具有多種交易狀態和類型，交易所在處理用戶充值時如果沒有校驗全部相關字段則可能導致假充值攻擊成功，造成資金損失。

慢霧安全團隊提醒交易所及相關錢包方，Filecoin是一個新型的區塊鏈項目，具有較多新特性，需要做好風控管理。在處理Filecoin充值時，除了校驗To、Value等常規字段外，還需要校驗轉賬類型Method==0，以及執行結果ExitCode==0等，并等待足夠的確認數。[2020/10/26]

當然，在你無法確定收款方是否可信時，還有一個相對麻煩但更保險的辦法：讓對方直接提供收款錢包地址，在確認轉賬前認真核對收款地址和轉賬金額。

動態 | 安全提醒：谷歌搜索頁面顯示冒充Ledger錢包官網的釣魚網站:Ledger錢包是最受歡迎的比特幣硬件錢包之一，Bitcoin Exchange Guide團隊發現，Google搜索結果頁面上出現新的釣魚網站，詐騙者瞄準Ledger用戶，試圖在網上竊取用戶的私鑰。如果搜索Ledger官網（Ledger.com）的人不小心漏掉字母，輸入Ledger.co會顯示兩個可疑網站：付費廣告Leedger.info和克隆網站Ledger.co，后者試圖說服用戶輸入恢復種子（創建Ledger錢包時設置的12或24個單詞的助記詞），如果用戶將恢復種子輸入Ledger.co，那么錢幾乎肯定會被盜。第一個網站Leedger.info重定向到第二個欺詐性網站Ledger.co，可能是同一伙騙子。（Bitcoin Exchange Guide）[2019/11/20]

錢是如何被偷走的？

以上圖為例，在真頁面發起轉賬時，你看到的是USDT收付款地址、數額等詳情的轉賬確認頁，并不涉及其他內容。

而在假頁面發起轉賬時，你會收到一個轉賬授權的提醒。若點擊確認，騙子將獲取到轉走你錢包中對應代幣的權限。雖然假頁面中顯示的是USDT轉賬，但騙子實際騙取的是LON的轉賬權限。

Imtoken.godnest.club申請LON轉賬授權imtoken.godnest.club是騙子制作的假DApp名稱，一旦確認授權，騙子即可轉走該錢包地址中所有的LON。

地址的所有者擁有資產的轉賬權限，當我們將100LON的轉賬權限授權給其他地址，那么該其他地址就獲得了100LON的轉賬權限。當我們將代幣轉賬授權的數量設置為unlimited時，獲得授權的地址即可獲取該代幣最大額度的轉賬權限。

查看更多區塊鏈授權知識。

你的代幣轉賬權是否外泄及如何應對？

地址里的代幣轉賬權，除了你自己擁有還有誰？如果你也一頭霧水的話，可以查查看?

1、復制你的錢包地址，然后在imToken瀏覽頁面搜索打開「審查授權合約」。

2、在搜索框中粘貼錢包地址，點擊?進行查詢。ApprovedSpender即擁有代幣轉賬權的地址，ApprovedAmount下方顯示信息為該地址擁有轉賬權的代幣種類和數量。

在上圖最右側的截圖中，我們可以看到ApprovedSpender下方顯示有Uniswap、SushiSwap等。這是因為當我們在Uniswap、SushiSwap和Tokenlon等DEX中交易時需要先進行代幣轉賬授權，其目的是讓DEX獲得代幣的轉賬權限，方便完成后續的代幣兌換。

但如果你發現ApprovedSpender這一列有不明地址，并且你自身也不了解該地址的控制方，那么這很有可能是騙子地址。請立刻取消授權，同時，為了更好地保障資產安全，我們建議你在imToken中創建一個新錢包并將資產進行轉移。

資產轉移教程?

Tags：GERDGEEDGEDGEDOGGERBADGERledgitPledge

SOL