-
作者帖子
-
-
起因是看到推特上有人说自己要退圈了,留下了200多u的遗产给有缘人,还附上了钱包助记词。给我整一愣,把这辈子所有做过的好事都想了一个遍。嗯,确定了,自己应该不是王多鱼,没有一个出海做生意的二爷。
点开这个人的主页,0关注0粉丝,同样的推文内容@了很多个小伙伴,这么看起来,我确实不是天选之子,是被当成了秦始皇陵需要集资才能打开的小可爱。不过这种骗术我还是第一次见到,因为助记词都给了,也不是钓鱼链接,更不是社工类聊天,看起来天衣无缝,有点意思这个。
好奇心驱动,把钱包导入了下看看,里面还有700多u,天降横财这谁不上头。但是这时候我基本上肯定了这个是骗局,因为@这么多人,我也不是立马看到的,怎么可能没人动这笔“遗产”,不过我更想知道猫腻在哪。
钱包有很明显的特征,就是资产全部都是在tron链上,而且除了u以外没有别的什么代币。而且转出的时候有2个问题,一个是缺少trx当做gas,另外一个就是显示权限不足。检查钱包的交易记录发现,这几天陆陆续续的有不同的地址往这个钱包充值trx,但是都会被第一时间转走,这个可能就是问题所在。
网上调研了相关资料,这个应该属于钱包被恶意多签了,意思是即使你有私钥/助记词,也无法控制自己的资产。这种多签机制本意是为了让钱包更安全,允许多个用户共同管理和控制同一个数字资产钱包的访问和使用权限。尽管部分管理者丢失或泄露了私钥/助记词,钱包里的资产也不一定会受损,就像Tron钱包就是这种设计模式。
不过在黑客眼里,这个保护机制反而是另类的攻击模式,如果用户不注意,可能造成更大的损失。因为普通用户是没有多签的习惯的,新建账户以后,如果不特别设置,一旦私钥或者助记词泄露,黑客就会在不知不觉中, 把Owner/Active 权限授权给自己的钱包地址。
最终的结果就是,没有黑客的批准,任何资金都是只能充值,不能提现(只有黑客可以提现)。用户也许会继续往这个钱包里面充值,直到他发现自己无法提现的问题。所以,一般黑客多签后,短期都不会动这个钱包,就等着看后面会不会有继续的存款转入,俗称养鱼。
像我遇到的这个案例,其实是这个机制另外一种诈骗手法的实例。很多人拿到钱包,以为是天降横财,只是缺少一些trx作为提现的gas。由于gas费也不贵5u左右,所以就想赌一下,用5u gas换700多u的美金,最终结果就是不断的有人往里面打款。
最后,恶意多签被盗的事情还是挺多的,诈骗手法也是五花八门,下面给大家总结了几种常见的手法,大家需要提高警惕。
1、在下载钱包时,未能找到正确的途径,点击了电报、推特、网友发送的假官网链接,下载到假钱包,结果私钥/助记词泄露,钱包被恶意多签。
应对方法:谨记走官方渠道下载钱包app或者插件2、用户在一些出售低价加油卡、礼品卡、VPN 服务的钓鱼充值网站输入了私钥/助记词,结果失去自己钱包账户的控制权。
应对方法:只要是让在非法网站上输入私钥/助记词的,不管看起来价格多诱惑,都按照诈骗处理
3、用户在 TRON 上点击了钓鱼链接,签名了恶意的数据,随后钱包被恶意多签。这种钓鱼链接可能是以领取空投的方式出现,以小利诱之。还有就是下载不正规app,授予了相册访问权限,自己的钱包助记词或者二维码恰好是保存在相册里,就被盗取了私钥/助记词。
应对方法:除非正规项目,有官网、推特等,垃圾空投不仅不值钱,还不安全,真的没必要贪那么点。另外玩加密的手机最好的纯净点,别下载什么额外的APP,专机专用最好。
4、骗子把私钥/助记词提供给你,称他无法提取钱包账户里的资产,如果你能帮忙的话可以给你酬劳。我是秦始皇,打钱,这个看起来很low的套路一直都有人信,就像我遇到的这个钱包,2个月内有10笔转账进来,都被光速提走。另外即使手速够快也没用,因为我们根本就没有提币的权限。
应对方法:别相信自己是天选之子,加密世界我就没见过免费的“午餐”,转评赞抽奖+玩赚小游戏这应该算是成本最低的“午餐”
最后,作为案例,钱包助记词公布给大家,可以去看看转账记录感受下这种蜜罐钱包到底是什么样子,切记不要往里面转账。
钓鱼钱包助记词:oblige obscure drama eye drama fortune bundle cover burden pyramid what around
-
古老的骗术,但总还是有那么多人在上当
-
新手很容易中招
-
这种套路简直是捡钱
-
-
作者帖子