点击“假空投”链接可能导致钱苞授权被窃取、助记词泄露或资产瞬间转移;其通过伪造页面诱导连接钱苞、恶意签名请求授予无限权限、客服话术诱骗输入助记词、nft空投诱导交互及跨链桥伪装骗取深度授权五种方式实施攻击。
点击“假空投”链接可能导致钱苞授权被窃取、助记词泄露或资产瞬间转移。这类页面高度仿真,专为诱导用户完成危险操作而设计。
币圈加密货币主流交易平台官网注册地址推荐:
Binance币安:
欧易OKX:
一、伪造页面诱导连接钱苞
攻击者搭建与官方项目UI几乎一致的钓鱼站点,利用域名微小差异(如worldliberty-finance[.]com)制造信任假象,一旦用户点击链接并选择连接钱苞,即进入风险路径。
1、检查浏览器地址栏中URL拼写是否与项目官网完全一致,特别注意连字符、字母替换(如l与1、o与0)等隐蔽差异。
2、不通过社交媒体私信、群聊转发链接访问活动页面,一律手动输入已验证的官网域名。
3、在Chrome地址栏左侧查看SSL证书标识,未显示锁形图标或提示“不安全”的页面必须立即关闭。
二、恶意签名请求窃取无限授权
连接钱苞后,页面会立即弹出“验证身份”“领取资格”等名义的签名请求,实则调用approve函数授予攻击者对你所有ERC-20代币的无限转账权限。
1、在钱苞弹窗中点击“显示详情”,确认交易类型为“Personal Message”或“EIP-712”而非标准合约调用。
2、若签名内容包含“infinite”“unlimited”“allowance=ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff”等字段,必须拒绝签署。
3、使用Rabby钱苞或启用MetaMask Snaps插件,在签名前自动解析合约方法名,拦截含stake、lock、transferFrom等高危操作的交易。
三、客服话术诱导输入助记词
部分钓鱼流程嵌入虚假客服对话框,以“KYC失败”“账户冻结”为由,引导用户在钓鱼页填写12/24位助记词,直接交出钱苞控制权。
1、任何平台官方人员均不会以任何形式索要助记词,输入即等于资产清零。
2、遇到弹窗要求填写助记词,立即关闭页面并重启浏览器,勿尝试修改URL跳转。
3、在Telegram或Discord中收到带“客服”头像的私信,先比对官方频道置顶公告中的联系方式,再发起对话核实。
四、NFT空投作为诱饵触发交互
骗子向活跃地址批量空投劣质NFT,利用其名称含“Claim”“Reward”“Free”等关键词诱导点击,实际跳转至伪造申领门户。
1、在钱苞内将不明来源NFT设为隐藏,不执行任何Approve或Transfer操作。
2、使用Etherscan查询该NFT合约地址,若创建时间晚于项目官宣日期、无审计报告链接,判定为投毒攻击。
3、在DexScreener中检索同名代币,若无交易对、流动性为0或合约被标记“Honeypot”,立即终止后续动作。
五、跨链桥伪装骗取深度授权
假Stargate、假LayerZero等页面以“跨链领取空投”为由,要求用户连接钱苞并签署跨链授权,实则调用恶意合约将资产转出至混币器地址。
1、跨链操作前,核对目标链合约地址是否与项目官网公示的部署地址完全一致。
2、在签名弹窗中查看目标合约是否为知名审计机构(如OpenZeppelin、CertiK)报告中列出的地址。
3、若页面要求同时授权多个协议(如Uniswap + Aave + Compound),存在极高概率为组合式盗币脚本。
