“天价”空投设窃取陷阱 授权操作需谨慎

自Uniswap、1inch、dydx等DeFi协议向交互用户发放空投奖励以来，链上用户已经习惯了空投的存在，但一些来路不明的空投可能会掏空用户的钱包。

9月10日，投资人阿飞遭遇空投骗局。 他在钱包中发现了 750,000 个 Zepe 代币，显示其估值超过 100,000 美元。 阿飞觉得是意外之财。 当他发现在去中心化交易所卖不出去时，他登录了同名代币网站并授权交易，但随后地址中的资产全部转移。

在社交网络上，不少用户也透露自己也落入了同样的陷阱，有的损失高达70,000 USDT。 蜂巢财经查询Zepe合约收币地址发现，其近期转账16.5万个USDC和13个BNB，疑似转账赃款。

事实上，近期类似的空投骗局屡有发生，不少用户在自己的钱包地址中发现了大量不明代币。 区块链安全机构PeckShield告诉蜂巢财经，这些代币在常用的DEX中交易通常会失败，页面会提示用户去其官网兑换，然后在用户授权交易时，往往会授权转移账户资产的智能合约。 权限，导致资产被盗。

PeckShield 提醒用户在与链上协议交互时不要过度授权。 同时，定期取消对不常用Dapp的授权，注意防止骗子“换马甲”，避免资产流失。

多位用户遭遇Zepe空投诈骗，钱包被掏空

9月8日，去中心化衍生品协议dYdX开启了向早期用户发放空投的申请。 随着DYDX代币升至10美元以上，空投持有者获得了可观的收益。 就在dYdX带来的财富效应在社交网络上发酵之际，一个以空投为诱饵的圈套悄然布下。

两天后，投资人阿飞向社区讲述了自己落入圈套的不幸经历。 9月10日，阿飞打开自己的区块链钱包，无意中发现里面多了75万个名为Zepe的代币。 钱包显示这些代币价值超过10万美元。

毫无戒心的阿飞打开了与代币关联的网站，并连接了钱包。 据其他用户反映imtoken钱包里的usdt被盗，代币无法在去中心化交易平台上出售，但代币相关网站提供了类似Swap的兑换页面，支持将Zepe.io兑换成BNB。 阿飞说，他绑定钱包并下单授权交易后，并没有得到任何代币，反而钱包里的几千个CHESS代币被转走了。 阿飞发现信物不见了，才意识到自己落入了骗局。

Zepe.io 的虚假交易页面

本以为这波空投是一笔意外之财，没想到钱包被掏空了。 在社交网络上，多名用户也爆料自己落入了同一个空投陷阱，有人称被盗资产达70,000 USDT。 据统计，策划者此次大撒网，将代币空投到BSC、HECO、Matic等多个区块链网络的大量地址，不少用户反映收到了空投。

经区块链安全机构Armors审核，代币合约对应的代码未通过验证，所有授权转账交易均未能执行，所有执行失败提示需用户前往相应网站提取. 一旦用户登录到网站授权钱包，令牌将被盗。

蜂巢财经通过区块链浏览器查询收币人地址，发现其近期转账16.5万个USDC和13个BNB，疑似转账赃款。

事实上，最近发生的空投骗局不止一件。 许多投资者反映，区块链钱包中存在大量来历不明的代币。 这些代币的普遍特点是大而醒目。 如果用户在尝试出售代币时授权合约，它可能会授予代币发行者转移钱包资金的权限，从而造成资产损失。

setter成功后，往往会选择在去中心化交易所混币，转入其他地址套现。 受害人在遇到类似骗局后，往往难以追回资金。

空投骗局不断演变，用户授权合约需谨慎

由于区块链是一个公开透明的网络，虽然所有用户的钱包地址都是匿名的，但在网络上是完全公开的，任何人都可以向其发送代币。 一般来说，接收代币不会导致钱包被盗，而如果用户想要出售代币，则可能会在其中一个步骤中通过授权资产转移权限或暴露私钥等方式将钱包清空。

其实类似的骗局早在2019年就出现了，当时Telegram上流行一种空投OMG代币骗局。 骗子声称，用户钱包中有ETH和OMG的用户，可以按照钱包余额中ETH 1:32和OMG 1:0.3的比例免费获得OMG空投。 很多人都心动了。

当用户按照提示步骤打开空投领取网站时，页面要求用户输入以太坊钱包地址和余额，不会导致资产被盗。 但是随后，页面会提示用户输入以太坊钱包的私钥，以证明钱包是自己的。 该页面还提示，“这是安全的，我们不会使用、存储或收集你的个人数据（如私钥），任何人都无法访问你的钱包。” 结果，在很多人输入私钥后，钱包里的资产很快就被转移了。 显然，这是一个彻头彻尾的骗局。

假空投网站要求用户输入私钥

如今随着DeFi的发展，越来越多的用户开始使用链上钱包，想要自己保管资产。 资深玩家已经知道“私钥暴露意味着他们不再是钱包的唯一控制权”的常识。 因此，要求用户输入私钥的骗局不再常见。 然而作案者并没有消失，反而升级进化出多种骗术，让新老用户防不胜防。

不久前imtoken钱包里的usdt被盗，一些用户遇到了假钱包骗局。 诈骗者首先会模仿用户的普通钱包创建一个伪去中心化钱包。 当用户下载并导入私钥时，私钥信息将被泄露。 社区中也有人以高价币为诱饵，引诱用户转账。 当用户扫描他们提供的钱包二维码时，会跳转到第三方网站。 如果在本网站发起并授权转账，该账户将被冻结。 偷。

在经历了多起地址资金被盗事件后，很多用户已经有了防范意识，通常不会泄露自己的私钥。 下载区块链钱包和交易所时，也会去官网下载。 但是，随着新用户批量进入区块链，往往缺乏基础技术知识，对代码合约了解不多。 在参与 DeFi 项目或想出售空投代币时，往往会授权不熟悉的合约。 如果在合约上做文章，用户很可能会失去地址中的所有资产。

那么，骗子是如何通过合约转移用户资产的呢？

区块链安全机构PeckShield告诉蜂巢财经，代币授权操作主要分为两步。 第一步是授权交易。 这一步是为了通知ERC-20 Token合约，目标合约地址未来可能会从授权钱包账户中划转一定数量的代币； 第二步是交易执行。 当目标合约中的逻辑执行需要代币交易时，合约会主动触发用户授权代币的转移。

以 Zepe.io 空投骗局为例。 骗子会先创建代币并完成空投，然后将代币添加到DEX中，增加流动性，让代币有价值。 部分用户看到账户出现“有价值”的空投币后，想去DEX兑换，这一步的授权交易通常会失败，但失败后会出现错误提示用户去其官网兑换，陷阱就在此时，当用户在指定页面授权交易时，其账户中的价值币就会被划转。

PeckShield表示，类似的空投骗局有一个共同的主要特点，即代币名称多为网站地址，如ShibaDrop.io、AirStack.net、BNBw.me等，用户在收到类似代币时，需要未雨绸缪。 安全机构提醒用户在与链上协议交互时不要过度授权。 例如，在授权代币交易时，可以设置一个指定的数量而不是最大数量。 同时，用户应定期取消对不常用Dapps的授权，注意防止骗子“换马甲”。

对于链上用户来说，区块链网络是一个相对自由但充满风险的世界。 用户需切记妥善保管好私钥，以免因贪婪和轻易授权陌生合约而造成资产损失。 请记住，“天上没有馅饼”这句老话在区块链世界也适用。

您遇到过哪些其他与区块链相关的骗局？