二维码背后的陷阱正在靠近你
好多人认为imToken是去中心化钱包, 只要不将私钥泄露出去就肯定是安全的。然而, 最近老是发生的“扫二维码盗U”事件, 把这样的认知完全给打破了。用户仅仅是扫描了一个貌似正常的转账二维码, 或者登录二维码, 钱包里面的USDT、ETH在短短几秒内便被转走了。这种攻击并非直接去破解你的私钥, 而是借助了二维码里暗藏的恶意合约地址, 或者授权请求。当你扫码进行确认的那一瞬间, 就相当于主动把资产的操作权限交给了对方。好些人是一直到收到了转账提醒, 这才发觉, 自身压根就未曾主动去发起过此笔交易。
扫码前必须看清这个关键点
遵照正规要求生成的imToken转账二维码, 在被扫描之后, 仅仅会弹出用于收款的地址以及金额。然而当下存在骗子, 会于此类二维码当中植入“授权合约”或者“签名请求”。一旦你实施扫描操作并且点击确认,这就等同于签署了一份准许对方转移你全部U的智能合约。众多受害者回忆称, 当时所看见的是常规的转账界面, 不过金额被修改成了0或者极小的数字, 好多人未曾仔细查看便点击了确认。其实真正的危险并非存于扫码这一行为动作, 而在于你有没有认真核对弹窗里的每一行授权内容。若是弹窗之中呈现出“智能合约交互”“签名”“授权”这般的字眼, 哪怕仅仅只有一行, 那就得即刻关闭。
这些场景最容易中招赶紧自查
处于当前阶段最为主流的那种骗局, 其发生的地点是在Telegram、微信群或者推特私信之中, , 存在骗子会发过来一个呈现为“帮忙投票”“领空投”“验证钱包”样式的二维码, 并且还配有文字说明“扫码即可领取”, , 众多人因为想要获取几十块钱的奖励, 就很随意地进行了扫码操作, , 还有骗子会假冒项目方, 要求你去扫二维码以参与“闪电转账”或者“跨链桥测试”, , 另外一个常见的情形是当你在浏览器里搜索“imToken客服”的时候, 骗子制作了仿冒网站, 页面上所呈现的客服二维码其实就是钓鱼链接。要是你有过扫描任何并非官方途径的二维码的经历, 那么建议你马上登录 imToken 去检查“授权管理”, 把所有你没办法清晰记起来的合约授权给撤销掉, 特别是那些呈现“无限额”或者“大额”状态的。千万不要等到钱包里面没钱了才想起来要做这一步操作。
