警惕新型骗局:伪造【取消授权】
近期有攻击者利用 Multichain 事件引起的授权恐慌心理来伪造授权,引诱用户通过取消钱包内出现的授权来消耗大量 gas,造成资金损失。
具体攻击方法如下:
一名攻击者在 BSC 公链上部署了一个假的 ERC-20 Token,攻击者通过修改 approve()
的方法给链上地址伪造授权,使得安全工具提示用户【取消授权】标识。该 ERC-20 Token 内的 approve()
会大量消耗 gas,让用户铸造 CHI Token(即 Gas Token,销毁 Token 可以获得 Gas Refund)给合约部署者,用户的钱包会被转走高额 gas 费。当用户点击【取消授权】后,会自动发送交易和铸造 CHI Token 至合约部署者的钱包。截止至7月11日,攻击者已通过伪造授权的诈骗方法获得超过 200,000 CHI Token,价值约 $1,800。
Bitget Wallet (原 BitKeep) 提醒用户:
如您在安全检测工具中看到您并未授权过的项目合约,出现了取消授权的提醒,请勿点击【取消授权】。Bitget Wallet (原 BitKeep) 目前使用的授权检测工具由 DeBank 提供,已第一时间针对伪造授权进行拦截过滤。如您依旧发现异常【取消授权】标签,可能因为 Token 检测和标记的滞后性,建议多刷新几次页面后再核实。
除了上述伪造授权的新型骗局,加密圈还有更多常见的授权相关导致的风险,建议您通过以下内容来提升相关防范意识。
什么是代币或 DApp 合约授权?
加密领域中大多数项目都在链上部署,不少交互操作都需要用户授权 Dapp 或平台访问加密钱包并赋予一定权限,授权即表示允许该合约地址提取用户的代币。用户需要在钱包中进行授权,以便该 DApp 可以读取和操作用户的数字货币资产,授权可以是一次性的或持久性的,可以限制 DApp 的访问权限或完全允许访问。
举例,当你想在某个 DEX 平台上卖出 ETH 代币,需要approve()
该 DEX 的智能合约访问你钱包内 ETH 的权限,然后才能通过交易把 ETH Swap 成其他代币。在钱包的授权检测工具中,你可以看到该条授权的记录。
为了提升用户体验,减少授权次数,某些 DApp 会要求无限授权,即该智能合约有权对钱包内的某个币种有不限量的转移权限,但这其实是风险非常高的操作,DApp 合约的部署者一旦作恶,可能将您钱包内的某个币种余额全部转走,导致您的资产损失。
如何防范授权风险
1.不要在不了解的 DApp 平台授权代币权限,某些平台可能会在授权后仅仅几小时内便对用户的代币进行小额或全部转移等操作。
2.Bitget Wallet (原 BitKeep) 通过 DeBank 为用户提供了方便的【安全检测】工具,用户可以在钱包内定期进行检测并取消授权。因为哪怕是你了解和熟悉的 DApp 平台,也有被攻击者利用漏洞的可能。为了充分保障钱包内代币的安全,定期清除授权也可以有效避免被盗风险。
关注 Bitget Wallet (原 BitKeep),获取最新活动、动态和资讯,让 Bitget Wallet (原 BitKeep) 成为你进入 Web3 空间的首要门户
更多信息请访问:Website | Twitter | Telegram | LinkedIn | Discord
媒体查询请联系:[email protected]
业务咨询请联系:[email protected]