区块链:「高价」空投设盗币陷阱 授权操作需谨慎_EPE

作者：凯尔

编辑：文刀

自从Uniswap、1inch、dydx等DeFi协议给交互用户发放空投奖励以来，链上用户们已经习惯了空投的存在，但一些来历不明的空投，可能会掏空用户的钱包。

9月10日，投资者阿飞遭遇了一起空投局。他发现钱包中出现了75万枚Zepe代币，钱包显示估值超过10万美元。阿飞以为是天降横财，当发现在去中心化交易所无法卖出后，他登陆代币同名网址并进行了授权交易，但随后他地址中的资产被转移一空。

社交网络中，还有多名用户自曝落入了同一陷阱，有人因此损失高达7万枚USDT。蜂巢财经查询Zepe合约接受代币的地址发现，其于近日转出了16.5万枚USDC以及13枚BNB，疑似赃款转移。

实际上，近期类似的空投局频发，许多用户都发现钱包地址中出现了大量的不明代币。区块链安全机构PeckShield告诉蜂巢财经，这些代币在常用的DEX中交易通常都会失败，页面会提示用户去它的官网兑换，而后用户在授权交易时，往往会授予智能合约转走账户资产的权限，导致资产被盗。

a16z发文介绍渐进式权力下放框架，先将产品分割为MDU逐步进行调整:1月12日消息，a16z Crypto发文介绍渐进式权力下放框架，称去中心化是将控制和决策从一个集中的实体转移到去中心化网络，但权力下放并不容易，该框架可用于指导规划未来的权力下放。[2023/1/13 11:09:10]

PeckShield提示，用户在进行链上协议交互时不要过度授权，同时应定期对不常用的Dapp取消授权，并注意防范欺诈者「换马甲」，以避免遭受资产损失。

多用户遭遇Zepe空投局?钱包被掏空

9月8日，去中心化衍生品协议dYdX给早期用户发放的空投开启申领，随着DYDX代币涨至10美元上方，空投所有者们都获得了可观的收益。就在dYdX带来的财富效应在社交网络发酵时，一个以空投作饵的陷阱也悄然设下。

两天后，投资者阿飞在社群中讲述了他不幸掉落陷阱的遭遇。9月10日，阿飞打开他的区块链钱包时，意外发现其中多了75万枚名为Zepe的代币，钱包显示这些代币价值超过10万美元。

借贷协议Morpho完成1800万美元融资，a16z和Variant领投:7月12日消息，DeFi借贷协议Morpho通过原生代币销售筹集了1800万美元的融资，由Andreessen Horowitz和Variant领投。本轮融资的其他投资者包括Nascent、Semantic Ventures、Cherry Crypto、Mechanism Capital、Spark Capital、Standard Crypto和Coinbase Ventures。[2022/7/13 2:08:44]

毫无戒备的阿飞打开了代币关联的网站并连接了钱包。据其他用户描述，该代币无法在去中心化交易平台卖出，但代币关联网站提供了一个类似Swap的兑换页面，支持将Zepe.io兑换成BNB。阿飞称，他链接钱包、点了授权交易后，没有获得任何代币的同时，钱包中的数千枚CHESS代币反而被转走。发现代币丢失后，阿飞才意识到陷入局。

数字玩具NFT平台Cryptoys完成2300万美元A轮融资，a16z领投:6月24日消息，数字玩具NFT平台Cryptoys完成2300万美元A轮融资，本轮融资由a16z领投，Mattel、Dapper Labs、Draper&Associates、Acrew Capital、Coin Fund、Animoca Brands和Sound Ventures等参投。此前报道，2021年10月25日，Cryptoys母公司On Chain Studios完成750万美元种子轮融资，a16z领投。（TechCrunch）[2022/6/24 1:27:56]

Zepe.io的虚假兑换页面

本以为这波空投是一笔意外之财，没想到钱包却被掏空了。在社交网络中，多名用户也自曝落入了同一个空投陷阱，有人称被盗资产多达7万USDT。据统计，此次设局者广泛撒网，代币空投到BSC、HECO、Matic等多个区块链网络上的大量地址中，许多用户都反映收到了空投。

传七届超级碗得主汤姆·布雷迪退役后将加入a16z加密团队:金色财经报道，北京时间1月30日凌晨，美国职业橄榄球大联盟（NFL）宣布七届超级碗得主汤姆·布雷迪将会在2022赛季结束之后正式退役，结束自己长达22年的辉煌职业生涯（但汤姆·布雷迪本人目前尚未官方确认）。据The Block编辑Frank Chaparro在推特披露，汤姆·布雷迪将在退役后加入a16z加密团队，有社区用户回应称如果汤姆·布雷迪下周宣布加入a16z并不会感到意外，上周汤姆·布雷迪创建的体育和娱乐NFT平台Autograph宣布完成1.7亿美元B轮融资，联合领投方就是a16z，a16z的普通合伙人Arianna Simpson也与汤姆·布雷迪一起担任该公司董事会董事。[2022/1/30 9:22:49]

据区块链安全机构Armors审查发现，该代币对应合约未做代码验证，且所有授权与转账事务都执行失败，而所有执行失败的备注中都要求用户到对应网站进行提取，一旦用户登陆网站进行钱包授权，代币就会被盗。

a16z合伙人：加密货币行业并不反对监管，但需要监管机构的明确规定:金色财经报道，在 CNBC 的投资者峰会上，a16z的普通合伙人Katie Haun表示，加密货币行业并不反对监管，但确实需要监管机构的明确规定，监管机构需要评估一个事实，即我们在加密货币中已经超越了单纯的金融用例\"，而监管 “不能一刀切\"。美国证券交易委员会在这个行业有一席之地，可以监管这个行业的很大一部分。这一点是毫无疑问的。该行业有越来越大的部分，我认为不属于SEC的管辖范围，这些很可能属于其他监管机构的管辖范围，我认为，业内一些人有一种感觉，那些试图做出善意努力的人，那些在合规和他们认为需要的方面做出超越的人......是被放在显微镜下检查的人。（CoinDesk）[2021/9/30 17:16:31]

蜂巢财经通过区块链浏览器查询设局者接收代币的地址发现，其于近日转出了16.5万枚USDC以及13枚BNB，疑似赃款转移。

实际上，近期出现的空投局不止一起。许多投资者都曾反映区块链钱包中出现大量来历不明的代币，这些代币的普遍特征是数目庞大，引人注目。如果用户在尝试卖出代币过程中授权合约，就可能给予发币方转移钱包资金的权限，进而损失资产。

而设局者在得手后，往往会选择在去中心化交易所混币，并转移到其他地址进行套现。受者在遭遇类似的局后，往往难以追回资金。

空投局不断演化?用户需谨慎授权合约

由于区块链是一个公开、透明的网络，所有用户的钱包地址虽然匿名，但完全公开在网络上，任何人都可以向其中发送代币。一般来说，接收代币并不会导致钱包被盗，而如果用户想要卖出该代币，就可能在其中某一步因授权资产转移权限或暴露私钥而被作恶者掏空钱包。

事实上，类似局早在2019年就曾出现。当时，在Telegram流行过一个空投OMG代币的术，子称钱包中有ETH和OMG的用户，可以按照钱包余额中ETH1:32、OMG1:0.3的比例领取OMG免费空投，许多人动了心。

当用户按照提示的步骤打开空投领取网站时，页面要求用户输入以太坊钱包地址和余额，这一步操作并不会导致资产被盗。但随后，页面会提示用户输入以太坊钱包的私钥，以便证明这个钱包归本人所有。页面还提示，「这是安全的，我们不会使用、存储或收集您的个人数据，没有人能够访问你的钱包。」结果，许多人在输入了私钥后，钱包里的资产很快被转移一空。很显然，这是一个彻头彻尾的局。

虚假空投网站要求用户输入私钥

如今，随着DeFi的发展，越来越多用户开始使用链上钱包，想要自己保管资产。老玩家已经知道「私钥暴露意味着不再拥有钱包的唯一控制权」的常识，因此，要求用户输入私钥的局已不再常见。然而，作恶者并没有消失，反而升级演化出多种术，让新老用户们防不胜防。

不久前，有部分用户遭遇了虚假钱包局。子首先会仿照用户常见的钱包制作一个伪去中心化的钱包，当用户下载并导入私钥后，就会泄露私钥信息。还有人在社群以高价收币为诱饵诱惑用户转账，当用户扫描其提供的钱包二维码时，会跳转至第三方网站，如果在该网站中发起转账并授权，就会导致账户被盗。

在多起地址资金被盗事件发生后，不少用户都已经有了防范意识，通常不会泄露私钥，在下载区块链钱包及交易所时，也会到官网进行下载。但由于新用户一批批进入区块链，他们往往欠缺基础技术知识，对代码合约不甚了解，在参与DeFi项目或想要卖出空投代币时，往往会授权陌生合约，如果作恶者在合约中做文章，用户极可能损失地址中的所有资产。

那么，子是如何通过合约转移用户资产的？

区块链安全机构PeckShield告诉蜂巢财经，代币授权操作主要分为两步。第一步是授权交易，这一步操作是为了告知ERC-20Token合约，将来目标合约地址可能会从授权钱包账户转走一定数量的代币；第二步是交易执行，当目标合约中的逻辑执行需要进行该代币交易时，合约会主动触发转走用户授权的代币。

以Zepe.io空投局为例，者会先创建代币并完成空投，并添加代币到DEX中增加流动性，使代币具有价值。一些用户看到账户中出现了「有价值」的空投币后，就想去DEX进行兑换，而这一步的授权交易通常都会失败，但失败后会有error提示用户去它的官网兑换，陷阱就在此时出现，当用户在指定页面授权交易后，其账户中的价值币就会被转走。

PeckShield表示，类似的空投局有一个主要的共同特征，即代币名字大多是网站地址，如ShibaDrop.io、AirStack.net、BNBw.me等，当用户接收到类似的代币，就需要加以防范。该安全机构提示，用户在进行链上协议交互时不要过度授权，比如授权代币交易时可以设置指定数量而不要设置最大数量。同时，用户应定期对不常用的Dapp取消授权，并注意防范欺诈者「换马甲」。

对于链上用户来说，区块链网络是一个相对自由但也充斥风险的世界。用户需切记掌管好私钥，避免因贪婪轻易授权陌生合约造成资产损失。记住，「天上不会掉馅饼」这句老话在区块链世界里同样适用。

标签：区块链ZEPEPESHI到底什么是区块链ZEPHPEPEJON币USHIBA价格

Polygon热门资讯