区块链:多用户遭遇空投局，授权操作需谨慎_EPE

原文标题：《「高价」空投设盗币陷阱授权操作需谨慎》，作者凯尔

自从Uniswap、1inch、dydx等DeFi协议给交互用户发放空投奖励以来，链上用户们已经习惯了空投的存在，但一些来历不明的空投，可能会掏空用户的钱包。

9月10日，投资者阿飞遭遇了一起空投局。他发现钱包中出现了75万枚Zepe代币，钱包显示估值超过10万美元。阿飞以为是天降横财，当发现在去中心化交易所无法卖出后，他登陆代币同名网址并进行了授权交易，但随后他地址中的资产被转移一空。

社交网络中，还有多名用户自曝落入了同一陷阱，有人因此损失高达7万枚USDT。蜂巢财经查询Zepe合约接受代币的地址发现，其于近日转出了16.5万枚USDC以及13枚BNB，疑似赃款转移。

实际上，近期类似的空投局频发，许多用户都发现钱包地址中出现了大量的不明代币。区块链安全机构PeckShield告诉蜂巢财经，这些代币在常用的DEX中交易通常都会失败，页面会提示用户去它的官网兑换，而后用户在授权交易时，往往会授予智能合约转走账户资产的权限，导致资产被盗。

调查：交易数字资产变得非常容易，使更多用户入场:8月25日消息，根据CNBC调查报告显示，越来越多的人正在投入加密货币领域，原因是因为交易数字资产变得非常容易，约65%的加密货币投资者于去年开始投资，超过10%的受访者表示他们将数字货币排在房地产、股票、共同基金和债券之后。（CNBC）[2021/8/25 22:36:08]

PeckShield提示，用户在进行链上协议交互时不要过度授权，同时应定期对不常用的Dapp取消授权，并注意防范欺诈者「换马甲」，以避免遭受资产损失。

dYdX给早期用户发放的空投开启申领，随着DYDX代币涨至10美元上方，空投所有者们都获得了可观的收益。就在dYdX带来的财富效应在社交网络发酵时，一个以空投作饵的陷阱也悄然设下。

两天后，投资者阿飞在社群中讲述了他不幸掉落陷阱的遭遇。9月10日，阿飞打开他的区块链钱包时，意外发现其中多了75万枚名为Zepe的代币，钱包显示这些代币价值超过10万美元。

易纲：绿色转型就是鼓励大家多用清洁能源 少用化石能源:6月10日，中国人民银行行长易纲在第十三届陆家嘴论坛上表示，绿色转型就是鼓励大家多用清洁能源，少用化石能源。但问题是在现有技术条件下，化石能源便宜而且稳定，清洁能源贵而且尚不稳定，因为化石能源碳排放基本上没算成本。绿色转型的任务就是对碳排放加以限制，使碳排放的成本显性化，即要求排放者对增量的碳排放付出成本，同时对存量的碳排放权通过定价实现可交易，使减排者获得收益，也使得排放者付出适当成本，从而鼓励生产和消费向低碳方式转型。（财联社）[2021/6/10 23:26:30]

毫无戒备的阿飞打开了代币关联的网站并连接了钱包。据其他用户描述，该代币无法在去中心化交易平台卖出，但代币关联网站提供了一个类似Swap的兑换页面，支持将Zepe.io兑换成BNB。阿飞称，他链接钱包、点了授权交易后，没有获得任何代币的同时，钱包中的数千枚CHESS代币反而被转走。发现代币丢失后，阿飞才意识到陷入局。

动态 | Morgan Creek Digital联合创始人称比特币有许多用例 遭多人反驳:Morgan Creek Digital联合创始人Anthony Pompliano发推称，比特币有许多用例。持有是一个用例，交易是一个用例，挖矿是一个用例，投机也是一个用例。AyreGroup、CoinGeek创始人Calvin Ayre认为Pompliano的观点是错误的，“这些是腐败的投机性交易所交易模式的生命支持功能，这些功能都即将消失。我一看到无牌照就知道了。”此外，其他推特网友也反驳了Pompliano的观点。[2020/1/23]

Zepe.io的虚假兑换页面

本以为这波空投是一笔意外之财，没想到钱包却被掏空了。在社交网络中，多名用户也自曝落入了同一个空投陷阱，有人称被盗资产多达7万USDT。据统计，此次设局者广泛撒网，代币空投到BSC、HECO、Matic等多个区块链网络上的大量地址中，许多用户都反映收到了空投。

动态 | 报告：闪电网络将在2020年关注隐私，展示更多用例和参与激励措施:近日，匈牙利研究人员发表对闪电网络的批判性研究报告，调查结果估计，来自交易费用的数据表明，闪电网络基础设施“在经济上是不合理的”。12月27日，Bitcoin Magazine发文称，虽然接受采访的大多数人不同意该论文的结论，但他们的担忧确实揭示闪电网络2019年以及2020年可能的主要优先事项。Blockstream研究员Christian Decker称，“我们同意作者的观点，隐私可能是2020年闪电网络的一个主要话题。”Bitrefill CCO John Carvalho也不认为闪电网络的低交易费存在问题，并预计未来一年会有显著改善。“归根结底，该网络的性质是P2P和自愿的，这意味着反对其合理性的论点必须驳斥该网络持续存在、正在增长并被当今的企业利用的现实。在我看来，我们只是触及表面，闪电网络将在2020年展示更多使用案例和参与激励措施。”此外，他指出，闪电网络从未承诺解决离线隐私问题，这更多是工程师和用户隐私文化的副作用。而且，在链上数据的背景下，“有能力观察闪电网络上一些资金流动并不意味着你有有用的外部污点可以应用于它。”（Bitcoin Magazine）[2019/12/28]

据区块链安全机构Armors审查发现，该代币对应合约未做代码验证，且所有授权与转账事务都执行失败，而所有执行失败的备注中都要求用户到对应网站进行提取，一旦用户登陆网站进行钱包授权，代币就会被盗。

声音 | 赵长鹏：XPR若被裁定为证券 将伤害很多用户:福布斯分析师Joseph Young刚刚发表推特，称Coinbase将上线不少数字货币，但唯独没有XRP，这可能与Ripple遭到的集体诉讼有关。而赵长鹏评论道，如果XPR被裁定为证券，很多美国用户会受到伤害，而某种程度上来说，其它国家的用户也会受影响。个人觉得XPR不是证券。[2018/12/12]

蜂巢财经通过区块链浏览器查询设局者接收代币的地址发现，其于近日转出了16.5万枚USDC以及13枚BNB，疑似赃款转移。

实际上，近期出现的空投局不止一起。许多投资者都曾反映区块链钱包中出现大量来历不明的代币，这些代币的普遍特征是数目庞大，引人注目。如果用户在尝试卖出代币过程中授权合约，就可能给予发币方转移钱包资金的权限，进而损失资产。

而设局者在得手后，往往会选择在去中心化交易所混币，并转移到其他地址进行套现。受者在遭遇类似的局后，往往难以追回资金。

空投局不断演化?用户需谨慎授权合约

由于区块链是一个公开、透明的网络，所有用户的钱包地址虽然匿名，但完全公开在网络上，任何人都可以向其中发送代币。一般来说，接收代币并不会导致钱包被盗，而如果用户想要卖出该代币，就可能在其中某一步因授权资产转移权限或暴露私钥而被作恶者掏空钱包。

事实上，类似局早在2019年就曾出现。当时，在Telegram流行过一个空投OMG代币的术，子称钱包中有ETH和OMG的用户，可以按照钱包余额中ETH1:32、OMG1:0.3的比例领取OMG免费空投，许多人动了心。

当用户按照提示的步骤打开空投领取网站时，页面要求用户输入以太坊钱包地址和余额，这一步操作并不会导致资产被盗。但随后，页面会提示用户输入以太坊钱包的私钥，以便证明这个钱包归本人所有。页面还提示，「这是安全的，我们不会使用、存储或收集您的个人数据，没有人能够访问你的钱包。」结果，许多人在输入了私钥后，钱包里的资产很快被转移一空。很显然，这是一个彻头彻尾的局。

虚假空投网站要求用户输入私钥

如今，随着DeFi的发展，越来越多用户开始使用链上钱包，想要自己保管资产。老玩家已经知道「私钥暴露意味着不再拥有钱包的唯一控制权」的常识，因此，要求用户输入私钥的局已不再常见。然而，作恶者并没有消失，反而升级演化出多种术，让新老用户们防不胜防。

不久前，有部分用户遭遇了虚假钱包局。子首先会仿照用户常见的钱包制作一个伪去中心化的钱包，当用户下载并导入私钥后，就会泄露私钥信息。还有人在社群以高价收币为诱饵诱惑用户转账，当用户扫描其提供的钱包二维码时，会跳转至第三方网站，如果在该网站中发起转账并授权，就会导致账户被盗。

在多起地址资金被盗事件发生后，不少用户都已经有了防范意识，通常不会泄露私钥，在下载区块链钱包及交易所时，也会到官网进行下载。但由于新用户一批批进入区块链，他们往往欠缺基础技术知识，对代码合约不甚了解，在参与DeFi项目或想要卖出空投代币时，往往会授权陌生合约，如果作恶者在合约中做文章，用户极可能损失地址中的所有资产。

那么，子是如何通过合约转移用户资产的？

区块链安全机构PeckShield告诉蜂巢财经，代币授权操作主要分为两步。第一步是授权交易，这一步操作是为了告知ERC-20Token合约，将来目标合约地址可能会从授权钱包账户转走一定数量的代币；第二步是交易执行，当目标合约中的逻辑执行需要进行该代币交易时，合约会主动触发转走用户授权的代币。

以Zepe.io空投局为例，者会先创建代币并完成空投，并添加代币到DEX中增加流动性，使代币具有价值。一些用户看到账户中出现了「有价值」的空投币后，就想去DEX进行兑换，而这一步的授权交易通常都会失败，但失败后会有error提示用户去它的官网兑换，陷阱就在此时出现，当用户在指定页面授权交易后，其账户中的价值币就会被转走。

PeckShield表示，类似的空投局有一个主要的共同特征，即代币名字大多是网站地址，如ShibaDrop.io、AirStack.net、BNBw.me等，当用户接收到类似的代币，就需要加以防范。该安全机构提示，用户在进行链上协议交互时不要过度授权，比如授权代币交易时可以设置指定数量而不要设置最大数量。同时，用户应定期对不常用的Dapp取消授权，并注意防范欺诈者「换马甲」。

对于链上用户来说，区块链网络是一个相对自由但也充斥风险的世界。用户需切记掌管好私钥，避免因贪婪轻易授权陌生合约造成资产损失。记住，「天上不会掉馅饼」这句老话在区块链世界里同样适用。

标签：区块链BALEPEZEP区块链dapp开发合法吗BeglobalDAOPEPEINUZEPH币

PEPE热门资讯