揭露:利用Token 精度钓鱼的套路

背景 近期有骗子(CYBER RESCUE) 在慢雾创始人 Cos 的安全提醒推文下打着“可以帮忙追回/恢复被盗资金”的幌子对受害者进行钓鱼。针对该情况,慢雾安全团队反向钓鱼该骗子并披露其行骗过程,希望广大用户提高警惕,避免上当 被骗过程 慢雾以受害者的身份联系上了自称可以百分百追回被盗资金的 CYBER RESCUE,以下为骗子的行骗过程: 1. 骗子CYBER RESCUE 首先询问受害者被盗时间、使用的钱包及被盗原因,随后表示可以 100% 追回被盗资金,方式则是在 BNB 智能链网络下,通过 USDT 处理交易并将被盗资金重定向到受害者的钱包。受害者需要下载 APP,骗子解释说这是为了指导受害者进行转账用户设置并将资金重定向至受害者的钱包。 2. 骗子接着让受害者在首页点击“添加自定义资产”,引导用户输入 USDT 合约 0x55d398326f99059ff775485246999027b3197955(该合约地址是正确的),此时 MathWallet 会自动识别出该 token 精度为 18。 到了这一步,骗子强调:在粘贴合约地址的时候要将 Decimals 从 18 更改为 0。从而受害者添加了一个合约正确但精度错误的 USDT token。这里解释下什么是 Decimals(小数位数),在代币中,Decimals 表示代币的最小可分割单位的数量,它决定了代币在交易和计算中的精度。Decimals 的值越高,代币的精度越高。 受害者照做后,骗子表示这样就可以了,他要冻结被盗资金然后退回到受害者的账户,现在需要受害者提供元掩码钱包(MetaMask 钱包)。因为翻译软件将 MetaMask 钱包翻译成了元掩码钱包,这把受害者整懵了,骗子也很震惊,你居然没有 MetaMask 钱包? 3. 至此,骗子开始了他“收回”被盗资金的神操作: 骗子查询受害者提供给他的被盗交易后,表示只能追回 $89,589 的被盗资金,他给出的理由是:剩余资金已经进入了外汇市场并被兑换成当地货币了。 接着骗子让受害者发送 MathWallet Account […]

MathWallet安全指南2022

MathWallet 现已支持多维度的安全提醒功能 黑名单链接屏蔽功能 BNBChain 合约安全评级打分功能 TOKEN 或 NFT 授权签名提醒 EVM 公链授权管理 等等 在 WEB3 的世界里,安全问题一直都是大家最关心的。如何更好地保护自己的资产,除了选择安全的工具外,更重要的还是我们自身的安全意识以及使用习惯。 —————————————————– MathWallet 安全提醒相关功能 作为一款 WEB3 时代的多链钱包APP,在不断丰富功能的同时,也一直在安全方面尽最大的努力 黑名单链接屏蔽功能 如果您在访问 URL 的时候出现了空白页面,说明您很有可能访问的是被举报过的网址,请提高警惕,避免被骗。 (同时欢迎举报危险 URL,我们在验证后会对其在我们的 APP 浏览器页面进行屏蔽) BNBChain合约安全评级打分功能 当您在进行合约交互时,可以看到这个位置,有一个分数。这是我们接入 AvengerDAO 系统的 Meter, 可以实现 BNBChain 合约安全的评级打分功能。 AvengerDAO 是一个由社区运营的独特安全基础设施项目,旨在保护 BNB 链上的用户免受可能的攻击、诈骗和恶意行为者的侵害。 有幸作为 AvengerDAO 的一员,我们将继续坚定致力于让 Web3 上的用户体验更加安全和愉快 关于AvengerDAO: https://www.bnbchain.org/en/blog/introducing-avengerdao-the-security-initiative-protecting-users-from-malicious-actors/ TOKEN 或 NFT 授权签名提醒功能 当您在进行合约交互时,如果看到这个位置出现这个提醒,说明这是一个授权的签名,目标地址将有权限在不通过您任何操作的情况下对该授权资产进行转移。所以您需要提高警惕,确保其的安全性后,再进行操作。 (该提醒功能只能识别部分授权签名,仅起到一个提醒作用,在进行任何操作的时候,都应该再三确认,保证资产安全) EVM […]