网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

钱包授权被盗是钱包资产损失案例中最常见的手段。通常被害者是因为点击了不明链接（如空投、领白名单等）且在不知道授权意味着什么的情况下将资产授权给了骗子，导致骗子将受害者钱包中的资产转移走。比较有名的案例之一是周杰伦价值超300万的NFT无聊猿被盗，原因也是因为授权给了钓鱼网站。如何去理解这个骗局的原理呢？

我们与智能合约的交互中其实是与智能合约中的某一个函数功能进行交互。函数的功能都可以在区块链浏览器中查看，在我们进入了一个钓鱼网站的时候，映入眼帘的可能是一个Free Mint（免费铸造NFT）的按钮。当你点击之后你以为你可以免费获取一个NFT，但其实弹出来的交互界面其实是将你的资产授权给骗子，如果你点击并交互了，你的资产就被盗了。

（展示案例为ERC721标准的NFT，ERC20的同质化Token区别为是否授权变为授权数量）

交互的原理其实是你的钱包会向骗子指定的智能合约的授权（Approve）函数功能传入指定的参数，也就是将你的资产授权给骗子的钱包地址。授权意味着你允许别人可以调用智能合约中的从…转移（transferFrom）函数功能，这样骗子就可以直接将你钱包里面被授权的资产转移走。

应对方案：不要轻信任何不知名链接，看不懂交互界面的话可以看是否有Approve关键词，下载钱包安全插件，尽量不要使用存有大量资产的钱包进行交互。

（二）钱包地址被替换？—剪贴板病毒陷阱

剪贴板病毒陷阱是一种难以察觉且无处不在的存在，此类病毒在Web3中常用的社交软件Telegram上散播比较严重，通常会伪装并隐藏在各种下载的文件当中。一旦下载了带有剪贴板病毒的文件，此病毒就会潜伏在你的电脑当中等待时机。该病毒会自动识别钱包地址的格式，并在你复制粘贴地址后将你本应该粘贴的地址替换成骗子的地址，只要是没有仔细检查钱包地址的人就会中招并损失资产。

带有剪贴板病毒的文件案例：

应对方案：一旦中招难以排查，通常只能选择重装系统，不要随意下载陌生人发的文件，最重要的是转账之前一定要核对一下钱包地址。

（三）签名也能被盗？—eth_sign签名骗局

eth_sign骗局，一种利用链下签名授权来盗取钱包资产的钓鱼手段，这种骗局相比于链上授权钓鱼的形式更加难以防范。因为链下签名形式的交互不需要花费任何gas，这使得人们对于这种交互方式的防范心会降低。

这种骗局的原理是利用了以太坊的一种签名方法eth_sign，简单的理解就是你写了一个带有你签名的【空白支票】给了骗子，支票上的内容可以由骗子自己编写，骗子就可以拿着带有你签名的支票去银行兑换资产。

下图显示了这种签名方法的格式，eth_sign签名格式是一串32byte的数据，并且MetaMask会对eth_sign这种签名格式会进行警示，所以识别度还是比较高的。

应对方案：看见交互界面出现图中的警告请一定要谨慎，下载钱包安全插件。

（四）天上掉馅饼？—NFT空投骗局