利用公众号平台,我们多次发布关于波场钱包的一些安全预警,这里面包括假空投诈骗、钓鱼网站诈骗、恶意授权诈骗等多种诈骗手段;在社区内也经常会遇到用户反馈波场USDT无故丢失等情况。为此小编觉得很有必要整理一篇从权限管理查看、实际授权分析、正常权限和恶意权限对比等方面进行一个深层次的剖析,让用户更多的了解波场管理权限方面的知识。
打开TP钱包,点击【发现】顶部搜索CoinTool并找到波场链应用,(一下内容统一使用PC端进行演示。)打开后填入需要查询权限的波场地址进行查询。
在日常遇到的恶意授权骗局中,绝大多数是获得USDT的权限,从而转移资产,骗子也是喜欢稳定资产的,所以我们这里只把USDT的授权部分进行截图展示,其他类型的Token查询方法和USDT是一致的。
这里是查询到该地址授权USDT的三个记录,那么他们有什么不同呢?在此之前,先简单说明下上图中各个位置的释义:
1、授权智能合约,我们在首次进行USDT兑换其他Token的时候首先会进行授权(Approve),授权完成后就会在这里留下痕迹;
2、被授权Token,这个就是对应的Token合约地址,如上图经过查看是波场链上正确的USDT的合约地址;
3、授权数量,这个在我们进行授权的时候,会在钱包里弹出的界面中灵活选择,默认的情况下是无限;
4、危险等级,这里的危险等级对应的并不是病毒数据库,这里直接和授权数量挂钩,并不能代表绝对的安全或危险;
5、取消授权先解锁钱包,这个工具在我们移动端使用中是不需要解锁的,直接打开使用即可。
USDT是我们日常使用比较频繁的Token种类,所以看上去都差不多的情况下,我们要揪出恶意授权的真“鬼”,这就我们需要来分析授权智能合约的数据。
点击授权智能合约,我们在打开的界面中可以直观的看到授权Token的名称,例如第一个USDT授权记录:
经检查,这个授权智能合约是JustSwap上的正常的Token授权,我们继续看下一个内容:
这里可以看出是一个普通的波场账户地址,那么我们不都是币币兑换怎么会有一个普通账户地址呢?这个疑问留到后面,我们继续查看第三个USDT授权智能合约情况:
第三个授权智能合约又是一个账号地址,这个中间到底发生过什么?
先看第二个USDT授权地址,经过Token查看,发现该地址发行有多个TRC10的Token内容如下:
这么多TRC10类型的Token,又不能在Swap中兑换,那肯定是另有他用,逐个点开查看Token得到以下内容:
Token的介绍都是中英文版本,有点要一网打尽的意思。翻看转账记录,看到有多达108页的转入记录(转入地址大多不相同),其中包含了不同类型的诈骗手段,例如发送Trx附带留言的方式,发送TRC10的Token诱导打开钓鱼链接进行恶意授权诈骗方式等。
继续来看第三个USDT授权智能合约,进入账户地址,点击交易栏,看到有一百多条触发USDT的智能合约,点击执行成功的交易哈希值查看,可以看到以下信息:
上图发起地址就是恶意授权智能合约地址,发送人是受害者钱包地址,接收人是盗币者的钱包地址,这是执行了一次转账过程,经过这番操作,受害者用户钱包中的USDT就被自动转出了。
上图这笔交易是用户执行恶意授权的链上记录,授权后会自动被转出USDT到指定收款地址中。(第二个授权的USDT也是恶意授权合约)
