这是新型空投钓鱼骗局,骗子通过随机空投劣质NFT/Token诱导点击钓鱼链接,伪造官网骗取存储授权,进而盗取资产;常见手法包括凭证诈骗、投毒攻击和钓鱼链接型NFT;防范需坚持“不理睬、不点击、不交互”,用小号存储交互,并定期撤销可疑授权。
欧易okx:
Binance币安:
火币Huobi:
Gateio芝麻开门:
你的加密存储突然多了一枚陌生的NFT或Token?请千万小心,这很可能是新型骗局的诱饵。轻易交互可能导致资产被盗,切勿随意点击!
骗局的运作原理
1、骗子会利用程序向活跃的存储地址进行大规模随机空投,这些NFT或Token通常制作粗糙,但会用“免费领取”、“奖励”等诱人的名字吸引你的注意。
2、这些空投物的描述中,通常会包含一个醒目的链接,并配上“Claim Reward”、“Mint Free”等字样,引诱你点击进入他们的网站去“领取”更多奖励。
3、点击后会跳转到一个精心伪造的钓鱼网站,它会模仿知名项目方的官网或交互界面,让你在视觉上放松警惕,以为是在进行正常的操作。
4、当你连接存储并签署恶意交易时,实际上是授予了骗子无限的代币转移授权(Approve),他们可以随时将你存储里的所有代币资产席卷一空。
常见的骗局手法
1、凭证类诈骗是最常见的一种。骗子空投一个所谓的“凭证”NFT,声称可以凭此到指定网站免费兑换更有价值的代币或NFT,其最终目的就是骗取你的存储授权。
2、投毒攻击则更为隐蔽。骗子会制造与真实代币同名同标志的虚假代币,并向你进行零额转账,目的是污染你的交易记录,诱导你在下次转账时复制错误的合约地址。
3、钓鱼链接型NFT则更为直接,其图片或描述本身就是一个巨大的可点击链接,利用人的好奇心和贪念,直接将你引向布满陷阱的恶意站点,从而窃取你的信息。
如何防范与自保
1、对所有来源不明的空投,务必坚守“不理睬、不点击、不交互”的三不原则。直接忽略或在存储内将其隐藏是最佳选择,不要尝试出售或转移它们。
2、如果确实对某个新项目感兴趣,请务必使用一个不存放主要资产的“燃烧存储”或“小号存储”进行交互,这样即使发生意外,损失也能被控制在最小范围。
3、定期使用区块链浏览器授权管理工具(如RevokeCash),检查并撤销存储中可疑或不再使用的代币授权。这就像定期为你的资产账户进行安全大扫除。
4、务必牢记,你的私钥和助记词是资产的最高权限,任何情况下都不要在任何网站上输入或透露给任何人,官方项目方也绝不会向你索要这些信息。
