深入浅出--剖析波场权限管理的那些事儿

利用公众号平台,我们多次发布关于波场钱包的一些安全预警,这里面包括假空投诈骗、钓鱼网站诈骗、恶意授权诈骗等多种诈骗手段;在社区内也经常会遇到用户反馈波场USDT无故丢失等情况。为此小编觉得很有必要整理一篇从权限管理查看、实际授权分析、正常权限和恶意权限对比等方面进行一个深层次的剖析,让用户更多的了解波场管理权限方面的知识。

 

授权查询工具

 

打开TP钱包,点击【发现】顶部搜索CoinTool并找到波场链应用,(一下内容统一使用PC端进行演示。)打开后填入需要查询权限的波场地址进行查询。

在日常遇到的恶意授权骗局中,绝大多数是获得USDT的权限,从而转移资产,骗子也是喜欢稳定资产的,所以我们这里只把USDT的授权部分进行截图展示,其他类型的Token查询方法和USDT是一致的。

 

这里是查询到该地址授权USDT的三个记录,那么他们有什么不同呢?在此之前,先简单说明下上图中各个位置的释义:

1、授权智能合约,我们在首次进行USDT兑换其他Token的时候首先会进行授权(Approve),授权完成后就会在这里留下痕迹;

2、被授权Token,这个就是对应的Token合约地址,如上图经过查看是波场链上正确的USDT的合约地址;

3、授权数量,这个在我们进行授权的时候,会在钱包里弹出的界面中灵活选择,默认的情况下是无限;

4、危险等级,这里的危险等级对应的并不是病毒数据库,这里直接和授权数量挂钩,并不能代表绝对的安全或危险;

5、取消授权先解锁钱包,这个工具在我们移动端使用中是不需要解锁的,直接打开使用即可。

 

数据分析授权权限

 

USDT是我们日常使用比较频繁的Token种类,所以看上去都差不多的情况下,我们要揪出恶意授权的真“鬼”,这就我们需要来分析授权智能合约的数据。

点击授权智能合约,我们在打开的界面中可以直观的看到授权Token的名称,例如第一个USDT授权记录:

 

经检查,这个授权智能合约是JustSwap上的正常的Token授权,我们继续看下一个内容:

 

这里可以看出是一个普通的波场账户地址,那么我们不都是币币兑换怎么会有一个普通账户地址呢?这个疑问留到后面,我们继续查看第三个USDT授权智能合约情况:

第三个授权智能合约又是一个账号地址,这个中间到底发生过什么?

 

案例分析一复合型骗局

 

先看第二个USDT授权地址,经过Token查看,发现该地址发行有多个TRC10的Token内容如下:

这么多TRC10类型的Token,又不能在Swap中兑换,那肯定是另有他用,逐个点开查看Token得到以下内容:

 

 

Token的介绍都是中英文版本,有点要一网打尽的意思。翻看转账记录,看到有多达108页的转入记录(转入地址大多不相同),其中包含了不同类型的诈骗手段,例如发送Trx附带留言的方式,发送TRC10的Token诱导打开钓鱼链接进行恶意授权诈骗方式等。

 

 

案例分析二恶意授权骗局

 

继续来看第三个USDT授权智能合约,进入账户地址,点击交易栏,看到有一百多条触发USDT的智能合约,点击执行成功的交易哈希值查看,可以看到以下信息:

 

上图发起地址就是恶意授权智能合约地址,发送人是受害者钱包地址,接收人是盗币者的钱包地址,这是执行了一次转账过程,经过这番操作,受害者用户钱包中的USDT就被自动转出了。

上图这笔交易是用户执行恶意授权的链上记录,授权后会自动被转出USDT到指定收款地址中。(第二个授权的USDT也是恶意授权合约)

 

如何避免诸多骗局
骗子的手段多种多样,充分利用了用户容易贪图小便宜的心态;同时这种隐秘的恶意授权方式也让刚踏入圈子的小白同学几乎没有抵抗力就“束手就擒”。如果想让自己能最大程度的避免此类问题发生,请用户务必提高警惕,谨防虚假空投网站、钓鱼网站、钓鱼App及各种欺诈手段,增强资产安全意识,避免资金损失。 

 

 

深入浅出--剖析波场权限管理的那些事儿

扫一扫手机访问

深入浅出--剖析波场权限管理的那些事儿

发表评论