警惕“扫码就被盗”的假二维码骗局
加密货币交易通常是通过与加密账户相关的二维码进行的,这使得这些交易很容易被标记。如果你碰巧扫描了骗子的恶意二维码,或许他就能远程随意访问你的设备。他可以访问你的联系人,下载恶意软件,盗取你手机上下载的钱包、交易所账户内的所有资产。
另一种情况是,用户扫描陌生人提供的虚假二维码后,打开的是转账界面或其他钓鱼页面,而这个转账操作实则是一次钱包地址的无限授权。
扫描后出现的假页面发起转账时,你会收到一个转账授权的提醒。若点击确认,骗子将获取到转走你钱包中对应代币的权限。虽然假页面中显示的是 USDT 转账,但骗子实际骗取的是其他代币的转账权限。当我们将代币转账授权的数量设置为 unlimited(无限) 时,获得授权的地址即可获取该代币最大额度的转账权限,也就是骗子可以转走该代币的全部余额。
无论骗子是在假二维码中藏的是什么恶意程序,最终都结果都是盗取您重要的隐私信息和加密资产。
值得注意的是,一些假空投信息的活动海报上也会附带假的二维码,用空投代币作为诱饵吸引用户扫码识别,识别后执行仍需进行授权操作来领取空投,进而落入骗子圈套,被无限授权转走代币。
此外,骗子会以 OTC 交易为由,给用户发送一个链接或假冒钱包收款的二维码,用户扫码后会进入假冒的转账页。用户在该页面点击「确认」时,则授予了骗子转账权限。
请注意,扫描币种的收款码后应直接跳转转账页面,若扫码后出现第三方 DApp 访问提示,说明真实的收款码已被替换,扫码后访问的是钓鱼网站。此外,在钱包转账扫码后你需要仔细检查页面上的图标细节,区分真假转账页面。
Bitget Wallet (原 BitKeep) 也针对以上两种骗局提供了 授权检测风险和 DApp 检测风险,你可以通过教程定期检查是否存在过度授权并取消,也可以复制第三方 DApp 的合约地址去检测风险。