鉴叔提醒:最新币圈骗局,千万别中招


  这是区块链鉴查院第165篇原创文章
  最近,央视连着揭露了两起币圈投资骗局。
  6月2日,报道一起“百倍币骗局”,李女士买入的TRTC代币一路飙涨,但是在想卖的时候却发现卖不掉了,投入的钱全都打了水漂。
  其实李女士是在去中心化交易平台Uniswap买入这个代币的,而之所以卖不掉,是因为这个代币的在合约里限制了交易,只有owner(TRTC的创造者)才能卖出代币。
  
  6月6日,又报道了一起币圈经典的“合约带单骗局”,江苏的刘先生投资21万,最后仅剩 2000 元。
  这类骗局本质上就是一群客服(冒充投资者)不断在微信群里发送虚假的赚钱截图,以此烘托气氛,引诱投资者充钱。一开始可能小赚,但最后一定会被收割。
  
  目前,币圈仍然处于发展早期,骗子无处不在。
  关于骗局,鉴叔分享过粉丝在电报群被骗10ETH的经历,揭露过交易所客服杀猪盘骗局,当然也写过很多资金盘打假的文章。
  而今天这篇文章,我汇总了近期的几个币圈新型骗局,希望能给大家提个醒儿,千万别重蹈下面这位“小怜”的覆辙。
  “OTC冻卡”加剧,所以最近很多人都不敢在交易所直接出金了。取而代之的,就是选择熟人交易。
  这天,小怜正打算出2w U ,就看到微信群里有人收,于是加了好友私聊。
  谈好价格之后,对方发了一个TP钱包的收款码过来,说是直接扫码转账更方便,也不容易弄错地址。
  
  小怜觉得没毛病。不过谨慎起见,他还是打算先转一笔小额,再转大额的。
  但是当他转了一笔小额(10U)之后,他账户的币就全被清空了。
  小怜很懵逼,根本不知道问题出在哪里,他甚至怀疑是不是自己之前使用钱包不当,不小心泄露了私钥?还是说TP钱包有漏洞?
  其实,小怜的钱包私钥并没有泄漏,TP钱包也没有什么安全漏洞。
  问题究竟出在哪?问题就是那个二维码!
  这个二维码看似是TokenPocket钱包的收款二维码,实则却是一个钓鱼码。扫码之后会进入一个假的转账页,点击右上角的“…”,我们就会看到该页面是由“huobi4.gzimtoken.com”提供。
  简单来讲,你以为你在“转账”,实际上你在“approve授权”你的账户权限。
  什么是“授权”呢?
  比如我们熟悉的支付宝,很多人为了支付便捷会开启免密支付,支付小额的时候就不需要输入密码了。这就是授权了你的小额支付权限。
  而我们前面所说的钱包授权则更严重,一旦你授权,对方不需要拿到你钱包的私钥或者助记词,就可以直接拿到你的转账权限了。
  那么如何防范这种钓鱼转账二维码呢?
  在钱包转账时,如果扫码之后页面右上角出现“…”,那么就代表这个页面是web页面,而并非钱包原生转账页面。这个时候就应该立即退出,千万不要再进行任何操作。
  
  当然,还有一个更简单也更保险的方法:那就是直接复制对方的地址进行转账,而不是扫二维码转账。
  小怜进行了一笔波场TRX的转账,随后钱包就立刻收到了10个FIL的空投。
  天上掉馅饼咯,还有这种好事儿。
  点击查看详情,上面写着”Filecoin上线TRON,随机空投百万美元,空投砸中的用户登录filecoinswaps.com进行空投领取兑换。”
  
  有便宜不占王八蛋,而且Filecoin也是正经的大项目。所以小怜赶紧去官网兑换了。
  原本只想薅个羊毛,没想到最后自己整个账户都被清空了。
  这个空投其实是假的Filecoin代币。
  
  所谓官网,看似是用来交易兑换的。实际上,只要你链接了你的钱包,点击“SWAP”按钮,输入密码之后,对方就有权转走你的资产。
  本质上,这和上一个骗局中的卖U扫码是一个道理。你以为你在“兑换”,其实你在“授权”你的账户权限。
  最近,波场钱包一旦转账,就会收到各种各样的空投,有的10个,有的几千几万个。这些代币的介绍中都会附上网址,告诉你可以在XXX直接兑换TRX。其实全是拿空投作幌子,引诱你授权的。
  
  预防此类骗局,最简单的方法就是,千万别去不知名的交易平台交易。
  关于链上的去中心化交易平台,以太坊上认准Uniswap和Sushiswap;币安链认准PancakeSwap;HECO认准MDEX;波场链认准Justswap。
  某天,小怜打开imToken钱包,就发现其中的以太坊被转走了。于是小怜紧急联系了imToken安全团队。原来被盗的不只有小怜,而且所有被盗地址存在一个共性,均是使用 LCS 钱包创建的钱包地址。
  LCS(Liberty Cash)钱包宣称是一个去中心化钱包。
  它给了用户助记词,即使LCS钱包不能使用,用户的资产也不受损,因为仍然可以将助记词导入其它钱包正常使用。
  
  这一点没错,但是LSC钱包只讲了一半实话,它给用户助记词的同时,还暗自备份了助记词。
  如何了解一个钱包是否收集用户的助记词,可以通过抓包的方式,观察钱包是否将私钥助记词通过明文或加密的方式传至服务器。
  将一个助记词导入到LSC钱包进行测试,通过抓包发现,该钱包会将助记词上传至接口:portal-api-v3.lcs.world/user/importWallet
  
  也就是说,LSC会存储用户的助记词,它并不是一个去中心化钱包。
  何为去中心化钱包?
  不仅仅是用户能拿到助记词/私钥,而且用户得是唯一拿到助记词/私钥的人。
  关于钱包的使用,鉴叔还是推荐大家使用imToken、比特派、麦子等真正的去中心化钱包。
  6月8日下午,小怜接到了来自币安电话,香港的号码。
  
  客服:先生您好,打扰一下,我这边是币安交易中心的。您在2020年12月4日18:56,有一笔12000USDT的买入订单,您还有印象吗?
  小怜:不太记得了
  客服:您可以打开您的币安网查看一下,您的该笔交易涉嫌黑币交易,这笔资金是东南亚电信诈骗得来的款项,可能会导致您的交易异常。今天给您打电话是希望您接下来不要再进行任何充值、交易提现等操作,以避免您的资金严重损失。稍后我们交易中心会协助解除掉您的黑币交易风险,您这边方便抽出3-5分钟的时间处理吗?
  小怜:怎么搞?
  客服:我们这边先要跟您核对一下本人的信息资料,您的姓名是XXX,手机号是XXX……
  小怜:嗯,对的
  客服:接下来我们会帮您解除风险。您这边可以提供一个邮箱吗?我们这边官方电子邮件会给你下发一个电子邮件,然后您按照指引操作即可。
  小怜:死骗子!回头是岸吧!
  然后客服就直接挂了电话。
  这个骗局的后续套路是什么?
  小怜会收到一封所谓的“解除风险邮件”,这里面会有一个钓鱼链接。
  一旦小怜进入钓鱼网站,用账号、密码、验证码登陆,那么这个账号的资金就全部会被盗取。
  交易所或者钱包的客服骗局并不新鲜,只不过以前是骗你加群去买各种山寨币,或者合约带单;现在是骗你遇到黑钱,要帮你解除风险。
  总之我们要牢记,币安、火币等交易所并不存在电话客服,不要相信任何交易所的主动联系。
  并且,任何渠道遇到的客服(像微信、QQ、电报等),我们也可以通过交易所的官方验证渠道,来验证其真假。
  
  写在最后
  骗子总是防不胜防,而我们能做的,就是警惕警惕再警惕。
  16字防骗指南送给大家:
  客服不信(不管是电话客服,还是电报/QQ/微信客服,主动联系你的一概无视)小所不玩(不管是中心化还是去中心化的交易平台,不知名的一概不玩)收益莫贪(任何高收益面前,切记都多长个心眼,记住,天上不会轻易掉馅饼)私钥管牢(使用真正的去中心化钱包,私钥和助记词妥善保管,打死都不给别人)最后,欢迎大家转发分享这篇文章,让更多的人看清骗子的套路,免受伤害!多一点传播,少一点上当!
  
  
  

原创文章,作者:,如若转载,请注明出处:https://www.zixunlou.com/archives/1813

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注