WEEX安全提醒：授权钓鱼

什么是授权钓鱼騙局？

授權釣魚是Web3領域最常見、最危險的騙局之一，無數用戶資產的安全受到了影響。

在Web3中，用戶與智能合約互動時，通常需要先進行簽名授權，常見例子包括：

• 授權某個dApp使用您的代幣。
• 授權合約轉移您的NFT。
• 執行看似無風險的操作，例如登錄驗證或驗證所有權等。

授權釣魚騙局正是利用這些授權操作，誘騙用戶向惡意合約授予轉帳其資產的權限。

核心特徵

1. 誘騙用戶授權敏感權限——詐騙者偽裝成正常的dApp、空投或NFT項目。诱导用户点击“授权”按钮，实质是让用户对恶意合约执行代币授权或NFT授权等操作。
2. 用户未转账，但资产被转走——用户没有主动发起转账，只是点击了“确认”。但诈骗者拿到授权后，可随时转走您钱包中的资产，而无需您再采取进一步行动。
3. 授权无限额度——多数恶意合约会请求“最大额度授权”，一旦获批，可对用户的代币或NFT进行永久、无限制的访问与操作。
4. 合约只索取授权——恶意合约不主动窃取资金。一切都建立在用户“自愿授权”的前提下，绕过传统的反诈骗警觉性。
5. 签名提示误导性——钱包弹出的授权提示，内容过于技术化或过于简单，让用户难以理解正在签名的内容。许多用户误以为这只是无害的“授权”，没来得及意识到有风险就点击确认了。

常見場景

1. 假空投或假NFT铸造页面——网站宣传“限量空投”或“免费铸造”。点击按钮就会弹出授权窗口，请求您授权代币或NFT权限。此時一旦您授權，詐騙者就可以隨時將您的資產轉走。
2. 假冒的去中心化交易所或兌換平台——用戶將錢包連接到仿冒的去中心化交易所兌換代幣。實際上該平台未執行任何交易，而是引導用戶授權代幣權限。隨後您的資金將被盜用。
3. 假冒的質押或遊戲平台——詐騙者搭建仿冒的DeFi或GameFi平台，引導用戶去「質押代幣」或「開始遊戲」。實際整個平台都是空殼，只是為了騙取用戶授權代幣或NFT進而盜走資產。
4. 黑客入侵正常項目的前端——黑客入侵知名合規項目的網站或DNS劫持，將項目方原有的合約替換成惡意合約。用戶誤以為自己在使用正版dApp，但實際授權給了惡意合約。
5. 假冒的客服或假說明文件——用戶在社群中遇到假的「技術支持」或「客服」，對方發來一個連結，聲稱可以幫您解決問題。該頁面會要求您授權某個合約，實則是會盜用資產的陷阱。

運作原理

授权钓鱼的核心原理很简单：

诈骗者利用用户对链上授权机制缺乏了解的情况，通过诱骗用户授权，得以控制用户的资产，最终在用户不知情的情况下盗取其资产。

技术流程

典型的授权钓鱼通常有以下步骤：

1. 诈骗者部署了恶意合约（该合约本身不主动发起转账）。
2. 引导用户对其代币进行授权。
3. 用户授权成功，资产仍在钱包中。
4. 随后诈骗者利用授权盗用用户钱包中的资金。
5. 由于该交易已被用户授权，因此操作将被视为合法，不会被拦截。

安全防护措施

用戶需警惕以下危險信號，避免陷入授權釣魚陷阱：

• dApp無實際功能，僅反覆引導用戶進行授權操作。
• 授權請求涉及ETH、穩定幣、NFT等高價值資產。
• 請求授權時未設定明確額度。
• 簽名彈出提示包含“高風險操作”相關標識。
• 該網站看起來不夠專業，或模仿了知名項目。
• 不要點擊來源不明的連結，不批准來自未驗證渠道（如Telegram陌生私信、X非官方回復）的授權請求。

結語

不明白簽名內容就不簽；授權看似非交易合約時，同樣要三思。

對於普通用戶來說，對智能合約授權應該做到盡可能謹慎。秉持安全第一的理念，將每一次授權都視作“轉賬”。授權前務必仔細檢查，確認無誤后再簽名。

延伸閱讀

• WEEX安全提醒：高风险代币
• WEEX安全提醒：短信幌騙交易
• WEEX安全提醒：社交媒体与在线论坛
• WEEX安全提醒：常見加密貨幣騙局