警惕交易平台Web3钱包背后的加密欺诈风险
Bitrace
0x494c
November 10th, 2023

作为链上生态的入口,钱包不仅是数字资产的存储工具,还是用户与众多去中心化金融产品(DeFi)交互的主要场所。传统的Web3钱包——例如MetaMask、imToken、TokenPocket等——往往独立于中心化交易平台运营,当前主流的交易平台开始推出内置Web3钱包以抢占未来的流量阵地,这使得加密领域中心化交易所与去中心化Web3间的界限逐渐模糊。

OKX、Binance的web3钱包的推出意味着CeFi和DeFi的整合已然成为行业趋势,但在打通链上与现实资产壁垒的同时,也使得加密犯罪团伙的骗术路径缩短,信任搭建成本降低,加剧了欺诈风险。本文将通过列示若干欺诈案例以揭示内置钱包暗含的欺诈风险,提醒相关从业者在拥抱新趋势的同时做好资产保护工作。

Web3钱包欺诈案例

交易平台内置钱包为用户提供一站式链上服务的同时,也替小白用户打开了潘多拉魔盒——投资理财骗局、授权盗币钓鱼、虚假代币销售等。

假BNB生息诈骗

在BNB生息诈骗骗局中,诈骗团伙伪装成交易所官方人员,进行所谓的平台矿池合约(ETH/BNB)应用推广活动,声称将ETH存入流动性矿池合约地址做市以产生利润。用户将根据其发送的ETH数量自动获取BNB及8%-15%的收益,但实际合约返还的是假代币,根本无法在交易所内兑换。

全群皆演员,用户在此氛围中极易上头迷失、跃跃欲试,遂点开与群里官方管理员的聊天窗口,咨询参与细节。从受害人提供的聊天截图中,我们不难发现,钱包作为承接交易所和链上金融的窗口,是欺诈流程中是不可或缺的一环。

在以往诈骗套路中,存在诸如“如果是交易所官方推出的活动,为什么还需要我下载第三方钱包来参与生息”的骗局BUG。现今交易所官方内置Web3钱包,为链上DeFi打开了流量窗口,平台币生息骗局的逻辑更为合理,操作更为简便——“为推广交易所最新的Web3钱包功能,现推出平台币质押生息活动,连接Web3钱包存入资产即可获得收益”。诈骗团伙无需再冒充官方交易平台获得信用背书,只需引导用户前往钓鱼网站即可。

持U挖公链币骗局

持U挖矿骗局中,不法者以高收益的稳定币挖矿为名义,许诺在钱包中存有一定数量的USDT,即可获取BNB/OKB/HT/TRX等公链币收益。但实际上这只是诱骗用户交互恶意授权合约的噱头,在获取地址资金权限后,择机盗窃。

授权被骗取
授权被骗取

以受害人TXa97T为例,经人推荐参与UTK Miners流动性挖矿协议。该协议宣称只要地址内持续存有USDT,无需锁仓即可持续获取TRX利息,早期确实能够定期获取TRX收益,受害人遂进一步投资参与,几日后地址内资金惨遭全部转移。区块链浏览器显示,骗子通过将授权合约伪装成所谓的挖矿授权,用户最初与协议网站的交互就将自己的资产权限转移给了黑客地址。

这类欺诈网站,往往会弹窗要求用户安装钱包,小白用户可能会在从未接触过的抽象Web3面前选择保守,进而影响欺诈活动转化率。但交易平台官方内嵌钱包完美替代了骗子引导用户下载钱包充值这一步骤,也给了用户一定的探索信心。

贩卖假U骗局

正如真实世界一样,区块链世界也充斥着“假钞”骗局。欺诈团伙通过折价卖U等形式在各个渠道兜售假币,这种欺诈行为已经造成了广泛的用户损失。由于链上代币的发行不存在准入机制,发行同名假币所需资金、技术门槛并不高,导致同名假币屡见不鲜,真假难辨。而作为流通量大、受众面广的稳定币USDT,最易成为假币冒充的标的。

我们发现,假U售卖骗局已出现在某交易平台内嵌Web3钱包的C2C栏目中。上述截图显示,花费$659.53即可购买到745枚与美元1:1锚定的稳定币,但实际上该「USDT」是欺诈者发行的虚假代币,截止撰写本文时,该0x...9855假u合约地址已与42个交易对手方产生交易。这对于初入加密世界的新手用户而言,打击不可谓不巨大。

交易平台内置钱包欺诈风险加剧

通过以上案例不难发现,交易平台内置Web3钱包在一定程度上加剧了加密欺诈风险,这主要由以下几个原因导致:

  1. **内置钱包有官方背景。**传统的针对加密货币小白的欺诈流程冗长且存在信任难题,链上骗局往往转化率低下。但在交易所App内置Web3钱包的当下,用户不仅无需另行下载第三方钱包即可一键创建钱包体验链上生态,还天然对这种能够与中心化平台账户互相划转的钱包多出几份信任,大幅降低了欺诈团伙的用户转化难度。

  2. **新加密用户缺乏有效引导。**内置钱包打通了交易所与链上,而新用户往往对链上交互的风险缺乏了解,在缺乏足够教育和引导的情况下,独自一人探索加密货币的“黑暗森林”,则更容易成为钓鱼攻击、套利诈骗等骗局的目标,也难以安全地存储、交易和管理数字资产。

  3. **加密货币钱包本身是无许可的。**Web3钱包背后的欺诈风险并非来自运营商,而是加密货币钱包的无许可特性本身。开放式、高匿名度的网络空间极易被非法活动所利用,交易平台web3钱包背靠巨大的用户流量,在未来也将面临更严峻的安全挑战。

写在最后

目前Binance刚刚推出自己的web3钱包,而OKX则更早便已经推出了相关业务并成熟运营,使繁琐的钱包操作流程变得简单,极大程度地优化了产品体验,为海量加密用户打开了去中心化生态的大门,但随之而来的链上安全问题也不容忽视,Bitrace呼吁相关交易平台:

  1. **在APP内添加更多教程与引导。**在用户创建web3钱包前,要求用户观看使用教程与相关影片,科普链上安全知识;要求用户完成链上交互常见骗局的风险调查问卷。

  2. **对新用户的部分功能进行暂时限制。**例如,刚注册交易所的用户不具备将交易所资产一键划转到Web3钱包的功能;大额资金的划转需要进行身份验证等二次确认等。

  3. 接入第三方威胁情报数据。与第三方安全机构如Bitrace共享威胁情报数据,增加内置Web3钱包风险授权提醒、风险合约取消授权提醒、新型威胁弹窗等功能,以提高新用户使用Web3钱包时应对威胁的能力,营造更加透明友好的加密环境。

Twitter:

Website:

Subscribe to Bitrace
Receive the latest updates directly to your inbox.
Mint this entry as an NFT to add it to your collection.
Verification
This entry has been permanently stored onchain and signed by its creator.
Arweave Transaction
1evcu9aJiylNXEl…U4QvCUK8j1NWlVw
Author Address
0x494cc3c80573E34…96EE8349CcBcE94
Content Digest
Y23WK_nR0Xp84Pf…1XB6H6Hi_xLiXu0