如果觉得我的内容对你有帮助，欢迎关注我的推特账号和小红书账号：飞猪聊web3，获取更多web3的安全知识、基本技能和实用资讯

如果需要更具体、系统、有针对性的教程指导，欢迎大家私聊咨询哦

2022.10.25日（utc时间）又发生了一起大额的钓鱼诈骗，受害者损失了36574枚USDC，一只BAYC，多只其他价值NFT，根据我在以太浏览器内的追踪发现，诈骗的手法跟之前我介绍过的如出一辙，仍然是踩坑两件套：不当授权+签名

损失USDC的原因是把调用USDC的权限授权给了钓鱼地址；

损失NFT的原因是同意钓鱼地址用0元购买自己已经授权给opensea合约的全部贵重NFT

下面我给大家具体分析一下

1损失USDC的操作

在这步操作中，失主把转移自己USDC的权限授权给了尾号是d106的钓鱼地址，其实该地址在以太坊浏览器中已经被打了fake_phishing的标志，如果授权之前能查看一下授权的地址是什么，很有可能就能避免此次损失

在失主授权之后，被授权的钓鱼地址立刻发起了转移USDC的操作，共转走了36574枚USDC

2损失NFT的操作

由于在案发前后我并没有发现失主授权NFT给骗子的操作，但是我在骗子地址上却发现了一笔一次性转移走失主14枚NFT的交易，由于这笔交易是骗子通过调用opensea的seaport合约而实现的，所以我推断失主必然是提前把涉及到的NFT都授权给了seaport，然后签名同意了骗子调用seaport进行0元购NFT的请求。

为了验证这一点，我用etherscan的tokenapprovalchecker检查了一下失主地址的授权情况，果然被盗的NFT系列都是失主曾经授权给seaport协议且一直并未取消掉的

此次案例的行骗手法并不稀奇，特别之处是其中涉及的钓鱼地址的ENS域名为：monkey-drainer，同时也有其他证据显示，这是一个专门针对猴子等高价值NFT持有者的诈骗团伙。

所以墙裂建议大家在web3中努力赚钱的同时，千万要记得加强对资产安全的学习，做好资产隔离，免得努力build的资产白白为骗子做了嫁衣。

区块链的暗黑森林中，任何一个操作都可能涉及大额资产损失，大家一定不要忽视资产安全，及早学习、未雨绸缪、防微杜渐，方为上策。

如果觉得我的内容对你有帮助，欢迎关注我的推特账号和小红书账号：飞猪聊web3，获取更多web3的安全知识、基本技能和实用资讯