昨天，差点木进入马网站被盗取钱包全部本金的我，心有余伤的发了个推。

昨天翻盖睡不着，后决定写一篇去博客来详细解释被盗原理方法和骗子常用的解释。

的朋友，想像的朋友，推特的朋友，圈不和谐的朋友圈，不是围绕着网络3的三大平台。

自己的项目通过另外官方号宣传的评论，我们通过等方式获得项目可以获奖的方式，有资格通过获得新项目的获奖资格。

骗子用机器人追踪点赞或转发的所有用户，进行用户锁定。并将行骗的twitter小号的头像更改为项目方或者相应管理员头像，对参与项目的用户进行私信，通知 已经被项目方选中获得白名单，然后发送一个钓鱼网站，要求你进入后链接并授权钱包进行白名单地址登记。

点进这些骗子的twitter动态，都是转发项目方相关信息，只不过网站都是假冒的。这些伪装达到了以假乱真的程度，再加上用户正沉浸在中奖的喜悦下，从而大意进入木马网站进行钱包授权，最终不免钱包被血洗的结果。

最著名的案例则是年初的伪装Azuki项目方事件

telegram和discord是以加入频道或服务器的方式，进入项目方创建的群聊中，项目方的信息一般都发不在tg的置顶消息中或者dc的公告频道，但是由于成员的鱼龙混杂，导致骗子藏匿其中。 当你进入tg或者dc中后，顶着项目方头像的骗子会立刻私信 套路和twitter的私信一模一样，一个恭喜获奖的通知+钓鱼网站 。

我们进入dc和tg的目的就是获取白名单/ido/预售的权限，当你收到消息后，可能感性高于理性 心里想着 终于轮到我当天选之人了，终于可以不用熬夜抢公售 狠狠赚几E 然而结果确是感性大于理性 未加筛选的 轻松掉入骗子的陷阱 授权诈骗合约后 眼睁睁钱包 被掏空。

昨天的我就是进入dc后遭遇此种骗术，在钱包链接前瞬间清醒 吓出一身冷汗。

tg作为项目方发布和交流信息的主要平台 在项目方会在公布预售时间前的三分钟，频道中会异常热闹，大家都在焦急的等待并催促项目方放出预售链接，骗子此时发布假的预售网站链接 由于此时的fomo情绪达到顶点，大家都不甘人后，很多粗心的用户在情绪的感染下也不去仔细辨别 从而导致钱包授权后 财产损失

我的一个朋友是被此种骗术套路后损失2b差点退圈。

但是值得注意的是，现在很多项目方会提前10分钟全体禁言 并置顶官方链接 从而防止用户被骗。

• tg、dc私信 或短信 邮箱 宣传xx投资机构投资的百倍币项目+官网

• twitter 机器人 发布free mint nft 官网信息 并@你

• tg 拉你进金狗同名貔貅群 群里的k线和官网都是真的 只有合约是假的 并且群内90%都是托 疯狂诱导你购买

• 收到今天是CZ和V神 生日，网站交互就送 100B或者100E（手动狗头）

一句话概括 通过各种奖励，诱导你进入钓鱼网站！！！

千万不要打开不明网站 ！

千万不要打开不明网站 ！

千万不要打开不明网站 ！

私信你发项目官网的 200%都是骗子 正常的白名单都会在 项目方官推 tg频道置顶 dc 公告频道 进行公布

只要别被一时的喜悦冲昏头脑，仔细对照项目方发布网站，哪怕一个字母不一样，都是钓鱼网站

退一万步讲，如果授权后，通过取消授权的方法，也可能挽回部分损失，具体情况在第三部分介绍。

一句话解释：只要你的钱包approve（授权）了一个合约，不需要私钥理论上也可以把对应的钱全部转走。钓鱼合约能够对账号里面Token进行操作，而且一般是没有数量限制的。

注： approve方法是会被链上记录的，可以在etherscan.io中被查看到。

一个钱包approve授权木马合约的脸上记录如下：

追溯该转账记录的详细授权信息：

基本上metamask默认授权的时候是

ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff

转换成数字，我们认识的就是 1.157920892373162 乘以 10 的 59 次方。基本上就可以理解为无限量转账了，也就是这个授权的操作，可以让这个合约无限量的操纵用户账号中的token。

黑客操纵一个可以控制这个合约方法的钱包地址，就发起合约转账方法，随后把钱转走。

我们在pancakeswap、uniswap上买卖token或者在项目方官网上mint nft 操作时，都需要进行approve操作。

以买卖token为例，无论是在以太链还是币安链，我们的交易都不是点对点交易，而是都需要去中心化交易所DEX的作为媒介，如bsc上的pancake和eth上的uniswap。

只有对swap进行approve操作后，swap才可以将你钱包中的授权token进行转移进入流动池，从而换取对应的等值代币。如果将钱包approve给swap 则无法买卖token。

而对木马合约进行授权后，会瞬间触发转账事件

正常的转账，转账方和合约执行的转账方应该是同一个人，而此时的转账的这笔交易，这两个不是同一个地址。推测应该是由一个可以执行钓鱼合约的钱包地址控制执行了合约，然后将我钱包洗劫一空。

所以以后一定要注意，不要随便给不知道的项目授权！！！ 所以以后一定要注意，不要随便给不知道的项目授权！！！ 所以以后一定要注意，不要随便给不知道的项目授权！！！

既然讲了那么多，那么如何查看并取消授权，从而避免钱包资金被盗呢？

metamask 官方的技术支持中给出了几个网站可以进行查询并取消：

• Revoke (Ethereum mainnet)

• Unrekt (multiple networks)

• approved.zone (Ethereum mainnet)

• Cointool (multiple networks)

• beefy.finance (BSC/BNB Smart Chain).

如果大家对这些网站持有怀疑，那么可以在etherscan.io中取消授权，这个可是妥妥的官网。

可以看到，我的eth钱包没有任何授权，这就证明非常安全。

BSC链的只需要在 bscscan.com 进行相同的操作即可。

在BSC上的一个approve的撤销即成功！！！ 多个按相同步骤连续操作即可！！！

就在我构思这篇博客的时候，突然间收到了下面这条消息。

希望大家用过permint平台的，赶快按照第三部分的去进行取消授权操作，谨防意外损失。

在Web3的黑暗森林中，任何用户或平台都是猎物，黑客就像隐藏其中的猎人，永远要提高警惕，防止黑暗中的獠牙随时向你扑来。

最后，希望大家多关注我的twitter，以后会分享更加有趣和有深度的内容。

https://twitter.com/CoolBerwin

昨天，差点木进入马网站被盗取钱包全部本金的我，心有余伤的发了个推。

昨天翻盖睡不着，后决定写一篇去博客来详细解释被盗原理方法和骗子常用的解释。

的朋友，想像的朋友，推特的朋友，圈不和谐的朋友圈，不是围绕着网络3的三大平台。

自己的项目通过另外官方号宣传的评论，我们通过等方式获得项目可以获奖的方式，有资格通过获得新项目的获奖资格。

骗子用机器人追踪点赞或转发的所有用户，进行用户锁定。并将行骗的twitter小号的头像更改为项目方或者相应管理员头像，对参与项目的用户进行私信，通知 已经被项目方选中获得白名单，然后发送一个钓鱼网站，要求你进入后链接并授权钱包进行白名单地址登记。

点进这些骗子的twitter动态，都是转发项目方相关信息，只不过网站都是假冒的。这些伪装达到了以假乱真的程度，再加上用户正沉浸在中奖的喜悦下，从而大意进入木马网站进行钱包授权，最终不免钱包被血洗的结果。

最著名的案例则是年初的伪装Azuki项目方事件

telegram和discord是以加入频道或服务器的方式，进入项目方创建的群聊中，项目方的信息一般都发不在tg的置顶消息中或者dc的公告频道，但是由于成员的鱼龙混杂，导致骗子藏匿其中。 当你进入tg或者dc中后，顶着项目方头像的骗子会立刻私信 套路和twitter的私信一模一样，一个恭喜获奖的通知+钓鱼网站 。

我们进入dc和tg的目的就是获取白名单/ido/预售的权限，当你收到消息后，可能感性高于理性 心里想着 终于轮到我当天选之人了，终于可以不用熬夜抢公售 狠狠赚几E 然而结果确是感性大于理性 未加筛选的 轻松掉入骗子的陷阱 授权诈骗合约后 眼睁睁钱包 被掏空。

昨天的我就是进入dc后遭遇此种骗术，在钱包链接前瞬间清醒 吓出一身冷汗。

tg作为项目方发布和交流信息的主要平台 在项目方会在公布预售时间前的三分钟，频道中会异常热闹，大家都在焦急的等待并催促项目方放出预售链接，骗子此时发布假的预售网站链接 由于此时的fomo情绪达到顶点，大家都不甘人后，很多粗心的用户在情绪的感染下也不去仔细辨别 从而导致钱包授权后 财产损失

我的一个朋友是被此种骗术套路后损失2b差点退圈。

但是值得注意的是，现在很多项目方会提前10分钟全体禁言 并置顶官方链接 从而防止用户被骗。

• tg、dc私信 或短信 邮箱 宣传xx投资机构投资的百倍币项目+官网

• twitter 机器人 发布free mint nft 官网信息 并@你

• tg 拉你进金狗同名貔貅群 群里的k线和官网都是真的 只有合约是假的 并且群内90%都是托 疯狂诱导你购买

• 收到今天是CZ和V神 生日，网站交互就送 100B或者100E（手动狗头）

一句话概括 通过各种奖励，诱导你进入钓鱼网站！！！

千万不要打开不明网站 ！

千万不要打开不明网站 ！

千万不要打开不明网站 ！

私信你发项目官网的 200%都是骗子 正常的白名单都会在 项目方官推 tg频道置顶 dc 公告频道 进行公布

只要别被一时的喜悦冲昏头脑，仔细对照项目方发布网站，哪怕一个字母不一样，都是钓鱼网站

退一万步讲，如果授权后，通过取消授权的方法，也可能挽回部分损失，具体情况在第三部分介绍。

一句话解释：只要你的钱包approve（授权）了一个合约，不需要私钥理论上也可以把对应的钱全部转走。钓鱼合约能够对账号里面Token进行操作，而且一般是没有数量限制的。

注： approve方法是会被链上记录的，可以在etherscan.io中被查看到。

一个钱包approve授权木马合约的脸上记录如下：

追溯该转账记录的详细授权信息：

基本上metamask默认授权的时候是

ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff

转换成数字，我们认识的就是 1.157920892373162 乘以 10 的 59 次方。基本上就可以理解为无限量转账了，也就是这个授权的操作，可以让这个合约无限量的操纵用户账号中的token。

黑客操纵一个可以控制这个合约方法的钱包地址，就发起合约转账方法，随后把钱转走。

我们在pancakeswap、uniswap上买卖token或者在项目方官网上mint nft 操作时，都需要进行approve操作。

以买卖token为例，无论是在以太链还是币安链，我们的交易都不是点对点交易，而是都需要去中心化交易所DEX的作为媒介，如bsc上的pancake和eth上的uniswap。

只有对swap进行approve操作后，swap才可以将你钱包中的授权token进行转移进入流动池，从而换取对应的等值代币。如果将钱包approve给swap 则无法买卖token。

而对木马合约进行授权后，会瞬间触发转账事件

正常的转账，转账方和合约执行的转账方应该是同一个人，而此时的转账的这笔交易，这两个不是同一个地址。推测应该是由一个可以执行钓鱼合约的钱包地址控制执行了合约，然后将我钱包洗劫一空。

所以以后一定要注意，不要随便给不知道的项目授权！！！ 所以以后一定要注意，不要随便给不知道的项目授权！！！ 所以以后一定要注意，不要随便给不知道的项目授权！！！

既然讲了那么多，那么如何查看并取消授权，从而避免钱包资金被盗呢？

metamask 官方的技术支持中给出了几个网站可以进行查询并取消：

• Revoke (Ethereum mainnet)

• Unrekt (multiple networks)

• approved.zone (Ethereum mainnet)

• Cointool (multiple networks)

• beefy.finance (BSC/BNB Smart Chain).

如果大家对这些网站持有怀疑，那么可以在etherscan.io中取消授权，这个可是妥妥的官网。

可以看到，我的eth钱包没有任何授权，这就证明非常安全。

BSC链的只需要在 bscscan.com 进行相同的操作即可。

在BSC上的一个approve的撤销即成功！！！ 多个按相同步骤连续操作即可！！！

就在我构思这篇博客的时候，突然间收到了下面这条消息。

希望大家用过permint平台的，赶快按照第三部分的去进行取消授权操作，谨防意外损失。

在Web3的黑暗森林中，任何用户或平台都是猎物，黑客就像隐藏其中的猎人，永远要提高警惕，防止黑暗中的獠牙随时向你扑来。

最后，希望大家多关注我的twitter，以后会分享更加有趣和有深度的内容。

https://twitter.com/CoolBerwin