# 《币圈防骗指南-1》 --- 致:投资区块链的新人们 By [FlyingBird](https://paragraph.com/@flyingbird) · 2022-03-28 --- 钱包的使用 ----- 进入区块链,投资Defi、GameFi、NFT、IDO,不可避免使用需要Google浏览器插件小狐狸钱包,或者其他如TrustWallet、TokenPocket之类的钱包。 知识点1: > 钱包可以由助记词或私钥来导入、迁移,如果骗子获得了你的助记词、私钥,相当于骗子获得了你网银的账号和密码。 知识点2: > 一个私钥可以导入一个钱包地址;而助记词是一个根私钥,导入助记词,可以还原回复你曾经生成过的多个钱包,则骗子也可以获得你多个钱包的地址! 私钥或助记词的丢失是灾难性的, 意味着你将丢失你钱包中所有的数字资产! 骗取私钥、助记词的常见方式 ------------- ### 方式1: 伪装成项目客服骗取 * 骗子伪装为客服潜伏在社群中(电报、Discord为重灾区); * 当有用户出现转账或者提取收益等求助咨询时,骗子及时联系用户协助其处理; * 通过耐心的解答,发送伪装的专业工单系统,让用户输入助记词或私钥解决其交易异常; * 骗子拿到私钥后盗取资产,拉黑用户。 如何应对: * 遇到问题不用慌,只要私钥、助记词还在没丢,你的钱(不管是质押的还是钱包的)不会丢失,即使真的卡着,要有耐心,可以慢慢找项目方、朋友来解决。 * **任何项目都不会主动联系你,任何项目都不会主动联系你,任何项目都不会主动联系你**,主动私下联系你的\*\*100%\*\*都是骗子,直接拉黑! ### 方式2: 网络钓鱼窃取私钥 进入区块链,投资Defi、GameFi、NFT、IDO,不可避免使用需要Google浏览器插件小狐狸钱包,或者其他如TrustWallet、TokenPocket之类的钱包。 骗子们通过克隆一个知名区块链项目,通过精心设计成同原始真实项目一模一样的假项目钓鱼网站,对于精心设计的这个钓鱼网站,普通用户无法辨别真假,通过各种渠道发布这些信息,以假乱真,这样即可轻易引诱用户访问钓鱼网站并引导他们输入帐户密码或密钥,盗取用户钱包中数字资产。 如何应对: 在google上搜索项目方信息,进入电报或Discord了解情况后,再决定是否操作。 ### 方式3: 恶意软件 骗子们以某些加密货币资源的名义,将应用程序添加到Google Play商店,或者通过网络钓鱼的方式,欺骗用户下载修改后的应用程序,该应用程序实则为一个恶意软件,如假的小狐狸钱包、假的Token Pocket钱包等,当下载、启动该应用程序后,你导入钱包后攻击者即可获取你的钱包控制权, 其他的软件也可以控制受害者电话或者手机,然后允许攻击者窃取帐户凭据,私钥等更多信息,导致钱包被盗。 如何应对: 牢记常用钱包软件的下载地址,不要下载恶意软件。 盗取账户数字资产的方式 ----------- 知识点3. 授权 > 在任何网站或项目操作的时候, 事先都需要你的授权,该网站才能获得使用你授权代币的权限。譬如你在uniswap 使用USDT兑换ETH的时候,则需要授权uniswap获取你钱包中USDT得权力。 所以授权需要非常的谨慎。 > > 而签名则没有什么风险,只是证明这个钱包属于你而已。 ### 方式1: 贪小便宜,随意领取空投被盗 * 骗子事先发“**空投**”到你的钱包,你在使用区块链浏览器的时候会发现他们,某些不知道代币比较值钱,于是去骗子们的网站出售,而出售需要授权; * 骗子伪装成各种交易平台,DeFi,NFT等区块链项目,(注意:有合约审计的也会跑路) * 骗子通过媒体社群发起可明显薅羊毛的空投、挖矿活动; * 用户扫码或点击链接后点击领取空投的网页进行卖出空投的操作。(其实也是用户approve授权给骗子提取你账户U的过程); * 随后受害者账户大量U或其他数字资产被转走(骗子调用TransferFrom转走用户U) ### 方式2: 扫描恶意二维码或点击链接 * 骗子将预先准备好的恶意二维码发送给用户;只需要支付少量U即可参加某某之类; * 用户输入小额或者指定金额U或其他数字资产后,确认转账交易(实际运行的是用户Approve授权给骗子U的过程); * 随后用户钱包大量U或其他数字资产丢失(骗子调用TransferFrom转走用户U) 其他骗钱方式 ------ * 未知的ido项目代币预售; * 未知的NFT项目预售; * 轻信所谓的机器人,如夹子机器人合约,骗不懂合约开发的朋友。 --- *Originally published on [FlyingBird](https://paragraph.com/@flyingbird/1)*