撰文 | LXDAO

编辑 & 排版 | Soleil

设计 | Daisy

在区块链的黑暗森林中，资产被盗事件屡见不鲜，为提升大家的安全防范意识，LXDAO 携手 Samo 老师推出 MyFirstScam 系列第一期课程，旨在揭示 Web3 世界中的各种骗局，为大家的数字资产筑起坚实可靠的安全防线！

MyFirstScam 第一期课程一共推出了 5 个视频，选取最常见的 5 大骗术类型：钓鱼 1.0 2.0，以 Transfer、Approve 为主的钓鱼攻击、钓鱼 3.0，恶意签名、盗取私钥、修改转账地址以及貔貅盘（蜜罐代币）进行了全方位的骗术及其对应的防范方法的讲解，并于 6 月 18 日举办了一场以资产安全为主题的 Twitter Space ，在此次 Space 活动中吸引了众多观众参与，直播间氛围火热，观众们积极互动，与嘉宾们进行了深入交流。

📍MyFirstScam 第一期视频直达链接：https://www.youtube.com/playlist?list=PLixFNij3zCfIdhoZSFA128hhO5h1pAKf9

👏错过 Space 直播的小伙伴也可戳此链接回放：https://x.com/lxdao_official/status/1803032424395501699?s=46

以 Transfer 形式进行的钓鱼攻击是最为常见且最为简单的一个钓鱼攻击骗术，攻击者通过诱导用户访问钓鱼网站并点击登录的按钮，随后弹出待确认的交易信息：ETH 或其他代币转账亦或者授权第三方将用户钱包内的 NFT 转移至其他地址，一旦你不慎点击确认，会直接将自己的加密资产转移给钓鱼地址。

但这种方法过于粗暴且易于被识别，于是便有了钓鱼攻击 2.0：以 Approve 授权或提高授权额度亦或授权使用 NFT 进行资产的盗取。通过诱导用户签署 Approve / IncreaseAllowance /SetApprovalForAll 交易，该交易会允许攻击者指定地址转移用户的代币资产，并在用户签署后实时监控用户的账号，一旦有相应的资产转入将立即转走。

相比于钓鱼攻击的 1.0 与 2.0 ，交易时附带较为明显的令人警觉的手续费信息，钓鱼攻击 3.0：通过恶意签名以盗取资产则更为隐蔽且较难察觉。

通常攻击者会在知名项目的 Twitter、Discord、TG 等地方进行评论，并发布虚假网址或领取空投的网址，诱导用户进行点击登录并授权给另外一个地址或合约一定额度，被授权地址可以通过 TransferFrom 转移用户资产，从而盗取用户资产，因此用户在签名时一定要看清楚其协议的内容与签名对象，避免轻易签名。

通常情况下，这种恶意签名有三个步骤：

1、伪造钓鱼链接或网站：攻击者通过伪造钓鱼链接或网站，诱导用户通过钱包进行签名
2、使用 Permit 函数：攻击者通过获取的签名数据使用 Permit 函数，完成授权
3、调用 TransferFrom 函数：获得授权后，攻击者使用 TransferFrom 函数，将用户的资产转出，完成攻击

攻击者会在用户在进行项目交互或资格验证时，伪装成插件钱包弹窗的页面或者其他任何网页，要求用户填写助记词/私钥，以盗取其资产。

亦或者冒充项目方客服、管理员，提供网址让用户输入助记词或者私钥，而这一类攻击者通常有以下特征：

1、热情：伪装团队客服，主动聊天，甚至半夜打语音过来
2、信息缺失：真正管理员都会注明 Won't DM First
3、可疑要求：要求删除大群求助信息，目的是为了防止大群有人提醒你上当受骗

攻击者通过生成与用户历史交易地址相似的恶意虚假地址，诱导用户将资金转移到这些地址上。通常恶意虚假地址前 4-6 位和后 4-6 位与正确地址相同，这些恶意虚假地址会混入用户的交易历史中，倘若目标用户在后续交易中，出于习惯从历史交易订单中复制对手地址进行转账，就极有可能将资产误转到恶意虚假地址上。

比如在今年 5 月 3 日就有一位用户因恶意虚假地址钓鱼手法被钓鱼 1155 W BTC，价值超过 7 千万美元，损失巨大。

貔貅，即只进不出，对于一些土狗（新发的币），只能买不能卖的就叫做貔貅盘。欺诈者们会在合约中插入一段代码，只允许他们自己的钱包从代币合约中提取，而后通过营销手段，吸引大量的投资者抢先购买，而后当你最后忍不住出手就会发现，这个币只能买不能卖，因为合约里规定除了特定的钱包外，没有人可以卖出。

针对上述骗术，我们可以通过以下方法加强防范，确保我们的资产安全可以得到更好的保障。

警惕链接：不要相信未知来源的链接、不要轻信推特搜索的结果，使用权威渠道找到项目方的官方网站或账号

养成安全上网习惯：不在浏览器保存重要密码，多用扫码登录，尽量安装安全软件，关闭 TG 自动下载

进行风险隔离：大资金用冷钱包（私钥永不触网）、小资金用热钱包、未知项目用新钱包参与

使用安全工具：如：Scam Sniffer、Rabby Wallet 以及使用 Dextool 等链上信息网站进行信息检索

复制粘贴细节：复制时少复制一点，破坏地址格式、粘贴后检查中部

信任地址簿：从信任历史转账记录转化为信任地址簿

使用白名单转账：例如：Rabby 钱包、交易所提币白名单

第一步：转移剩余资产
（1）一旦某个钱包遭受攻击导致资产被盗，应第一时间把钱包内的剩余资产转移到其他钱包，并弃用被攻击的钱包
（2） 如果无法马上弃用或转移的，应查看账户授权，及时取消授权
（3） 被盗的资产若是 NFT，如果有冻结途径的，建议立即联系项目方进行资产冻结

第二步：寻求安全团队帮助，资金追踪当资产被盗后，尽可能的寻找专业的安全团队进行协助，保持对被盗资金的追踪。专业的安全团队一般会有丰富的安全分析和追踪溯源经验，能够从专业的角度去分析问题出在哪里。

[1]https://xrex.io/zh/web3

[2]https://www.odaily.news/post/5194514

[3]https://x.com/evilcos/status/1661224434651529218

撰文 | LXDAO

编辑 & 排版 | Soleil

设计 | Daisy

在区块链的黑暗森林中，资产被盗事件屡见不鲜，为提升大家的安全防范意识，LXDAO 携手 Samo 老师推出 MyFirstScam 系列第一期课程，旨在揭示 Web3 世界中的各种骗局，为大家的数字资产筑起坚实可靠的安全防线！

MyFirstScam 第一期课程一共推出了 5 个视频，选取最常见的 5 大骗术类型：钓鱼 1.0 2.0，以 Transfer、Approve 为主的钓鱼攻击、钓鱼 3.0，恶意签名、盗取私钥、修改转账地址以及貔貅盘（蜜罐代币）进行了全方位的骗术及其对应的防范方法的讲解，并于 6 月 18 日举办了一场以资产安全为主题的 Twitter Space ，在此次 Space 活动中吸引了众多观众参与，直播间氛围火热，观众们积极互动，与嘉宾们进行了深入交流。

📍MyFirstScam 第一期视频直达链接：https://www.youtube.com/playlist?list=PLixFNij3zCfIdhoZSFA128hhO5h1pAKf9

👏错过 Space 直播的小伙伴也可戳此链接回放：https://x.com/lxdao_official/status/1803032424395501699?s=46

以 Transfer 形式进行的钓鱼攻击是最为常见且最为简单的一个钓鱼攻击骗术，攻击者通过诱导用户访问钓鱼网站并点击登录的按钮，随后弹出待确认的交易信息：ETH 或其他代币转账亦或者授权第三方将用户钱包内的 NFT 转移至其他地址，一旦你不慎点击确认，会直接将自己的加密资产转移给钓鱼地址。

但这种方法过于粗暴且易于被识别，于是便有了钓鱼攻击 2.0：以 Approve 授权或提高授权额度亦或授权使用 NFT 进行资产的盗取。通过诱导用户签署 Approve / IncreaseAllowance /SetApprovalForAll 交易，该交易会允许攻击者指定地址转移用户的代币资产，并在用户签署后实时监控用户的账号，一旦有相应的资产转入将立即转走。

相比于钓鱼攻击的 1.0 与 2.0 ，交易时附带较为明显的令人警觉的手续费信息，钓鱼攻击 3.0：通过恶意签名以盗取资产则更为隐蔽且较难察觉。

通常攻击者会在知名项目的 Twitter、Discord、TG 等地方进行评论，并发布虚假网址或领取空投的网址，诱导用户进行点击登录并授权给另外一个地址或合约一定额度，被授权地址可以通过 TransferFrom 转移用户资产，从而盗取用户资产，因此用户在签名时一定要看清楚其协议的内容与签名对象，避免轻易签名。

通常情况下，这种恶意签名有三个步骤：

1、伪造钓鱼链接或网站：攻击者通过伪造钓鱼链接或网站，诱导用户通过钱包进行签名
2、使用 Permit 函数：攻击者通过获取的签名数据使用 Permit 函数，完成授权
3、调用 TransferFrom 函数：获得授权后，攻击者使用 TransferFrom 函数，将用户的资产转出，完成攻击

攻击者会在用户在进行项目交互或资格验证时，伪装成插件钱包弹窗的页面或者其他任何网页，要求用户填写助记词/私钥，以盗取其资产。

亦或者冒充项目方客服、管理员，提供网址让用户输入助记词或者私钥，而这一类攻击者通常有以下特征：

1、热情：伪装团队客服，主动聊天，甚至半夜打语音过来
2、信息缺失：真正管理员都会注明 Won't DM First
3、可疑要求：要求删除大群求助信息，目的是为了防止大群有人提醒你上当受骗

攻击者通过生成与用户历史交易地址相似的恶意虚假地址，诱导用户将资金转移到这些地址上。通常恶意虚假地址前 4-6 位和后 4-6 位与正确地址相同，这些恶意虚假地址会混入用户的交易历史中，倘若目标用户在后续交易中，出于习惯从历史交易订单中复制对手地址进行转账，就极有可能将资产误转到恶意虚假地址上。

比如在今年 5 月 3 日就有一位用户因恶意虚假地址钓鱼手法被钓鱼 1155 W BTC，价值超过 7 千万美元，损失巨大。

貔貅，即只进不出，对于一些土狗（新发的币），只能买不能卖的就叫做貔貅盘。欺诈者们会在合约中插入一段代码，只允许他们自己的钱包从代币合约中提取，而后通过营销手段，吸引大量的投资者抢先购买，而后当你最后忍不住出手就会发现，这个币只能买不能卖，因为合约里规定除了特定的钱包外，没有人可以卖出。

针对上述骗术，我们可以通过以下方法加强防范，确保我们的资产安全可以得到更好的保障。

警惕链接：不要相信未知来源的链接、不要轻信推特搜索的结果，使用权威渠道找到项目方的官方网站或账号

养成安全上网习惯：不在浏览器保存重要密码，多用扫码登录，尽量安装安全软件，关闭 TG 自动下载

进行风险隔离：大资金用冷钱包（私钥永不触网）、小资金用热钱包、未知项目用新钱包参与

使用安全工具：如：Scam Sniffer、Rabby Wallet 以及使用 Dextool 等链上信息网站进行信息检索

复制粘贴细节：复制时少复制一点，破坏地址格式、粘贴后检查中部

信任地址簿：从信任历史转账记录转化为信任地址簿

使用白名单转账：例如：Rabby 钱包、交易所提币白名单

第一步：转移剩余资产
（1）一旦某个钱包遭受攻击导致资产被盗，应第一时间把钱包内的剩余资产转移到其他钱包，并弃用被攻击的钱包
（2） 如果无法马上弃用或转移的，应查看账户授权，及时取消授权
（3） 被盗的资产若是 NFT，如果有冻结途径的，建议立即联系项目方进行资产冻结

第二步：寻求安全团队帮助，资金追踪当资产被盗后，尽可能的寻找专业的安全团队进行协助，保持对被盗资金的追踪。专业的安全团队一般会有丰富的安全分析和追踪溯源经验，能够从专业的角度去分析问题出在哪里。

[1]https://xrex.io/zh/web3

[2]https://www.odaily.news/post/5194514

[3]https://x.com/evilcos/status/1661224434651529218