# 深入解密 Web3 常见 5 大骗局，MyFirstScam 为你的数字资产安全保驾护航

**Published by:** [LXDAO](https://paragraph.com/@lxdao/)
**Published on:** 2024-07-06
**URL:** https://paragraph.com/@lxdao/web3-5-myfirstscam

## Content

撰文 | LXDAO 编辑 & 排版 | Soleil 设计 | Daisy 在区块链的黑暗森林中，资产被盗事件屡见不鲜，为提升大家的安全防范意识，LXDAO 携手 Samo 老师推出 MyFirstScam 系列第一期课程，旨在揭示 Web3 世界中的各种骗局，为大家的数字资产筑起坚实可靠的安全防线！MyFirstScam 首期圆满落幕MyFirstScam 第一期课程一共推出了 5 个视频，选取最常见的 5 大骗术类型：钓鱼 1.0 2.0，以 Transfer、Approve 为主的钓鱼攻击、钓鱼 3.0，恶意签名、盗取私钥、修改转账地址以及貔貅盘（蜜罐代币）进行了全方位的骗术及其对应的防范方法的讲解，并于 6 月 18 日举办了一场以资产安全为主题的 Twitter Space ，在此次 Space 活动中吸引了众多观众参与，直播间氛围火热，观众们积极互动，与嘉宾们进行了深入交流。 📍MyFirstScam 第一期视频直达链接：https://www.youtube.com/playlist?list=PLixFNij3zCfIdhoZSFA128hhO5h1pAKf9 👏错过 Space 直播的小伙伴也可戳此链接回放：https://x.com/lxdao_official/status/1803032424395501699?s=46Web3 常见 5 大骗术钓鱼 1.0 2.0：以 Transfer、Approve 为主的钓鱼攻击以 Transfer 形式进行的钓鱼攻击是最为常见且最为简单的一个钓鱼攻击骗术，攻击者通过诱导用户访问钓鱼网站并点击登录的按钮，随后弹出待确认的交易信息：ETH 或其他代币转账亦或者授权第三方将用户钱包内的 NFT 转移至其他地址，一旦你不慎点击确认，会直接将自己的加密资产转移给钓鱼地址。但这种方法过于粗暴且易于被识别，于是便有了钓鱼攻击 2.0：以 Approve 授权或提高授权额度亦或授权使用 NFT 进行资产的盗取。通过诱导用户签署 Approve / IncreaseAllowance /SetApprovalForAll 交易，该交易会允许攻击者指定地址转移用户的代币资产，并在用户签署后实时监控用户的账号，一旦有相应的资产转入将立即转走。钓鱼 3.0 ：恶意签名相比于钓鱼攻击的 1.0 与 2.0 ，交易时附带较为明显的令人警觉的手续费信息，钓鱼攻击 3.0：通过恶意签名以盗取资产则更为隐蔽且较难察觉。 通常攻击者会在知名项目的 Twitter、Discord、TG 等地方进行评论，并发布虚假网址或领取空投的网址，诱导用户进行点击登录并授权给另外一个地址或合约一定额度，被授权地址可以通过 TransferFrom 转移用户资产，从而盗取用户资产，因此用户在签名时一定要看清楚其协议的内容与签名对象，避免轻易签名。通常情况下，这种恶意签名有三个步骤： 1、伪造钓鱼链接或网站：攻击者通过伪造钓鱼链接或网站，诱导用户通过钱包进行签名 2、使用 Permit 函数：攻击者通过获取的签名数据使用 Permit 函数，完成授权 3、调用 TransferFrom 函数：获得授权后，攻击者使用 TransferFrom 函数，将用户的资产转出，完成攻击盗取私钥攻击者会在用户在进行项目交互或资格验证时，伪装成插件钱包弹窗的页面或者其他任何网页，要求用户填写助记词/私钥，以盗取其资产。亦或者冒充项目方客服、管理员，提供网址让用户输入助记词或者私钥，而这一类攻击者通常有以下特征： 1、热情：伪装团队客服，主动聊天，甚至半夜打语音过来 2、信息缺失：真正管理员都会注明 Won't DM First 3、可疑要求：要求删除大群求助信息，目的是为了防止大群有人提醒你上当受骗虚假地址转账攻击攻击者通过生成与用户历史交易地址相似的恶意虚假地址，诱导用户将资金转移到这些地址上。通常恶意虚假地址前 4-6 位和后 4-6 位与正确地址相同，这些恶意虚假地址会混入用户的交易历史中，倘若目标用户在后续交易中，出于习惯从历史交易订单中复制对手地址进行转账，就极有可能将资产误转到恶意虚假地址上。 比如在今年 5 月 3 日就有一位用户因恶意虚假地址钓鱼手法被钓鱼 1155 W BTC，价值超过 7 千万美元，损失巨大。貔貅盘/蜜罐代币貔貅，即只进不出，对于一些土狗（新发的币），只能买不能卖的就叫做貔貅盘。欺诈者们会在合约中插入一段代码，只允许他们自己的钱包从代币合约中提取，而后通过营销手段，吸引大量的投资者抢先购买，而后当你最后忍不住出手就会发现，这个币只能买不能卖，因为合约里规定除了特定的钱包外，没有人可以卖出。Web3 资产安全防范方法针对上述骗术，我们可以通过以下方法加强防范，确保我们的资产安全可以得到更好的保障。 警惕链接：不要相信未知来源的链接、不要轻信推特搜索的结果，使用权威渠道找到项目方的官方网站或账号 养成安全上网习惯：不在浏览器保存重要密码，多用扫码登录，尽量安装安全软件，关闭 TG 自动下载 进行风险隔离：大资金用冷钱包（私钥永不触网）、小资金用热钱包、未知项目用新钱包参与 使用安全工具：如：Scam Sniffer、Rabby Wallet 以及使用 Dextool 等链上信息网站进行信息检索 复制粘贴细节：复制时少复制一点，破坏地址格式、粘贴后检查中部 信任地址簿：从信任历史转账记录转化为信任地址簿 使用白名单转账：例如：Rabby 钱包、交易所提币白名单倘若资产不幸被盗，应该怎么处理？第一步：转移剩余资产 （1）一旦某个钱包遭受攻击导致资产被盗，应第一时间把钱包内的剩余资产转移到其他钱包，并弃用被攻击的钱包 （2） 如果无法马上弃用或转移的，应查看账户授权，及时取消授权 （3） 被盗的资产若是 NFT，如果有冻结途径的，建议立即联系项目方进行资产冻结 第二步：寻求安全团队帮助，资金追踪当资产被盗后，尽可能的寻找专业的安全团队进行协助，保持对被盗资金的追踪。专业的安全团队一般会有丰富的安全分析和追踪溯源经验，能够从专业的角度去分析问题出在哪里。参考资料[1]https://xrex.io/zh/web3 [2]https://www.odaily.news/post/5194514 [3]https://x.com/evilcos/status/1661224434651529218

## Publication Information

- [LXDAO](https://paragraph.com/@lxdao/): Publication homepage
- [All Posts](https://paragraph.com/@lxdao/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@lxdao): Subscribe to updates
- [Twitter](https://twitter.com/LXDAO_Official): Follow on Twitter