风险提示:请理性看待区块链,树立正确的货币观念和投资理念,不要盲目跟风投资,本站内容不构成投资建议,请谨慎对待。 免责声明:本站所发布文章仅代表个人观点,与CoinVoice官方立场无关

空投从入门到归零,小心“变种”授权骗局

风火轮社区
2021年06月07日

大家好,我是佩佩,因最近看到空投这部分的骗局比较多,所以这期特别要来提一下, 首先先说下目前我们文末的项目日志,已调整为可查看不可编辑 ,如上面再看到不明链接我也会删除。

之前是希望提供这么个小的空间供大家分享信息人多力量大,但现在我发现已经违背了初衷,一是杂七杂八的邀请链接不管什么样的都放在上面,二是我也没有足够的精力去一个个审核,且最近市场上各种利用授权漏洞的骗局越来越显现:

空投从入门到归零,小心“变种”授权骗局

为了规避这方面风险,项目日志模式做下调整,希望大家能理解,如果你有发现什么好项目想要分享,直接私信我或下方留言,我认为合适的也会放上去。

类似这种只要用户申领了就可以提走钱包里资产的基本还是“过度授权”的问题,即对方在你不知情的情况下获取了转移账户余额的权限,从而 不需要该地址私钥也能将其中的币转走。

关于授权,我们最常见的一种形式就是在使用各类 DEX 时,当开始一个交易对的第一笔交易时会出现一个授权的按钮,英文是 approve:

空投从入门到归零,小心“变种”授权骗局

要先点击授权才能开始交易兑换,或是进行一些提供流动性之类的操作,它这里授权就是给进行该交易背后的智能合约以转移你账户里 token 的权限。

那为什么要有这样一个授权步骤呢,这其实源于以太坊智能合约的一个特性:对非原生代币,如 erc20 标准代币,直接从地址像目标合约地址转账,合约是接收不到的!

这里的智能合约可理解为执行特定功能的一段代码,这些代码背后也会生成一个类似钱包里的地址即合约地址,个人地址和合约地址不相通,但现在各种 defi/dex 也好它们系统底层周转都用的是自动执行的智能合约,去中心化嘛,背后是没有一个主体来托管你的资产的。

那怎么来实现个体用户与合约间的交互呢?

解决办法就是-授权,相当于去中心化交易所再跟用户签署一份合同,授予该合约转移地址上资产的权限,这样就解决了不相通的问题,之前我们举过一个例子,这就好比现实中卖一辆车,你可能需要找到中介,并授权该经销商来代理出售你的车。

授权目前存在的市场是比较广泛的,不仅在以太上,类似的波场,还有所有的兼容链 BSC/HECO 等等都有这种机制,也就个别独立生态的公链不是这种设计,可以观察链上 dex 里不需要授权再交易的就没有。

当然了大部分情况下问题不是很大,毕竟正常的项目,都是要做长期的生意,信誉和资产安全很重要,不过对授权需要注意的地方在于一个是通常为了方便交易,授权功能是长期开通的,很多会设置成无限额,如果平台未来有漏洞或者内部人士作恶,用户就有可能因此遭遇资产损失。

另外就是有些土狗项目,它背地里的合约可能是能升级的,这些用户也不易察觉,你事先授权没问题不代表永远没问题。

当然上述这些也都算老生常谈,现在应该基本上都知道一个是如何去查看解锁授权:

电脑端,现在的浏览器里基本都可以直接去查看取消授权:

ETH:etherscan.io/tokenapprovalchecker

BSC:bscscan.com/tokenapprovalchecker

Heco:cointool.catxs.com/heco/hecoApprove

空投从入门到归零,小心“变种”授权骗局

钱包里应用发现上方搜索 cointool 也有基本主流所有链的授权取消查询工具。

另一个就是注意账户的分散,撸空投的参与挖矿的和长期持有的账户分开来,不要都放在一起,甚至挖矿的地址用一次换一个,这可能也是目前最有效的一个防范措施。

当然今天特别再来说这个事情,是要注意的不仅是上面这种普通授权操作,还要注意一些“变种”形式 ,比如撸空投你可能认为就去那个网站填个地址也没什么关系,不过有些它网站上会有个按钮让你填完地址去申领 claim,你点击它,可能背后的代码执行就是一个授权过程,下图是旁白君最近分享的一个案例:

空投从入门到归零,小心“变种”授权骗局

页面表面上点击的是“下一步”,但实际是完成对 U 的授权,而很多网站签名的地方是英文,具体执行的啥用户很容易忽略,这就在无意识中把权限给了他人。

还有一种二维码骗局,私下交易对方说先转个小额测试,然后丢个二维码地址,一般人可能都是想也不想就转过去了,但它这个二维码里面也可能是带有一个授权操作的,只转了个不值钱的金额,但钱包内其他的资产却很快被人提光。

所以对于授权风险,不能只看那些 defi 项目,也要注意这种比较隐蔽的骗局,授权英文 approve,钱包签名的时候也多瞄两眼。

也因为有这些风险存在,项目日志之后会以中心化的方式呈现,还望理解,不知名的网站也请谨慎去参与。

还有空投,每天都会冒出各种各样的白嫖盲薅项目,而精力是有限的,那怎么去选择,其实和投资思路也有相似的地方,就是多站到终局去思考问题,我们想通过这些项目来获取收益,那收益来自何处?团队许诺给的那些 token 它们是为何有一定价值呢?能靠机器大量刷邀请的它又是靠什么给人们超额收益?

结语

我到是一直有个疑问就是原生和非原生币这种区别的意义在哪里,授权是不是从底层是可以改变的,技术上知道的不多,不知道是否有朋友能释疑。

如今驱动加密世界的主要需求还是投机和盈利,在高 APY 的刺激下这些都不会被当做问题来看,但一个是对用户来说还是有点麻烦,特别是交易品种有点多的情况下,另一个某种角度上来说 DEX 项目方就真的因为去中心就不能控制用户资产了吗?Decentralize 好像只是表面看上去 Decentralize。

风火轮项目日志

https://docs.qq.com/sheet/DV09EQ3FEd2JESlJv?tab=BB08J2

 


声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。

来源:风火轮社区 原创

评论0条

风火轮社区

简介:我们以社区用户为中心,帮助用户构筑完整的行业知识体系; 同时也围绕用户投资场景,提供实时行情、项目评测、热点解读等内容

专栏

更多>>