最近,在各类的“电报(TG)”群都开始大批量的讨论关于“盗U”的信息。那么到底什么是盗U?背后的诈骗逻辑是什么?本篇文章就带你揭秘背后的玩法逻辑。
U 是什么?
首先,U 是 USDT(泰达币),是一种将加密货币与法定货币美元挂钩的虚拟货币。他与美元几乎是1:1可以兑换的,我们比如购买一个BTC(比特币),是需要将 $美元 兑换成 USDT,再将 USDT 支付给其他人换取 BTC 或 其他虚拟货币。
盗U是什么?
刚才说了U是USDT,那么盗U就是将你的钱包通过特定的技术手段盗取。换句话说,就是你因为登录不明的网站或者扫描不明的二维码导致你的Q币被盗了。
盗U骗局
只要你通过扫描骗子的二维码,或者给骗子转过一次帐,他就能直接控制你的钱包,最后你账号下的所有usdt 或 其他币都会被盗取。
看起来非常正常的扫描二维码进行交易,为什么简简单单扫描一次二维码,又或是正常转了一次帐后,骗子就能完全控制用户的钱包呢?
主要的原理就是钱包的授权,以及各类虚拟币合约的漏洞,进而实现远程转账付款。
哪些平台有漏洞?
1、TOKEN POCKET
2、火币
3、IM 钱包
诈骗形式有哪些?
1、假空投
骗子利用免费空投的宣传噱头,制作海报或者链接在社区宣传,用户扫码识别后打开网址并授权(登录)后,来执行Airgrab的方式来授权并领取空投,授权后骗子获取其授权的代币的权限,从而转走用户资产。
2、假二维码
假二维码诈骗是指诈骗人员利用假的二维码让用户进行授权等操作。通常,用户扫码后打开的是转账界面或其他钓鱼页面,而这个转账操作实则是一次授权过程,如用户进行授权,诈骗人员则获得对资产转账的权限,从而导致资产丢失。
另外,一些假空投信息的海报上也会附带假的二维码,用空投代币作为诱饵吸引用户扫码识别,识别后执行仍需进行授权操作来领取空投,进而落入骗子圈套,被恶意授权转走代币。
3、假链接/假APP
骗子会开发和正版的钱包高度相似的App,以假乱真,导致用户在创建或者导入钱包的时候,骗子后台的服务器就会默默记录并同步到他们特定的服务器,骗子得到私钥助记词后导入钱包就可以转移用户所有的资产。特别是百度上去搜索很多都是广告,这个广告网站就是挂着骗子做的高度相似的APP。
4、钓鱼网站
“钓鱼网站“是指用来欺骗用户的虚假网站,它的页面与真实网站界面基本一致,以假乱真欺骗和窃取用户的私钥或者助记词。钓鱼网站一般只有一个或几个页面,和真实网站差别细微 。该诈骗手段由来已久,骗子传播噱头大多是领取空投、帮助解决问题或其他手段。
5、假代币
诈骗人员通过以真币兑换假币的方式仿冒知名代币,以相似的代币合约名字(name)、缩写(symbol)进行诈骗。此类诈骗手段主要的受害群体多为新入门的用户,因为熟悉区块链行业的用户通过核对代币的合约地址来判断某个代币的真假,例如常见的USDT、ETH、BTC等,骗子会说自己有一些代币着急卖出并且给出了很诱人的价格,小白用户贪图便宜买入后收到转入的代币后发现无法进行交易也没有任何价值。
6、假客服
在钱包的日常使用过程中,总会遇到一些问题需要解决,大部分人遇到问题都会首先想到联系钱包客服来解决,这个时候就会有人趁虚而入,包装成和客服相同的名字和LOGO,主动在各社区中添加用户,在解决问题的时候索取用户的私钥或助记词来进行诈骗行为。
7、Approve 钓鱼
在日常操作例如DEX平台,涉及到币币兑换的时候就会用到授权的功能,只有首次操作授权(Approve)后才可以进行Swap的币币兑换,这个只是应用场景之一。由于Approve操作本质上是将你的部分Token的行使权限授予了另一普通地址或智能合约地址,因此有些骗子利用二维码或者链接的方式来恶意让用户执行Approve操作。例如空投给用户的代币中留下链接,声称可以使用空投的代币来兑换其他代币,用户打开链接并执行兑换的过程中就完成了骗子特定的Dapp恶意授权,从而导致用户资产会被该Dapp随意划转。
飞机搜索***,深度交流
你这篇文章..百度第一名..
博主有源码研究吗?