OKX Web3:链上防钓鱼安全交易指南

引言 | 探索链上世界,安全第一,用户需谨记这 3 条安全规则:不要在任何网⻚ 填写助记词/私钥、谨慎点击钱包交易界面 确认按钮、以及推特/Discord/搜索引擎获 得的链接可能是钓⻥链接。

进入新周期,链上交互⻛险随着用户活跃度的增加而日益暴露。钓⻥者通常会采用假 冒钱包网站、窃取社交媒体账号、创建恶意浏览器插件、发送钓⻥邮件和信息以及发 布虚假应用程序等方式,诱使用户泄露敏感信息,导致资产损失,钓⻥形式和场景呈 现多样性、复杂性和隐匿性等特征。

比如,钓⻥者一般通过创建与正规钱包网站外观相似的假冒网站,诱使用户输入其私 钥或助记词,这些假冒网站通常会使用社交媒体、电子邮件或广告进行推广,误导用 户认为他们正在访问正规的钱包服务,从而盗取用户的资产。此外,还有钓⻥者可能 会利用社交媒体平台、论坛或即时通讯应用程序,伪装成钱包客服或社区管理员,向 用户发送虚假消息,要求他们提供钱包信息或私钥,这种方式利用了用户对官方的信 任,诱使他们泄露私人信息等等。

总之,这些案例突出了钓⻥行为对 Web3 钱包用户的威胁。为帮助用户提高 Web3 钱 包使用安全意识,并保护资产安全免受损失,OKX Web3 深入社区调研并收集了众多 Web3 钱包用户遭遇过的钓⻥事件,从而提炼出用户最常遇到的 4 大典型钓⻥场景, 并通过不同场景下的细分案例,采用图文案例结合的方式,撰写了 Web3 用户该如何 进行安全交易的最新指南,供大家学习参考。

恶意信息来源

1、热⻔项目推特回复

通过热⻔项目推特回复是恶意信息的主要方式之一,钓⻥推特账号可以从 Logo、名字、 认证标识等都做到和官方号一模一样,甚至连 Follower 数量也可以是几十 K,而唯一 能区别两者的就是——推特 handle(注意相似字符),请用户务必擦亮眼睛。

防诈图片1

此外,很多时候,假账号会在官推消息下面故意回复,但回复内容中带有钓⻥链接, 很容易让用户以为是官方链接,从而上当受骗。目前,有些官方账号目前在推文中, 会增加 End of Tweet 推文,提醒用户防范后续回复中可能包含钓⻥链接的⻛险。

防诈图片2

2、盗取官方推特/Discord

为增加可信性,钓⻥者还会盗取项目方或者 KOL 的官方推特/Discord,以官方名义发 布钓⻥链接,所以很多用户很容易上当。比如,Vitalik 的推特账号以及 TON 项目官方 推特就曾被盗取,钓⻥者借机发布了虚假信息或者钓⻥链接。

防诈图片3

3、谷歌搜索广告

钓⻥者有时会使用谷歌搜索广告发布恶意链接,用户从浏览器显示的名字看为官方域名,但点击后跳转到的链接为钓⻥链接。

防诈图片4

4、虚假应用

钓⻥者还会通过虚假应用从而诱导用户。比如当用户下载安装了钓⻥者发布的假钱包, 会导致其私钥泄漏和资产丢失。有钓⻥者曾修改过的 Telegram 安装包,从而改变了接 收和发送代币的链上地址,导致了用户资产的损失。

防诈图片5

5、应对措施:OKX Web3 钱包支持钓⻥链接检测及⻛险提醒

当前,OKX Web3 钱包通过支持钓⻥链接检测及⻛险提醒,为帮助用户更好地应对上 述问题。比如,用户通过 OKX Web3 插件钱包使用浏览器访问网站时,如果该域名为 已知恶意域名,则会第一时间收到告警提醒。此外,如果用户使用 OKX Web3 APP 在 Discover 界面访问第三方 DAPP 时,OKX Web3 钱包将会自动针对域名进行⻛险检测, 如果其为恶意域名,则会进行拦截提醒,禁止用户访问。

防诈图片6

钱包私钥安全

1、进行项目交互或者资格验证

钓⻥者会在用户在进行项目交互或者资格验证时候,伪装成插件钱包弹窗的⻚面或者 其他任何网⻚,要求用户填写助记词/私钥,这类一般都是都是恶意网站,用户应该提 高警惕意识。

防诈图片7

2、冒充项目方客服或者管理员

钓⻥者经常会冒充项目方客服或者 Discord 管理员,并提供网址让用户输入助记词或者私钥,这种情况说明对方是钓⻥者。

防诈图片8

3、其他助记词/私钥泄漏可能路径

用户助记词和私钥泄漏可能路径有很多,常⻅的包括电脑被植入木⻢病毒软件、电脑 使用了撸毛用的指纹浏览器、电脑使用了远程控制或代理工具、助记词/私钥截图保存 相册,但被恶意 APP 上传、备份到云端,但云端平台被入侵、输入助记词/私钥过程被 监控、身边人物理获取到助记词私钥文件/纸 、以及开发人员推送包括私钥代码到 Github 等等。

总之,用户需要安全地存储和使用助记词/私钥,从而更好的保证钱包资产安全。比如, 当前作为去中心化的自托管钱包,OKX Web3 钱包上线 iCloud/Google Drive 云端、手动、硬件等多种助记词/私钥备份方式,已成⻓为市面上支持私钥备份方式较为全面的 钱包,为用户提供较为安全的私钥存储方式。在用户私钥被盗问题上,OKX Web3 钱 包已支持 Ledger、 Keystone、Onekey 等较为全面的主流硬件钱包功能,硬件钱包的 私钥存储在硬件钱包设备里,由用户自己掌握,从而保障资产安全。也就是 OKX

Web3 钱包让用户通过硬件钱包安全管理资产的同时,又可以自由参与链上代币交易、 NFT 市场和各类 dApp 项目交互等。此外,OKX Web3 钱包现已上线 MPC 无私钥钱 包、以及 AA 智能合约钱包,帮助用户进一步简化私钥问题。

4 大经典钓⻥场景

场景 1、窃取主链代币

钓⻥者往往会给恶意合约函数起名为 Claim,SeurityUpdate 等具有诱导性名字,而 实际函数逻辑为空,从而只转移用户主链代币。当前 OKX Web3 钱包已上线交易预执 行功能,显示该交易上链后资产及授权变化,从而进一步提醒用户注意安全。另外, 如果其交互合约或授权地址为已知恶意地址,则会进行红色安全提醒。

防诈图片9

场景 2、相似地址转账

当监测到有大额转账时,钓⻥者会通过地址碰撞生成和接收地址首位若干位相同的地 址,利用 transferFrom 进行 0 金额转账,或利用假 USDT 进行一定金额转账,污染用 户交易历史,期望用户后续转账从交易历史拷⻉错误地址,完成诈骗。

防诈图片10
防诈图片11

场景 3、链上授权

钓⻥者通常会诱导用户签署 approve / increaseAllowance / decreaseAllowance / setApprovalForAll 交易,以及升级使用 Create2 生成预先计算好的新地址,绕过安全 检测,从而骗取用户授权相关。OKX Web3 钱包会针对授权交易进行安全提醒,请用 户注意该交易为授权相关交易,注意⻛险。另外,如果交易授权地址为已知恶意地址 时,会进行红色信息提醒,避免用户上当受骗。

防诈图片12

场景 4、链下签名

除了链上授权外,钓⻥者还会通过诱导用户进行链下签名的方式进行钓⻥。比如, ERC20 代币授权允许用户授权给另外一个地址或合约一定额度,被授权地址可以通过 transferFrom 转移用户资产,钓⻥者就是利用这种特点进行诈骗。当前 OKX Web3 钱 包正在针对此类场景开发⻛险提示功能,当用户签署离线签名时,通过解析签名授权 地址,如果命中已知恶意地址,会对用户进行⻛险提示。

防诈图片13

其他钓⻥场景

场景 5、TRON 账号权限

这类场景比较抽象,一般是钓⻥者通过获取用户 TRON 账号权限来控制其资产。 TRON 账号权限设置和 EOS 类似,分为 Owner 和 Active 权限,并可以设置类似多签 形式进行权限控制,如下权限设置 Owner ⻔限为 2,两个地址权重分别为 1 和 2,第 一个地址为用户地址,权重为 1 无法单独操作账号。

防诈图片14

场景 6、Solana 代币及账号权限

钓⻥者通过 SetAuthroity 修改代币 ATA 账户 Ownership,相当于代币转给了新的 Owner 地址。用户被该方法钓⻥后,资产转移给钓⻥方等等。此外,如果用户签署了 Assign 交易,其正常账号的 Owner 将从 System Program 被修改为恶意合约。

防诈图片15

场景 7、EigenLayer 调用 queueWithdrawal

由于协议本身的设计机制等问题,也很容易被钓⻥者利用。基于以太坊的中间件协议 EigenLayer 的 queueWithdrawal 调用,允许指定其他地址作为 withdrawer,用户被钓⻥签署了该交易。七天后,指定地址通过 completeQueuedWithdrawal 获得用户的质 押资产。

探索链上世界,安全第一

安全使用 Web3 钱包是保护资产的关键措施,用户应切实采取预防措施以防范潜在的 ⻛险和威胁。可以选择行业知名的、经过安全审计的 OKX Web3 钱包、更安全便捷地 探索链上世界。

作为行业最先进以及功能最全面的钱包,OKX Web3 钱包完全去中心化、且自托管, 支持用户一站式玩转链上应用,现已支持 85+ 公链,App、插件、网⻚三端统一,涵 盖钱包、DEX、DeFi、NFT 市场、DApp 探索 5 大板块、并支持 Ordinals 市场、 MPC 和 AA 智能合约钱包、兑换 Gas、连接硬件钱包等。此外,用户还可以通过安全 地保护私钥和助记词、定期更新钱包应用和操作系统、谨慎处理链接和信息以及启用 多重身份验证功能,从而增加钱包的安全性。

总之,在链上世界,资产安全大于一切。

用户需要谨记这 3 条 Web3 安全规则:不要在任何网⻚填写助记词/私钥、谨慎点击钱 包交易界面 确认按钮、以及推特/Discord/搜索引擎获得的链接可能是钓⻥链接。

免责声明
本内容仅供参考,可能包含您所在地区不支持的产品信息。本内容无意提供 (i) 投资建议或投资推荐;(ii) 购买、出售或持有数字货币/数字资产的要约或邀约;或 (iii) 财务、会计、法律或税务建议。持有数字货币/数字资产 (包括稳定币和 NFT) 存在较高风险,其价值可能大幅波动。您应根据您的财务状况和风险承受能力,仔细考虑交易或持有数字货币/数字资产是否适合您。有关您的具体情况,请咨询您的法律/税务/投资专业人士。本帖中的所有信息 (包括市场数据与统计资料) 仅作一般性参考。某些内容可能由人工智能 (AI) 工具生成或辅助。虽然我们在编写相关数据和图表时已采取一切合理措施确保准确,但我们不对其中可能存在的任何事实错误或遗漏承担任何责任。OKX Wallet 及相关服务并非由欧易交易所直接提供,受 OKX Web3 生态系统服务条款 约束。

相关推荐

查看更多
Private keys
安全

公钥与私钥详解

您或许对“[无钥即无币,币钥为一体](/cn/learn/proof-of-keys)”这句话有所耳闻。在数字货币领域,这句话的意思是只有私钥的持有者才真正拥有私钥控制下的数字货币,从而全权掌控个人资产。 本指南将详解私钥与公钥的确切含义,以及 Web3 钱包安全保管用户密钥和持有资产的具体用法。 立即开始 ## 概述 - __签署交易__ :您可以使用私钥签署并验证交易。妥善保管好您的私钥,其他
2025年2月27日
27
ARC-20 thumbnail
比特币

什么是ARC-20和Atomicals?一文了解比特币区块链上全新的代币标准

在比特币区块链上,除了比特币和 Ordinals 铭文之外,还有哪些应用呢?ARC-20 为比特币区块链引入了一种同质化的代币标准,其使用比特币的最小单位 satoshis 作为代币基础。这意味着每个 ARC-20 代币本质上都由一个 satoshi 支持,确保了其基准价值,并且与现有的比特币基础设施无缝集成。 与此同时,Atomicals 提供了一种独特的比特币数字资产表示方法,进一步拓展了这个创新性区块链的能力。它们为数字资产管理带来了多功能性和创新性,展示了比特币在其作为加密货币的主要用途之外的适用性。
2025年1月6日
4
Best of Web3 thumb
比特币

Runes 协议如何能够影响比特币的可扩展性和效率?

你听说过 Runes(符文)协议吗?它是比特币环境中的一项独特创新,与 BRC-20 和 Taproot Assets 等协议相比,为同质化代币提供了新的视角。它有什么不同之处?与其他代币标准不同,Runes 协议原生于比特币的未花费交易输出(UTXO)模型,更加注重用户友好性。 与传统货币的数字版本一样,Runes 使得创建和监管代币变得更加容易。它的基础是 UTXO 模型,这对比特币至关重要,并以去中心化的方式记录所有权和交易。这种技术使得 Runes 能够在一个 UTXO 中存储多个代币,与其他协议常常采用基于地址或链下技术相比,可能使过程更为高效。
2024年12月30日
中级
7
DRC-20 thumbnail
山寨币

什么是DRC-20?这一新代币标准将如何改变狗狗币?

Dogecoin 作为加密领域中的一种有趣数字货币,已经不再局限于 MEME 币的范畴,而是迎来了更多全新的发展机遇。就像比特币有着 BRC-20 代币标准一样,Dogecoin 也拥有了类似的 DRC-20 标准,为其带来了全新的发展契机。 相较于其前身 ERC-20 和 BRC-20,狗狗币的 DRC-20 标准脱颖而出,因为它能够在狗狗币网络内发行同质化代币,这为代币化甚至 NFT 的推出开辟了巨大的潜力。这一平台将具有更多可能性,从游戏资产到数字收藏品,都有了更多可发展的空间。
2024年12月9日
12
SRC-20 thumbnail
比特币

SRC-20:比特币铭文生态系统的创新

2023 年,加密领域的代币标准迎来了一场重大革新,其中比特币区块链上的 SRC-20 标准是备受关注的创新之一。SRC-20 代币(BTC Stamps)以其独特的数据嵌入方式,将比特币网络上的铭文代币推向了一个新的层面,实现了创新性的突破,类似于我们熟悉的 BRC-20 代币标准。 SRC-20对比特币和数字资产的发展意味着什么? 概述: 从 BRC-20 到 SRC-20,2023 年成为代币标准创新的一年。
2024年8月29日
7
StarkNet Learn banner
Layer2
以太坊
区块链

Starknet简介:解决以太坊可扩展性挑战的方案?

区块链技术彻底改变了我们进行交易和安全存储数据的方式。然而,区块链面临的一个主要挑战是可拓展性。随着区块链网络上用户和交易数量的增加,系统速度变得更慢、交易费用也更昂贵了。这种可扩展性的挑战阻碍了区块链技术在各个行业的广泛采用。 遇见 Starknet —— 一个针对区块链可扩展性挑战的有效解决方案。Starknet 是一种基于以太坊网络的无权限去中心化有效性 rollup,也被称为 zk-rollup。它作为二层网络的解决方案,允许去中心化应用程序(DApp)实现其计算的无限可扩展性,同时保持以太坊生态系统的可组合性和安全性。Starknet 利用 STARK(可扩展透明知识论证)技术的强大功能,该技术是最安全和最可扩展的加密证明系统之一。通过使用 STARK,Starknet 验证交易和计算,而无需所有网络节点验证每个操作。这显着减轻了计算负担并增加了区块链网络的吞吐量。
2024年5月29日
中级
2
查看更多