「黑暗森林」,这个脱胎于《三体》的宇宙社会学法则,也是对当下 Web3 安全赛道最赤裸的概括:
加密行业尤其是链上作为新兴领域,有着足够的想象空间和创新玩法,但同时也正如一个「黑暗森林」,无论是老用户还是新玩家,熟悉链上可能遇到的各方面风险并尽力避开,都是我们需要始终学习的永恒课题。
近期,一种针对非托管钱包用户的诈骗手法也悄然流行起来,它利用观察钱包(支持「观察模式」的钱包)功能,通过伪造的信任机制和精心设计的逻辑链条,让受害者在毫无防备的情况下落入圈套,对普通用户来说,这种骗局看似初级,却极具欺骗性和破坏性。
诈骗者利用新手用户对去中心化技术和钱包操作流程的不熟悉来窃取加密资产,在此背景下,理解和警惕这些常见却致命的安全风险显得尤为重要,本文将详细剖析这种新型诈骗的运作模式,并为用户提供一系列防范技巧。
众所周知,观察钱包模式是加密资产非托管钱包的一个特性,它允许用户查看特定钱包地址的余额和交易历史记录。
由于区块链的透明性,所有链上的钱包地址、对应的余额以及转账记录都是透明可见的,用户可以通过区块链浏览器和其他工具输入任何区块链钱包地址、以查看其资产余额和链上记录,包括收款、转账、链上授权等,且在这个过程中,钱包所有者的身份仍然是匿名的,除非他/她将其主动公开。
而 SafePal 钱包作为非托管钱包,同样提供观察钱包模式,譬如用户在新建钱包的时候,可以选择新建钱包、恢复旧钱包,也可以选择导入观察钱包模式(点击此处查看 SafePal 导入观察钱包模式的官方教程)。
下图是观察钱包模式和正常钱包首页的对比图,从中可以发现,观察钱包只允许查看余额,但没有转账、闪兑等操作项。
当用户导入观察钱包模式的时候,只需要填入钱包地址,即可在钱包里方便地查看此钱包的链上余额及转账记录。但由于观察钱包不代表实际的钱包所有权,只提供的查看功能,因此用户不能在观察钱包模式下操作钱包里的资产。
也正因如此,观察钱包模式通常被用于公众于跟踪和监控特定钱包地址的链上资金情况和走向,比如监管对于区块链反洗钱的监控、黑客事件的资金踪等。
但需要格外注意的是,它不支持用户对此钱包地址进行任何转账交易、也不等同于拥有该特定钱包地址,只有拥有钱包地址的私钥/助记词短语的用户才能访问和管理钱包地址中的资产。
而我们今天提到的行骗手法,就是诈骗者利用用户不熟悉这个背景知识而设计的骗局。
其实该骗局的核心运作思路,便是诈骗者联系和操纵受害者,让他们认为他们可以访问钱包地址的资金(通常是诈骗者会利用有大量资金的钱包地址),并告诉受害的用户需要进行交易来解锁他们的资金,但实际上他们只能查看钱包余额,没有任何访问权或所有权。
以下是这种骗局的典型运作方式:
骗子接近用户:诈骗者会冒充钱包团队支持专员,他们经常通过社交媒体平台(例如 Twitter、Telegram 或 Reddit)联系用户,并通过提供与钱包相关的问题的「帮助」或者「投资」来发起对话。也有些骗子还可能会在网上发「假的求助贴」,就类似是「我这里的钱遇到问题了,取不出来,有谁能帮我取出来吗,我愿意重金答谢」 之类的。
发布虚假消息:骗子声称用户的钱包需要「验证」或「升级」才能获取里面的资金。他们通常会引导用户从应用商店里下载钱包应用使其看起来像是在指导用户完成钱包创建的正常流程。
导入钱包地址:然后,骗子要求用户在观察钱包模式下将地址导入钱包,这使用户能够看到钱包的余额,其中可能包含大量加密货币。骗子会继续声称用户需要支付 Gas Fee 或将额外的加密货币存入指定的钱包地址,这是一种让用户相信他们需要支付费用才能解锁该钱包地址中的资金的伎俩。
窃取资金:一旦用户将请资金发送到骗子的地址,他们将不会收到任何回报,骗子就会消失。在其他情况下,骗子可能会继续以其他虚假借口或承诺要求将更多资金存入或转移到钱包地址。
这种骗局之所以有效,是因为用户通常不完全理解由于区块链的透明度,所有钱包地址都是可以在链上跟踪和查看的,查看钱包地址中的余额可能会让没有经验的用户误以为这等同于访问或拥有钱包,而实际上它只是查看而已。
在这个骗局中,骗子一方面利用了受害者对于观察钱包模式缺少了解的特点,另一方面也通过聊天过程去激发受害者的贪心或是同情心,使其有可乘之机。
那该如何如何保护自己,很简单,如果您正在使用 SafePal 或任何其他去中心化或非托管的加密资产钱包,请务必注意以下安全提示,以避免陷入这些骗局:
不要相信私下陌生人的消息:正常情况下,钱包官方团队绝不会通过社交媒体或直接消息(DM)联系用户,任何主动提供帮助和发财机会,或索要个人信息的消息都应极其谨慎地对待;
了解观察模式或查看链上钱包地址:无论是 SafePal 还是其他非托管钱包,观察钱包模式是一项仅供查看钱包余额的功能,它允许用户跟踪钱包的余额和交易历史记录,但不允许任何转账或取款(实际访问指定钱包地址需要私钥或助记词短语),用户无法在观察模式下从钱包中转移资金,因此如果有人要求你「解锁」或「访问」观察钱包模式里的资金,不用怀疑,那那就是骗局;
避免向未知地址发送资金:如果有人要求您将资金发送到某个未知地址以「解封」你的加密资产,这是一个危险警示信号,诈骗者通常会要求用户支付 Gas Fee 或其他费用,但 SafePal 和大多数正规钱包平台从不要求用户向特定地址转账以解锁资金;
只从官方网站下载应用程序:确保您仅从官方应用商店(例如 Google Play Store 或 Apple App Store)下载钱包应用,避免从未经验证的网站或链接下载,因为这些应用程序可能是恶意或诈骗的 App;
顺手举报可疑活动:如果您遇到可疑消息或潜在的诈骗,欢迎立即向钱包官方渠道报告,有助于保护社区并防止其他人成为被骗的受害者;
「Not Your Key, Not Your COIN」。
这其实也是 Web3 里最残酷的一句话,毕竟「去中心化」与「安全主体责任」就是一币两面,当资产所有权真正交还给个人掌控,也迫使每名用户必须自己对自己的资产负责,彻底走入「黑暗森林」。
因此随着链上诈骗手段的多样化发展,学习和了解区块链非托管和去中心化钱包的工作原理,并了解常见的诈骗方式,已成为每一个 Web3 用户不可或缺的生存技能。
时刻保持警惕,安全穿越链上「黑暗森林」,是我们每一个人适应去中心化世界规则的必修课。
内容来源:PANews
财华网所刊载内容之知识产权为财华网及相关权利人专属所有或持有。未经许可,禁止进行转载、摘编、复制及建立镜像等任何使用。
如有意愿转载,请发邮件至content@finet.com.hk,获得书面确认及授权后,方可转载。
更多精彩内容,请登陆
财华香港网(https://www.finet.hk/)
财华智库网(https://www.finet.com.cn)
现代电视(http://www.fintv.hk)