Web3 钱包安全：智能合约交易授权风险

虽然交易授权可以简化 Web3 领域的交互，但如果管理不慎，可能会引发网络钓鱼攻击和授权滥用。诈骗者经常会利用无限制授权和未经验证的合约来骗取资金，因此用户务必限制授权，并在不必要时撤销授权。用户应务必使用值得信赖的平台，及时了解最新的网络钓鱼骗局，并利用币安 Web3 钱包内置的安全防护等工具来保护您的资产。在 Web3 领域，智能合约和去中心化应用程序 (DApp) 正在为当今大多数激动人心的创新赋能。但是，技术越普及，承担的责任就越大。Web3 交互中一个至关重要但经常被忽视的功能是交易授权，即用户授予第三方管理其资金的权限。虽然该功能可以简化交易，但如果处理不慎，也会带来风险。本指南将详细介绍授权带来的隐患，以及如何在 Web3 中保护个人资产安全。授权简介Web3 中的授权就像在游乐园发放无障碍通行证一样，游客一旦拿到通行证，便无需在每次乘坐游乐设施时都停下来买票。类似地，当您授予第三方（无论是智能合约还是外部账户 (EOA)）权限时，即视为您允许其从您的钱包中划转代币，无需每次都与您确认。此权限一经授予将一直有效，直至授权金额支出完毕或您手动撤回。无论是划转、兑换、质押代币还是上架 NFT 以供出售，这些授权均可让您无需进行频繁确认，就好像游客持有通行证，便无需在每次乘坐游乐设施时都停下来买票一样。除了节省时间以外，授权还可以减少您需要授权交易的次数，从而节省Gas费。例如，用户可将特定数量的代币（如 USDT 等）权限授予智能合约，允许这些合约代表其处理交易，无需对每笔交易进行反复确认。典型授权流程一个简化版的典型授权流程具体如下：注：该流程可能因执行功能的不同而异。连接：用户将钱包连接至 DApp，并发起所需的交互，可能包括划转、兑换、出借、质押或上架 NFT 等操作。发起交易：交易请求出现，会显示授权详情，通常包括：使用的币种与待授权金额。获得授权的地址（通常是相应 DApp 的合约地址）。关于正在执行的操作的描述。交易确认：授权请求一经用户确认，便会立即记录在区块链上。相应 DApp 即有权代表用户支出或划转指定数量的代币。支出资金：当智能合约试图支出代币时，代币合约会检查是否已获得用户授权。如果是，则交易继续进行，相应资金会被支出。滥用授权的风险授权虽然简化了 DApp 交互，但也带来了安全风险，尤其是网络钓鱼攻击风险。恶意行为者可以利用这一机制，诱骗用户授权智能合约交易或受其控制的外部账户 (EOA) 交易，而这可能会导致用户资金被洗劫一空。请注意，获得此类授权后，大多数 Web3 钱包将不需要对智能合约或 EOA 进行任何进一步的生物识别或双重身份验证，即可发起代币划转。授予代币权限主要有两种方法：Approval 函数：借助该函数，钱包所有者可以就使用特定数量的代币进行授权，在达到设定的代币数量之前，授权一直有效。对于 NFT，通常会使用 setApprovalForAll() 函数，这样一来，平台即可在出售后划转您的 NFT。为了简化交易，大多数 NFT 市场采用的都是无限制授权方式，因为有限授权一次只能将权限授予给一个地址。Allowance 函数：该函数用于管理代币限额，授予智能合约在指定金额范围内进行支出的权限。什么是授权型网络钓鱼？当诈骗者诱骗用户授予其访问和使用加密货币的权限时，就会发生授权型网络钓鱼。在 Web3 领域，授权就像是给某人一把您钱包的钥匙，即让其能够代表您划转代币或 NFT，而无需再次征询您的同意。诈骗者会利用这一点，通过创建看似合法的虚假 DApp 或网站来诱骗用户授权合约，从而控制用户资金。诈骗者通常会使用以下两种常见方法来骗取资金：transferFrom() 函数：获得授权后，将资金从您的钱包划转至其他账户。Multicall() 函数：在单笔交易中执行多次 transferFrom 调用，将资金划转至诈骗者控制的多个地址。授权如果不撤销，就会一直有效，这样一来，在您与恶意 DApp 初次交互后很长时间内，诈骗者仍可窃取更多资金。曾经发生过这样的案例，由于授权依然有效，用户资金在首次遭窃数周后再次遭窃。接下来，我们来分析一下典型的授权型网络钓鱼攻击的运作机制。1. 设置：攻击者经常会创建仿冒合法平台的虚假网站或应用程序，包括挖矿、交易、质押服务、NFT 市场和其他基于区块链技术的应用程序。2. 引诱：诈骗者通过网络钓鱼邮件、虚假广告或社交媒体群组中的链接等方式诱骗用户。他们会制造紧迫感，说服用户迅速采取行动以实现收益最大化。3. 上钩：虚假平台要求用户授权交易，授予诈骗者使用代币的权限。如果授权金额很大或没有上限，诈骗者可以持续提现，直至达到设置的金额或受害者撤销权限。4. 收网：一旦获得授权，诈骗者便会执行 transferFrom() 或 Multicall() 等函数，将用户代币划转至其控制的账户。诈骗者惯用的伎俩包括使用虚假空投、虚假挖矿或质押网站、虚假交易平台以及欺诈性 NFT 铸造服务来让受害者进行授权。为了免受此类攻击，您需要谨慎行事，并养成撤销不必要授权的习惯。真实案例授权给诈骗者钱包受害者被诱骗进了一个虚假的币安 WhatsApp 群组，群里自称投资顾问的人将其引导至一个伪装成 Web3 投资平台的网络钓鱼 DApp。在将加密货币钱包关联至该 DApp 后，用户在不知情的情况下授予了诈骗者无限使用其 USDT 资金的权限。获得授权后，诈骗者立即使用 transferFrom 指令，将受害者钱包中的所有资金都转入了自己的钱包。授权给恶意合约在另一起常见案例中，诈骗者向受害者承诺，只要通过其推荐的 DApp 进行投资，每天即可获得丰厚收益。用户信以为真，于是授权了一份虚假合约，允许诈骗者无限使用其 slisBNB 代币。随后，诈骗者使用 Multicall 函数（该函数支持一次执行多笔转账），将受害者的代币转入其控制的多个不同账户。由于受害者并未意识到此次遭窃的原因，因此并未撤销授权。21 天后，诈骗者再次现身，使用相同的方法从该受害者的钱包中窃取了更多代币。币安 Web3 钱包如何保障用户安全用户使用币安 Web3 钱包探索去中心化应用程序领域，可享受额外的安全保障，有效防范滥用授权等常见的 Web3 威胁。当您准备授权未经验证或存在潜在风险的合约时，币安 Web3 钱包会发出预警，将该交易标记为不安全。此提示可提醒您重新考虑，避免陷入潜在骗局。在进行任何授权之前，请务必仔细检查所有信息并亲自做好调研。币安 Web3 钱包还可以让您更好地控制授权，支持您：查看并撤回您不认识或不再需要的所有授权。断开与任何可疑的或无法识别的 DApp 的连接。如何防范网络钓鱼为了在 Web3 领域保持安全并避免网络钓鱼攻击，用户必须采取一些基本的预防措施：有限授权：与授权某人无限制地使用您的资金相比，就单次可使用的金额设置上限会更加安全。虽然可能需要多支出一点Gas费，但总比血本无归安全得多。请记住，切勿授权将资金转入个人钱包地址 (EOA)，除非您百分百确定其所有者值得信任。使用值得信赖的平台：如果某个平台看上去很可疑或很陌生，最好避开它。请务必仔细检查网站地址，确保仅与合法服务进行交互。警惕声称能够快速致富的计划：过于诱人的优惠往往都是陷阱。避开那些承诺提供高额奖励或能够快速盈利的不请自来的消息或网站，尤其是当其要求您立即执行与加密货币钱包相关的操作时。使用安全钱包：选择币安 Web3 钱包等内置安全功能且信誉良好的钱包，当遭遇高风险代币、网站和交易时，此类钱包会发出预警，提醒您留意恶意合约和错误地址。紧跟最新消息：及时了解 Web3 领域的最新诈骗手段和安全举措。您了解的越多，诈骗者就越难得逞。结语要让您的 Web3 之旅变得更安全、更具价值，养成正确的习惯并时刻保持警惕至关重要。您今天采取的主动措施（例如避免无限制授权及警惕可疑优惠等），将有助于避免您在未来犯下代价高昂的错误。虽然币安 Web3 钱包内置的安全保障可提供宝贵支持，但归根结底，您的意识才是防范骗局的第一道防线。因此，请保持明智、谨慎行事，继续安心畅游去中心化领域。延伸阅读Web3 钱包安全：区块链消息签名风险2024 年目前为止，币安成功防范了 24 亿美元的潜在用户损失币安 Web3 钱包的功能更新