近期,很多用户反馈:“我的地址内莫名其妙出现了一笔显示为「0 USDT」的交易。这并不是我本人的操作,是否会影响我的资产安全?”
如果你的相关数字资产账户内也出现了上述情况,请不要恐慌,这并不会影响你的数字资产安全。那么上述情况到底是如何发生的呢?其实这都是骗子发起的一种全新骗局——「零金额」(0 USDT)转账骗局。
通过查询链上数据,我们发现这些「零金额转账骗局」的共同点——都是通过调用 TransferFrom 函数完成的。
TransferFrom 函数的作用是:允许第三方发起一笔交易,将相关数字资产从所有者账户转移到接收者账户。
这个函数的作用就像支付宝的亲密付,亲密付是一种允许用户让自己信任的第三方,比如朋友或者亲人,在购物时直接使用自己账户里的钱向商家支付的支付方式。
但是,TransferFrom 函数还有另外一个特点:如果第三方需要转移的数字资产数额为0,则无需经过账户所有者的允许,第三方也可以发起操作,从所有者账户转移「零金额」 到接收者的账户。
上述过程类似于,第三方无需获得用户的许可,即可使用用户账户里的钱向商户账户进行支付。
你可能会问,第三方从我的用户账户转移「零金额」到商家账户,这样的行为有任何意义吗?
的确,骗子发起的「零金额」交易,即从我们某个数字资产的账户地址转移「零金额」到另一个接收者地址,这个行为本身没有任何意义,也不会对我们的账户安全造成任何影响,但是欺诈者在发起该项操作时,会在接收者的地址上做手脚,这个才是「零金额转账骗局」骗局的关键点。
为「TY4tK9…Rmz31D」,骗子则会生成一个伪装地址「TKivqn…Rmz31D」,与用户常用的接收者地址有相同的尾号「Rmz31D」。
看到这里,你是否觉得这个骗局非常熟悉?是的,此类骗局和我们之前披露的「相同尾号地址骗局」的欺诈手段类似。
欺诈者通过调用 TransferFrom 函数,使用某个用户的账户转移「零金额」到另一个接收者的账户地址,这个接收者的账户地址其实是伪造的,或者可能与该用户经常对接的接收者地址很相似。
当欺诈者进行「零金额」转账后,用户账户会留下记录,如果该用户在日后再进行数字资产的转移,并且有复制交易记录中地址的习惯,则可能会有极大概率误将数字资产转移到欺诈者制造的「伪装账户」「假地址」里去。
例如,某用户本意是想将数字资产转入自己的常用地址「TY4tK9…Rmz31D」,但在打开交易记录后看到了有一笔转给「TKivqn…Rmz31D」的记录,如果他只核对了地址的尾号,就会误以为骗子的伪装地址「TKivqn…Rmz31D」是他的常用地址,将数字资产转入其中,那就正中了骗子的圈套。
imToken 安全团队在此提醒大家:
-
如果你的数字资产相关账户内出现了有一笔或者多笔「零金额」交易记录,请不要惊慌,这些零金额转账并不会对你的资产安全造成影响。
-
由于区块链技术不可篡改的特性,链上转账一旦成功,则无法进行取消、撤回等操作。因此,请务必仔细核对地址!
-
imToken 建议使用「地址本」功能,将一些常用的地址进行保存,防范上述骗局。
想了解更多区块链技术、工具和数字资产信息
请关注我们
原文始发于微信公众号(布噜说):安全警示|警惕「零金额」转账骗局
