Web3骗局揭秘-常见的资产被盗场景

摘要

● 介绍了常见的可能造成用户资金损失的场景

● 介绍了Bitget保护用户资金安全的措施

Web3世界虽然带来了金融自由与创新机遇，但同时也伴随着各种新型安全威胁。本文揭示了当前Web3环境下用户资产被盗的常见场景，包括私钥泄露、恶意签名授权以及转账欺诈等多种攻击手段。通过对真实案例的分析和Bitget交易所采取的安全措施介绍，为用户提供全面的防护知识，帮助投资者在区块链世界中更安全地守护自己的数字资产。

常见的资产被盗场景

助记词或私钥被盗

虚假钱包窃取用户助记词和私钥

黑客通常通过Telegram、Discord等社交媒体平台上冒充官方团队成员或管理员发送虚假钱包下载链接，或者通过钓鱼邮件模仿知名钱包品牌(如MetaMask、Trust Wallet)发送"安全更新"提醒，以及在搜索引擎上投放广告，将用户引导至钓鱼网站等方式让用户下载虚假钱包。受害用户下载并安装这些盗版钱包应用后，当导入助记词或私钥时，这些信息会直接传送至攻击者控制的服务器。

恶意app窃取剪切板的助记词和私钥

恶意应用通常伪装成实用工具(如QR码扫描器、文件管理器)、热门游戏的破解版、加密货币价格追踪工具、空投监测工具等。这些应用一旦安装，就会请求获取读取剪切板等权限，然后持续监控用户设备的剪贴板内容。当用户复制钱包私钥或助记词（例如在备份或转移过程中）时，恶意程序会立即捕获这些信息并发送到攻击者的服务器。

恶意的签名或者授权

eth_sign盲签

eth_sign是以太坊提供的一种基础签名方法，它允许用户对任意数据进行签名。这种方法的危险在于：用户看到的是一串无法理解的十六进制代码，无法判断实际在签署什么内容。黑客可以诱导用户签署恶意交易授权，甚至可以构造恶意签名内容授权提取所有资产。

Permit2签名钓鱼

Permit2是Uniswap实验室开发的一种代币授权协议，虽然本身安全，但被黑客利用进行签名钓鱼。黑客诱导用户签署Permit2授权，通常以"验证钱包"或"领取空投"为借口。一旦签署，黑客可以在不需要额外确认的情况下操作用户代币。

恶意获取代币授权

一些恶意网站诱导用户对智能合约进行有价值token的无限额授权，使其可以操作用户持有的该代币。常见的手法有创建看似合法的DeFi项目或NFT平台，要求用户授权才能参与。通常利用"紧急"或"限时"活动制造FOMO情绪，降低用户警惕性。一旦授权完成，黑客可以随时提取用户钱包中的代币，而无需进一步确认。

NFT授权

有些恶意网站会骗取用户进行setApprovalForAll授权，用户如果不小心批准了setApprovalForAll授权，那么攻击者就可以转走被授权的NFT系列。

转账欺诈

被篡改的聊天软件中发送的钱包地址被替换

攻击者发布经过修改的Telegram客户端，通常在非官方渠道投放。修改版Telegram含有恶意代码，可实时监控并替换聊天中出现的加密钱包地址。当对方聊天用户复制黏贴这些地址进行转账时，资金实际发送至攻击者控制的钱包。2023年，超过500名用户因使用篡改版Telegram导致总计约800万美元的加密资产被错误转账。

0金额转账钓鱼

攻击者利用了USDT的TransferFrom 函数的特点，当转账金额为0，无需所有者允许，第三方即可发起转账交易。 攻击者利用这个函数的特点，不断地对链上活跃用户发起TransferFrom 操作，冒充用户曾经的历史记录，一部分用户习惯从历史转账记录复制账户地址，就可能将token转账到攻击者到地址中。据SlowMist统计，仅2022年上半年，就有超过2000万美元通过0转账钓鱼方式被盗。

Bitget安全措施

大部分资金冷钱包存储

在 Bitget大多数数字资产都存储在离线的多重签名冷钱包中。这一谨慎的措施确保了钱包不与互联网连接，大大降低了被网络攻击的风险。

保护基金

Bitget提供价值高达7亿美元的用户保护基金，如果用户在我们平台的账户被泄漏、资产被盗或者丢失（不是由于自己的行为或交易），那么用户可以通过 Bitget 保护基金申请索赔。

官方验证通道

Bitget提供官方的验证通道（https://www.bitget.fit/zh-CN/official-verification），用户可以在输入框查询邮箱/网站地址/社交媒体账户是否为官方渠道，防止钓鱼和诈骗。

安全教育

Bitget不定期推出用户安全教育系列文章，提高用户的安全意识。

用户最佳实践

保护助记词与私钥

● 不要将助记词和私钥在未加密的情况下上传到网盘等。

● 不要全量复制助记词和私钥，避免被恶意软件读取剪切板窃取。

● 只从官方渠道下载钱包应用，验证软件签名和发布者。

签名与授权管理

● 拒绝盲签，签名前确认签名的内容。

● 对不熟悉的项目设置最小必要的授权额度，避免无限授权。

● 定期使用授权管理工具（如Revoke.cash等）检查并撤销不必要的授权。

安全转账实践

● 进行重要转账前先发送小额测试交易。

● 使用地址薄功能添加常用地址。

结束语

保护数字资产不仅需要交易所等机构建立严格的安全框架，更需要用户提高警惕性，掌握必要的安全知识。正如传统金融世界有百年积累的安全措施，Web3领域的安全体系也在经历不断完善的过程，每一次攻击事件都为行业提供了宝贵的经验教训。Bitget将持续投入资源加强平台安全建设，同时通过教育内容帮助用户增强安全意识。我们相信，只有交易平台与用户共同努力，才能构建一个真正安全、可靠的Web3生态系统，让区块链技术的创新价值得到充分释放，同时将风险降至最低。