场景1、窃取主链代币
钓鱼者往往会给恶意合约函数起名为Claim,SeurityUpdate等具有诱导性名字,而实际函数逻辑为空,从而只转移用户主链代币。当前OKXWeb3钱包已上线交易预执行功能,显示该交易上链后资产及授权变化,从而进一步提醒用户注意安全。另外,如果其交互合约或授权地址为已知恶意地址,则会进行红色安全提醒。
场景2、相似地址转账
当监测到有大额转账时,钓鱼者会通过地址碰撞生成和接收地址首位若干位相同的地址,利用transferFrom进行0金额转账,或利用假USDT进行一定金额转账,污染用户交易历史,期望用户后续转账从交易历史拷贝错误地址,完成ZP。
https://www.oklink.net/cn/trx/address/TT3irZR6gVL1ncCLXH3PwQkRXUjFpa9itX/token-transfer
https://tronscan.org/#/transaction/27147fd55e85bd29af31c00e3d878bc727194a377bec98313a79c8ef42462e5f
场景3、链上授权
钓鱼者通常会诱导用户签署approve/increaseAllowance/decreaseAllowance/setApprovalForAll交易,以及升级使用Create2生成预先计算好的新地址,绕过安全检测,从而骗取用户授权相关。OKXWeb3钱包会针对授权交易进行安全提醒,请用户注意该交易为授权相关交易,注意风险。另外,如果交易授权地址为已知恶意地址时,会进行红色信息提醒,避免用户上当受骗。
场景4、链下签名
除了链上授权外,钓鱼者还会通过诱导用户进行链下签名的方式进行钓鱼。比如,ERC20代币授权允许用户授权给另外一个地址或合约一定额度,被授权地址可以通过transferFrom转移用户资产,钓鱼者就是利用这种特点进行zp。当前OKXWeb3钱包正在针对此类场景开发风险提示功能,当用户签署离线签名时,通过解析签名授权地址,如果命中已知恶意地址,会对用户进行风险提示。
场景5、TRON账号权限
这类场景比较抽象,一般是钓鱼者通过获取用户TRON账号权限来控制其资产。TRON账号权限设置和EOS类似,分为Owner和Active权限,并可以设置类似多签形式进行权限控制,如下权限设置Owner门限为2,两个地址权重分别为1和2,第一个地址为用户地址,权重为1无法单独操作账号。
https://tronscan.org/#/wallet/permissions
https://www.oklink.net/trx/tx/1fe56345873425cf93e6d9a1f0bf2b91846d30ca7a93080a2ad69de77de5e45f
场景6、Solana代币及账号权限
钓鱼者通过SetAuthroity修改代币ATA账户Ownership,相当于代币转给了新的Owner地址。用户被该方法钓鱼后,资产转移给钓鱼方等等。此外,如果用户签署了Assign交易,其正常账号的Owner将从SystemProgram被修改为恶意合约。
场景7、EigenLayer调用queueWithdrawal
由于协议本身的设计机制等问题,也很容易被钓鱼者利用。基于以太坊的中间件协议EigenLayer的queueWithdrawal调用,允许指定其他地址作为withdrawer,用户被钓鱼签署了该交易。七天后,指定地址通过completeQueuedWithdrawal获得用户的质押资产。
安全使用Web3钱包是保护资产的关键措施,用户应切实采取预防措施以防范潜在的风险和威胁。可以选择行业知名的、经过安全审计的OKXWeb3钱包、更安全便捷地探索链上世界。
作为行业最先进以及功能最全面的钱包,OKXWeb3钱包完全去中心化、且自托管,支持用户一站式玩转链上应用,现已支持85+公链,App、插件、网页三端统一,涵盖钱包、DEX、DeFi、NFT市场、DApp探索5大板块、并支持Ordinals市场、MPC和AA智能合约钱包、兑换Gas、连接硬件钱包等。此外,用户还可以通过安全地保护私钥和助记词、定期更新钱包应用和操作系统、谨慎处理链接和信息以及启用多重身份验证功能,从而增加钱包的安全性。
总之,在链上世界,资产安全大于一切。
用户需要谨记这3条Web3安全规则:不要在任何网页填写助记词/私钥、谨慎点击钱包交易界面确认按钮、以及推特/Discord/搜索引擎获得的链接可能是钓鱼链接。
以上就是OKX Web3 最新发布:链上防钓鱼安全交易指南的全部内容,望能这篇OKX Web3 最新发布:链上防钓鱼安全交易指南可以帮助您解决问题,能够解决大家的实际问题是非常好学习网一直努力的方向和目标。