作者:Bitrace
适合国内用的虚拟币交易所
近期,一位受害者向 Bitrace 寻求帮助,称其在扫码向对方转账 1 USDT 进行测试后,钱包内剩余资金被尽数盗走。“我只是扫了一下二维码,怎么就会被盗?”受害人对这种情况感到不解。
骗术解读:二维码背后的授权陷阱
经过深入调查,我们发现这看似是收款二维码转账测试的新型诈骗手段,本质上却是骗取钱包授权。
骗子通常通过以下步骤实施诈骗:
- 在社交平台添加用户为好友,建立初步信任;
- 以略低于市场价的汇率吸引用户,达成交易意向后主动小额打款博取信任;
- 以长期合作为由,慷慨提供 TRX 作为手续费。
当用户放松警惕后,骗子会发送一张收款二维码截图,并要求用户进行小额回款测试。
真实案例分析:授权如何被窃取
在一系列精心铺垫下,用户的风险意识降至最低。“回款的 USDT 和交易所需要的手续费都是对方转我的,就算是骗子我也不会损失”,思考后用户便扫码回款,不料资金尽数被盗。
我们对受害者提供的二维码进行测试后发现:
- 扫描后跳转至第三方网站,页面标记为“欧易官方认证”;
- 页面设计粗糙,但缺乏经验的用户较难辨别。
当用户在此界面输入指定回款金额并点击“下一步”后,便会跳转至钱包的签名页面。此时一旦确认,即与智能合约产生交互,钱包授权即被窃取。
骗子通过授权将受害人的资产全部转移,一次精心铺垫的骗局就此完成。
资金分析:骗局的规模与危害
这种骗局的成功率及危害性远超想象。Bitrace 进一步分析后发现:
- 在 2024年7月11日至7月17日仅一周时间内;
- 嫌疑人地址 TT...m1mV1 已骗取 27 名疑似受害人近 12 万 USDT;
- 资金经 5 层地址转移后,分别流入 3 个 Huione 账户进行清洗。
区块链的匿名特性使得加密资金转账追踪存在难度。幸运的是,通过对相关地址的回溯,我们发现资金最终流向了某中心化交易所,这使得链上地址与现实身份产生了关联。
目前,Bitrace 已指导受害人联系警方报案,以帮助受害人通过合规的执法流程提升资金追回概率。
安全建议:如何防范二维码骗局
对于不走平台的场外交易,用户务必:
- 谨慎核实对方身份,不轻信任何来路不明的二维码及链接;
- 在交易前,对对手方地址进行风险筛查。
Bitrace 即将上线风险一键速查工具,旨在帮助用户识别目标地址的潜在风险,支持免费体验,敬请关注。
