下面對犯罪手法做簡要分析。
二、過程分析
掃描這個二維碼:
使用 TokenPocket 錢包掃碼,嘗試轉賬,註意壹定是波場鏈,下圖註意左上角:
會發現過程中會有如下請求。請註意方法:approve!
這個合約的形式是 approve,上面這個圖的意思是請求批準轉賬 90000000 usdt!
而此處的請求簽名本應該是授權,而 Tronscan 把授權識別成了轉賬。
現在大家應該明白如果點了接收的後果,approve 授權妳就把自己的 usdt 錢包授權給了攻擊者的地址,90000000 之內的 usdt 可以被攻擊者轉走。
這種手法也被稱之為 “approve釣魚” 。
三、繼續追蹤
請求簽名的詳情為:
從彈出的授權裏,看得到是授權給 TVM7gSoNdpgup9SbTKWWY2dHhLVjhehGiy 這個地址,然後去查此地址的轉賬記錄,可以看到 TRC20&TRC721 轉入記錄全部顯示90000000:
這些轉入賬戶就全都是受害者。這其實是 tronscan 的 bug,90000000 的只是授權,還不是轉賬。
比如隨便看壹筆顯示金額為 90000000 的交易:
● /
根據黑白網獲取到的源碼來看,掃碼支付後後臺會記錄地址信息,可查詢余額並支持直接轉賬